!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[Axsis]

Выскажу и я своё мнение
Дома юзаю ДрВеб, с того самого момента как я осознал что совсем без антивиря дальше жить нельзя (года 3-4 назад ) Ложных срабатываний минимум - за всё время раза 2-3 было, несрабатывания на явных угрозах бывают, в основном на свежих модификациях вирусов/троянов (я базы обновляю 1 раз в неделю, как правило в обновлении баз добавлялось и детектирование "свежачка"), но это бывает со всеми антивирями. Для дома Веб - самое то: быстр, неглючен, прост.
На работе стоит НОД32 - инструмент посерьёзнее Тут >25 компов, поэтому поднят нодовский сервак с зеркалом обновлений, установка на компы юзеров и сбор статистики с них ведётся с сервера. Ложных срабатываний почти за год работы не было, палит практически всё что можно, может это потому что автообновление каждый час. Пару раз пропускал троянцев, приходилось вручную чистить, но учитывая что 25 машин - простительно В настройке посложнее (хотя можно сказать более гибкий) чем Веб, подходит когда много компов с одинаковыми настройками - один раз создал конфиг и ставишь на клиентские тачки уже настроенный антивирь.
Также есть небольшой опыт общения с кашперовским - гадость ужасно тормозная, и, вопреки всем отзывам о его превосходной защите (типа "он тормозный, но ловит всё"), у меня были случаи когда он не ловил очень опасные вещи (из разряда руткитов, но ещё на стадии установки, то есть когда руткит ещё не борется с антивирем).
Симантек. Стоял на работе до нода, ничего сказать про него не могу, т.к почти сразу с моим приходом заменили на нод. Сразу после установки нод на нескольких компах нашел парочку червей, но это можно списать на старые базы симантека (там непонятно обновлялись ли они вообще).
Вот так вот

[-=CHE@TER=-]

Насчёт "ложных срабатываний" - Symantec рубит все кейгены и кряки на корню - "HackTool" и всё. Моя твоя не понимай. Причём у меня какой-то кряк валялся чуть ли не два года. Недавно обновил базы - бац! и Symantec его схерил. (*улыбается*)

Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: Касперский - человек и маска?

[jTommy]

Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: Касперский - человек и маска?

Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.
Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами.

[nickolayer]

Я бы отнесся к этой статье как к факту для справки. Материал приняли к сведению - и действуем по своему выбору. Можем пользоваться, можем не пользоваться. Но я считаю, что данная статья на решение влиять не должна.
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания?

[jTommy]

Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания?

А их можно перевоспитать? Я в этом сомневаюсь.

Вирусописателей я считаю, ни много, ни мало террористами. При приведении ими в действие своих детищ страдают невинные люди.

Вчера поставил NOD32 и Dr.Web. Оба понравились, шустрые и не тяжелые. NOD32 за вечер умудрился проверить (глубокая проверка) все диски, а это, судя по логам, более 1 млн. файлов. Полную проверку Dr.Web'ом еще не устравивал.

Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание?
Шучу конечно, я понимаю, что это ложное срабатывание. Dr.Web на этом файле ничего не сказал.

[-=CHE@TER=-]

Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание?
Шучу конечно, я понимаю, что это ложное срабатывание. Dr.Web на этом файле ничего не сказал.

Гм. Странно. Ничего не могу сказать. Могу дать исходные коды - компиль сам. Убедишься, что там ничего нет.
Мне больше интересно на основании чего NOD32 решил, что ToolD2.dat - вирус. Более того, почему он так же не решил, скажем, об Tool2.dat - т.к. они оба не сильно различаются.