IPB

Добро пожаловать, гость ( Вход | Регистрация )

> !Вирусы!, Achtung!
-=CHE@TER=-
Aug 20 2007, 18:37
Сообщение #1


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,371
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 318 раз(а)
Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff



Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).
QUOTE
Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:
CODE
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
 Reply to this topicStart new topic
Ответов
-=CHE@TER=-
May 22 2009, 13:31
Сообщение #2


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,371
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 318 раз(а)
Очередную хрень на тачке знакомого лечил.

Симптомы: неизвестная служба WMISyncDB (её невозможно остановить обычными средствами).
Есть скрытый файл: C:\WINDOWS\System\wmisym.exe
Есть драйвер: C:\WINDOWS\system32\drivers\sysdrv32.sys

Драйвер Symantec грохает как Bot-что-то там, а вот wmisym.exe каждый раз генерится заново - я отослал один такой файл в БД Symantec, его добавили, а не другой машине этот файл (со свежими антивирусными базами) спокойно проходил проверку. Собственно, можно завершить его процесс через Диспетчер задач, а потом БЫСТРО удалить с диска, пока он заново не запустился.
Ещё эта хрень где-то в реестре прописывается, но я точно не помню где - в принципе по имени можно поискать.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Сообщения в этой теме
-=CHE@TER=-   !Вирусы!   Aug 20 2007, 18:37
nickolayer   Avira AntiVir - интересный антивирус. Недавно еще ...   Aug 21 2007, 11:50
-=CHE@TER=-   Подтверждено, что NOD32 может удалить этот вирус, ...   Aug 24 2007, 03:31
jTommy   Вообще, спасибо за информацию. У себя такого зверя...   Aug 24 2007, 09:04
nickolayer   Не совсем лучший... говорю же (выше), что есть еще...   Aug 24 2007, 14:19
-=CHE@TER=-   Ну, может быть, NOD32 и лучший. Мне как-то narmo п...   Aug 24 2007, 19:56
xkL0#J   Есть ещё [b]Dr.Web, который имхо, ни в чём не усту...   Aug 25 2007, 17:15
-=CHE@TER=-   Там из cmd запускаю Dr.Web - находит 2 клятых dll-...   Aug 27 2007, 05:11
Axsis   Выскажу и я своё мнение :) Дома юзаю ДрВеб, с того...   Aug 27 2007, 13:53
-=CHE@TER=-   Насчёт "ложных срабатываний" - Symantec ...   Aug 27 2007, 20:43
jTommy   Кстати, насчёт кашпировского - почитайте, мне тут ...   Aug 28 2007, 18:03
nickolayer   Я бы отнесся к этой статье как к факту для справки...   Aug 29 2007, 15:01
jTommy   Бороться с создателями вирусов всеми средствами? Н...   Aug 30 2007, 17:28
nickolayer   Террористами - сильновато сказано. Я готов допусти...   Aug 31 2007, 10:14
jTommy   Террористами - сильновато сказано. Я готов допусти...   Sep 1 2007, 09:35
-=CHE@TER=-   Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD...   Aug 31 2007, 19:21
-=CHE@TER=-   Совершенно невразумительная статья, особенно к кон...   Aug 30 2007, 08:49
Axsis   Кстати, возврящаясь к одному из своих первых пост...   Aug 31 2007, 22:15
xkL0#J   Кстати, насчёт кашпировского - почитайте, мне тут...   Aug 28 2007, 17:50
xkL0#J   to nickolayer Это защита, оправдание или просто ло...   Aug 31 2007, 16:50
-=CHE@TER=-   хехе, если не секрет, чем истреблял?Ну ты, в принц...   Sep 1 2007, 18:02
