 !Вирусы!, Achtung! |
Добро пожаловать, гость ( Вход | Регистрация )
| -=CHE@TER=- |
 Aug 20 2007, 18:37
Сообщение
#1
|
|
Walter Sullivan  Группа: Root Admin Сообщений: 1,371 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 318 раз(а)  |
Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами! Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер: CODE REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется. Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш). QUOTE Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера. If you need - this post contains batch file - Virus Removal Tool. Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут. Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания: CODE [AutoRun] Вместо ?? - какие-то непонятные символы.open=RUNAUT~1\autorun.pif shell\1=??(&O) shell\1\Command=RUNAUT~1\autorun.pif shell\2\=??(&B) shell\2\Command=RUNAUT~1\autorun.pif shellexecute=RUNAUT~1\autorun.pif А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте). На данный момент: - Symantec с последними базами - кашпировский с последними базами не видит этот вирус - на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то: 1) Открывайте его блокнотом или FAR'ом. 2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл. И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ! |
   |
 
|
  |
Ответов
| Дмитрий-Нск |
Sep 2 2007, 04:05
Сообщение
#2
|
|
Незарегистрирован |
здравствуйте
у меня побывал Delf - поленился я месяц обновлять базы Nod'a базы обновил - вирь везде, где можно было был удалён антивирусом, но! комп не исзелчён. был не излечён - я форматнул диск С (10 гигов) и восстановил образ. почему не удалён? потому что от него остались следы в директории Windows файлы regedit.exe, msconfig.exe, cmd.exe были ущемлены - до них был закрыт доступ - файлы есть, а доступа нет. взамен им система или антивир создали их дубли с именами regedit.exe.exe и в т.д... в общем формат. теперь вопрос: на локальном диске D (он у меня 290 гигов) у меня склад информации - я сисадмин и дизайнер. форматнуть диск D у меня рука не подыметься. на этом диске осталась папка "runauto..". самая соль в том, что антивирус периодически удаляет из неё один и тот же файл (следовательно он не может его удалить, а пытается это сделать, как только файл с вирусом пытается активироваться. меня, разумеется, смущает эта папка. Unlocker'ом, как выше было сказано, удалить нет возможности - пробовал 2 версии (1.7.1 и 1.8.5) - даже не появляется вариант удалить эту папку с помощью unlocker'a - на всех других такой вариант есть... что думаете, господа? P.S.: ваш reg файл я внёс в реестр, спасибо |
|
|
|
| -=CHE@TER=- |
Sep 2 2007, 13:27
Сообщение
#3
|
|
Walter Sullivan Группа: Root Admin Сообщений: 1,371 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 318 раз(а) |
Дмитрий-Нск!
Тут есть одна хитрость. Если внимательно присмотреться к содержанию файла autorun.inf, который создаёт вирус, то там можно заметить, что вирус сам обращается к каталогу не как "autorun..", а как "RUNAUT~1". Чем мы и воспользуемся. Делаем так: 1) Пуск -> Выполнить... 2) Набираем там: d:\runaut~1\ 3) Щёлкаем по кнопке ОК - и открывается этот самый каталог. Теперь щёлкаем на autorun.pif правой клавишей и херим его Unlocker'ом. После этого поднимаемся в корень диска и оттуда опять-таки Unlocker'ом херим и сам каталог (пустой каталог будет хериться, а с файлом - нет). Насчёт копий CMD.EXE, REGEDIT.EXE, MSCONFIG.EXE - ничего сказать не могу, т.е. у меня их нет - всё ок (пользовался скриптом приведённым по ссылке в первом посте). Дубли с именами *.EXE.EXE создавал вирус. P.S. У меня Unlocker 1.8.5. |
|
|
|
Сообщения в этой теме
-=CHE@TER=- !Вирусы! Aug 20 2007, 18:37
nickolayer Avira AntiVir - интересный антивирус. Недавно еще ... Aug 21 2007, 11:50 -=CHE@TER=- Подтверждено, что NOD32 может удалить этот вирус, ... Aug 24 2007, 03:31
jTommy Вообще, спасибо за информацию. У себя такого зверя... Aug 24 2007, 09:04 nickolayer Не совсем лучший... говорю же (выше), что есть еще... Aug 24 2007, 14:19 -=CHE@TER=- Ну, может быть, NOD32 и лучший.