Дмитрий-Нск   здравствуйте у меня побывал Delf - поленился я ме...   Sep 2 2007, 04:05
nickolayer   to xkLO#J: Возможно, экспериментаторов немного. Но...   Sep 2 2007, 08:46
-=CHE@TER=-   Дмитрий-Нск! Тут есть одна хитрость. Если вним...   Sep 2 2007, 13:27
Дмитрий-Нск   спасибо, '-=CHE@TER=-' пиф удалил, но по-п...   Sep 3 2007, 02:15
-=CHE@TER=-   спасибо, '-=CHE@TER=-' пиф удалил, но по-п...   Sep 6 2007, 19:07
Siberian GRemlin   У меня палево: вчера скидывал знакомой с флэшки на...   Sep 8 2007, 03:29
-=CHE@TER=-   Siberian GRemlin! SHIFT должен, по идее, помоч...   Sep 8 2007, 11:27
jTommy   Кстати, если будете покупать флэшки, то лучше брат...   Sep 8 2007, 15:32
-=CHE@TER=-   Ну уж нет, флешки надо брать, те, у которых скорос...   Sep 8 2007, 15:45
Siberian GRemlin   А флешек с таким переключателем я еще ни разу не в...   Sep 11 2007, 15:36
jTommy   Может ты его не заметил?! =) Лично я без него ...   Sep 11 2007, 16:07
-=CHE@TER=-   Оказывается, существует несколько вариаций на тему...   Sep 10 2007, 10:43
Siberian GRemlin   Гляжу на Transcend... сбоку такой овальный переклю...   Sep 13 2007, 11:03
Дмитрий-Нск   у меня, как я уже говорил, разные версии unlocker....   Sep 20 2007, 16:48
-=CHE@TER=-   у меня, как я уже говорил, разные версии unlocker....   Sep 20 2007, 21:20
Siberian GRemlin   Товарищи, я уже несколько раз ловил комп за тем, ч...   Oct 3 2007, 16:10
jTommy   Siberian GRemlin, ставь файерволл обязательно. Он ...   Oct 3 2007, 16:35
xkL0#J   Outpost - при правильной настройке этому фаерволу ...   Oct 3 2007, 16:29
Дмитрий-Нск   спасибо вам огромное!   Oct 8 2007, 12:38
OXVIL   Я, как пользователь нисовсем лицензионных программ...   Dec 28 2007, 20:15
-=CHE@TER=-   Блин, Symantec с последним обновлением (за 30.05.2...   May 31 2008, 13:05
xkL0#J   ...для подсчёта/проверки md5... Доброго времени су...   Jun 6 2008, 05:16
-=CHE@TER=-   [quote name='xkL0#J' post='2048' date='Jun 6 2008,...   Jun 6 2008, 11:55
Grom PE   изменение байт таким образом, чтобы CRC32 совпало,...   Jun 7 2008, 12:06
-=CHE@TER=-   Очередную хрень на тачке знакомого лечил. Симптом...   May 22 2009, 13:31
Axsis   чтоб не создавать новую тему напишу сюда спёрто о...   Aug 17 2009, 17:26
-=CHE@TER=-   Что-то Symantec совсем стал загибаться под тяжесть...   Nov 18 2009, 05:27
Axsis   Dr.WEB практически не трогает кейгены и 64к интро,...   Nov 23 2009, 23:53
-=CHE@TER=-   И ещё раз об антивирусах... Блин, не смог постави...   Jan 16 2010, 09:46
-=CHE@TER=-   Таки решил поставить Dr.Web. Забегая вперёд скажу,...   Mar 30 2010, 13:12
Axsis   у веба, начиная с пятой версии, тоже много процесс...   Mar 30 2010, 19:09
-=CHE@TER=-   ща сижу на ESET'е - там как полагается 2 проце...   Mar 31 2010, 12:34
-=CHE@TER=-   Поставил версию 6.00 Dr.Web: - Для удаления старой...   Apr 7 2010, 14:57
Axsis   ну даже не знаю, попробуй 4-ю версию поставить, дл...   Apr 7 2010, 20:02
Siberian GRemlin   Я окончательно удостоверился, что Касперский -- (*...   Jul 7 2010, 11:42
-=CHE@TER=-   Ну, у знакомых стоит на лицензионной 7-ке лицензио...   Jul 7 2010, 15:17
Siberian GRemlin   Сдох монитор, подключил телек, а он большой слишко...   Dec 29 2010, 08:45
-=CHE@TER=-   Что дальше? Ставить Avast?Я, вот, сейчас тоже в бо...   Dec 29 2010, 19:41
Axsis   Как показывает практика последних нескольких лет, ...   Dec 29 2010, 23:06
-=CHE@TER=-   Как показывает практика последних нескольких лет, ...   Dec 30 2010, 19:36
-=CHE@TER=-   Dr.Web Заколачиваю последний гвоздь в крышку гроба...   Apr 14 2011, 11:50
Axsis   Теперь я, кажется, знаю отличия бизнес версии :D ...   Apr 14 2011, 15:03
-=CHE@TER=-   Теперь я, кажется, знаю отличия бизнес версии :DХе...   Apr 14 2011, 15:50
Axsis   нет, триальные ключи подходят только на триальную ...   Apr 15 2011, 15:34
-=CHE@TER=-   Блин, походу я опять буду менять антивирус... На э...   May 24 2011, 15:25
Siberian GRemlin   Я пока пользуюсь ESET Smart Security. Из недостатк...   May 25 2011, 02:43
-=CHE@TER=-   Из недостатков заметил, что иногда соединения у Th...   May 25 2011, 12:39
-=CHE@TER=-   Всё, моё терпение лопнуло! NOD32 - ужасное го...   Sep 10 2011, 09:30
-=CHE@TER=-   Лечил сегодня компьютер знакомого от вирусов. Врод...   Apr 21 2013, 15:13
-=CHE@TER=-   Двумя сообщениями выше я писал, что поставил себе ...   May 23 2015, 12:47
Siberian GRemlin   Ого! Получается, у меня уже четыре года стоит ...   May 23 2015, 13:02
-=CHE@TER=-   Ого! Получается, у меня уже четыре года стоит ...   Feb 1 2016, 18:25
RAYN3   еще полезно поставить галочки только чтение, помо...   Feb 3 2016, 22:30
-=CHE@TER=-   AVG 2015 такая лолка - скачал сегодня обновления (...   May 28 2015, 11:45
-=CHE@TER=-   Всё, я так больше не могу - мучительно хочется ком...   Oct 2 2015, 15:08
Siberian GRemlin   Мне почему-то думалось, что я раньше прямо в «лисе...   Oct 2 2015, 15:28
Siberian GRemlin   Всё тем же. Проблем нет. Очень редко не выключаетс...   Feb 2 2016, 03:42
Axsis   Всё тем же. Проблем нет. Очень редко не выключает...   Feb 4 2016, 22:07
-=CHE@TER=-   Продолжаю заниматься всяким непотребством с антиви...   Jul 24 2016, 11:04
Siberian GRemlin   Обновил «ESET Smart Security» до девятой версии. В...   Jul 26 2016, 17:03
-=CHE@TER=-   Допишу ещё чутка про Avast - похоже остановлюсь на...   Aug 7 2016, 11:45
Siberian GRemlin   Судя по описанию, мазохизм пользователя является с...   Aug 8 2016, 02:54
Siberian GRemlin   Проблема с интернет-банком исчезла.   Aug 16 2016, 02:03
-=CHE@TER=-   Что-то сделал или оно само рассосалось?   Aug 16 2016, 06:15
Siberian GRemlin   Само, может обновление.   Aug 16 2016, 16:35
Siberian GRemlin   Думал, что данная проблема чисто мелкомягкая. Ника...   Nov 24 2016, 02:10
-=CHE@TER=-   Этой хернёй, кстати, многие антивирусы страдают. И...   Nov 24 2016, 09:54
-=CHE@TER=-   Avast меня поражает и убивает! Это, блин, как ...   Jan 17 2017, 15:04
-=CHE@TER=-   Ушёл с Avast'а. Ибо оно в систему своих драйве...   May 3 2018, 10:12
-=CHE@TER=-   Помогал знакомому разобраться с последним Firefox ...   Oct 22 2018, 14:10

« Предыдущая тема · Полезности · Следующая тема »
 

Reply to this topicStart new topic
15 чел. читают эту тему (гостей: 15, скрытых пользователей: 0)
Пользователей: 0 -

 

Стиль отображения: Переключить: Стандартный · Переключить: Линейный · Каскадный

Подписаться на тему · Послать тему по E-mail · Распечатать тему · Подписаться на этот раздел

Упрощённая версия Сейчас: 30th April 2025 - 21:21
Invision Power Board v2.1.4 © 2025  IPS, Inc.