Мне как-то narmo п... Aug 24 2007, 19:56 xkL0#J Есть ещё [b]Dr.Web, который имхо, ни в чём не усту... Aug 25 2007, 17:15 -=CHE@TER=- Там из cmd запускаю Dr.Web - находит 2 клятых dll-... Aug 27 2007, 05:11 Axsis Выскажу и я своё мнение :)
Дома юзаю ДрВеб, с того... Aug 27 2007, 13:53 -=CHE@TER=- Насчёт "ложных срабатываний" - Symantec ... Aug 27 2007, 20:43 jTommy Кстати, насчёт кашпировского - почитайте, мне тут ... Aug 28 2007, 18:03 nickolayer Я бы отнесся к этой статье как к факту для справки... Aug 29 2007, 15:01 jTommy Бороться с создателями вирусов всеми средствами? Н... Aug 30 2007, 17:28 nickolayer Террористами - сильновато сказано. Я готов допусти... Aug 31 2007, 10:14 jTommy Террористами - сильновато сказано. Я готов допусти... Sep 1 2007, 09:35 -=CHE@TER=- Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD... Aug 31 2007, 19:21 -=CHE@TER=- Совершенно невразумительная статья, особенно к кон... Aug 30 2007, 08:49 Axsis
Кстати, возврящаясь к одному из своих первых пост... Aug 31 2007, 22:15 xkL0#J
Кстати, насчёт кашпировского - почитайте, мне тут... Aug 28 2007, 17:50 xkL0#J to nickolayer
Это защита, оправдание или просто ло... Aug 31 2007, 16:50 -=CHE@TER=- хехе, если не секрет, чем истреблял?Ну ты, в принц... Sep 1 2007, 18:02 nickolayer to xkLO#J:
Возможно, экспериментаторов немного. Но... Sep 2 2007, 08:46 Дмитрий-Нск спасибо, '-=CHE@TER=-'
пиф удалил, но по-п... Sep 3 2007, 02:15 -=CHE@TER=- спасибо, '-=CHE@TER=-'
пиф удалил, но по-п... Sep 6 2007, 19:07 Siberian GRemlin У меня палево: вчера скидывал знакомой с флэшки на... Sep 8 2007, 03:29 -=CHE@TER=- Siberian GRemlin!
SHIFT должен, по идее, помоч... Sep 8 2007, 11:27 jTommy Кстати, если будете покупать флэшки, то лучше брат... Sep 8 2007, 15:32 -=CHE@TER=- Ну уж нет, флешки надо брать, те, у которых скорос... Sep 8 2007, 15:45 Siberian GRemlin А флешек с таким переключателем я еще ни разу не в... Sep 11 2007, 15:36 jTommy Может ты его не заметил?! =) Лично я без него ... Sep 11 2007, 16:07 -=CHE@TER=- Оказывается, существует несколько вариаций на тему... Sep 10 2007, 10:43 Siberian GRemlin Гляжу на Transcend... сбоку такой овальный переклю... Sep 13 2007, 11:03 Дмитрий-Нск у меня, как я уже говорил, разные версии unlocker.... Sep 20 2007, 16:48 -=CHE@TER=- у меня, как я уже говорил, разные версии unlocker.... Sep 20 2007, 21:20 Siberian GRemlin Товарищи, я уже несколько раз ловил комп за тем, ч... Oct 3 2007, 16:10 jTommy Siberian GRemlin, ставь файерволл обязательно. Он ... Oct 3 2007, 16:35 xkL0#J Outpost - при правильной настройке этому фаерволу ... Oct 3 2007, 16:29 Дмитрий-Нск спасибо вам огромное! Oct 8 2007, 12:38 OXVIL Я, как пользователь нисовсем лицензионных программ... Dec 28 2007, 20:15 -=CHE@TER=- Блин, Symantec с последним обновлением (за 30.05.2... May 31 2008, 13:05 xkL0#J ...для подсчёта/проверки md5... Доброго времени су... Jun 6 2008, 05:16 -=CHE@TER=- [quote name='xkL0#J' post='2048' date='Jun 6 2008,... Jun 6 2008, 11:55 Grom PE изменение байт таким образом, чтобы CRC32 совпало,... Jun 7 2008, 12:06 -=CHE@TER=- Очередную хрень на тачке знакомого лечил.
Симптом... May 22 2009, 13:31 Axsis чтоб не создавать новую тему напишу сюда
спёрто о... Aug 17 2009, 17:26 -=CHE@TER=- Что-то Symantec совсем стал загибаться под тяжесть... Nov 18 2009, 05:27 Axsis Dr.WEB практически не трогает кейгены и 64к интро,... Nov 23 2009, 23:53 -=CHE@TER=- И ещё раз об антивирусах...
Блин, не смог постави... Jan 16 2010, 09:46 -=CHE@TER=- Таки решил поставить Dr.Web. Забегая вперёд скажу,... Mar 30 2010, 13:12 Axsis у веба, начиная с пятой версии, тоже много процесс... Mar 30 2010, 19:09 -=CHE@TER=- ща сижу на ESET'е - там как полагается 2 проце... Mar 31 2010, 12:34 -=CHE@TER=- Поставил версию 6.00 Dr.Web:
- Для удаления старой... Apr 7 2010, 14:57 Axsis ну даже не знаю, попробуй 4-ю версию поставить, дл... Apr 7 2010, 20:02 Siberian GRemlin Я окончательно удостоверился, что Касперский -- (*... Jul 7 2010, 11:42 -=CHE@TER=- Ну, у знакомых стоит на лицензионной 7-ке лицензио... Jul 7 2010, 15:17 Siberian GRemlin Сдох монитор, подключил телек, а он большой слишко... Dec 29 2010, 08:45 -=CHE@TER=- Что дальше? Ставить Avast?Я, вот, сейчас тоже в бо... Dec 29 2010, 19:41 Axsis Как показывает практика последних нескольких лет, ... Dec 29 2010, 23:06 -=CHE@TER=- Как показывает практика последних нескольких лет, ... Dec 30 2010, 19:36 -=CHE@TER=- Dr.Web
Заколачиваю последний гвоздь в крышку гроба... Apr 14 2011, 11:50 Axsis
Теперь я, кажется, знаю отличия бизнес версии :D
... Apr 14 2011, 15:03 -=CHE@TER=- Теперь я, кажется, знаю отличия бизнес версии :DХе... Apr 14 2011, 15:50 Axsis нет, триальные ключи подходят только на триальную ... Apr 15 2011, 15:34 -=CHE@TER=- Блин, походу я опять буду менять антивирус...
На э... May 24 2011, 15:25 Siberian GRemlin Я пока пользуюсь ESET Smart Security. Из недостатк... May 25 2011, 02:43 -=CHE@TER=- Из недостатков заметил, что иногда соединения у Th... May 25 2011, 12:39 -=CHE@TER=- Всё, моё терпение лопнуло!
NOD32 - ужасное го... Sep 10 2011, 09:30 -=CHE@TER=- Лечил сегодня компьютер знакомого от вирусов.
Врод... Apr 21 2013, 15:13 -=CHE@TER=- Двумя сообщениями выше я писал, что поставил себе ... May 23 2015, 12:47 Siberian GRemlin Ого! Получается, у меня уже четыре года стоит ... May 23 2015, 13:02 -=CHE@TER=- Ого! Получается, у меня уже четыре года стоит ... Feb 1 2016, 18:25 RAYN3
еще полезно поставить галочки только чтение, помо... Feb 3 2016, 22:30 -=CHE@TER=- AVG 2015 такая лолка - скачал сегодня обновления (... May 28 2015, 11:45 -=CHE@TER=- Всё, я так больше не могу - мучительно хочется ком... Oct 2 2015, 15:08 Siberian GRemlin Мне почему-то думалось, что я раньше прямо в «лисе... Oct 2 2015, 15:28 Siberian GRemlin Всё тем же. Проблем нет. Очень редко не выключаетс... Feb 2 2016, 03:42 Axsis
Всё тем же. Проблем нет. Очень редко не выключает... Feb 4 2016, 22:07 -=CHE@TER=- Продолжаю заниматься всяким непотребством с антиви... Jul 24 2016, 11:04 Siberian GRemlin Обновил «ESET Smart Security» до девятой версии. В... Jul 26 2016, 17:03 -=CHE@TER=- Допишу ещё чутка про Avast - похоже остановлюсь на... Aug 7 2016, 11:45 Siberian GRemlin Судя по описанию, мазохизм пользователя является с... Aug 8 2016, 02:54 Siberian GRemlin Проблема с интернет-банком исчезла. Aug 16 2016, 02:03 -=CHE@TER=- Что-то сделал или оно само рассосалось? Aug 16 2016, 06:15 Siberian GRemlin Само, может обновление. Aug 16 2016, 16:35 Siberian GRemlin Думал, что данная проблема чисто мелкомягкая. Ника... Nov 24 2016, 02:10 -=CHE@TER=- Этой хернёй, кстати, многие антивирусы страдают.
И... Nov 24 2016, 09:54 -=CHE@TER=- Avast меня поражает и убивает!
Это, блин, как ... Jan 17 2017, 15:04 -=CHE@TER=- Ушёл с Avast'а. Ибо оно в систему своих драйве... May 3 2018, 10:12 -=CHE@TER=- Помогал знакомому разобраться с последним Firefox ... Oct 22 2018, 14:10 |
5 чел. читают эту тему (гостей: 5, скрытых пользователей: 0)
Пользователей: 0 -
| Упрощённая версия | Сейчас: 30th April 2025 - 21:48 |
Invision Power Board
v2.1.4 © 2025 IPS, Inc.