!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[Axsis]

Как показывает практика последних нескольких лет, up-to-date надо держать и личную машину, дабы не возникали эпидемии червей через уязвимость, закрытую уже полгода(!) или даже больше.
MSE не пробовал, но полагаю это доведённая до ума (и портированная на ХР) версия Windows Defender'а из висты/7.
А тесты антивирусов... пожалуй, надо очень потрудиться, чтоб найти что-то более субъективное. Ну по каким параметрам их можно сравнивать? По тому сколько у кого "детектов" из одного конкретного зоопарка в сотню-две зловредов? Так наберите зловредов, гуляющих, например, по Китаю и ворующих пароли от китайских онлайн-банков и соц. сетей и в вашем тесте непременно будет в лидерах антивирь от китайской компании. В русских тестах - русские антивири в лидерах.
Может лучше тот антивирь что быстрее работает? А если он быстр, да слеп? Тоже плохой критерий...
Про количество записей в базах вообще молчу... Каждый считает как ему нравится. Один производитель добавит одну запись на всё семейство, другой - десяток и будет и дальше добавлять. Да и мало лишь найти, надо ещё и уметь правильно обезвредить. Я кажется упоминал случай, когда после заражения системы вирусом, каспер нашел и поудалял файлы, незная как их лечить. (Благо скопировав всё в карантин, откуда они потом были восстановлены и вылечены cureit'ом). А каспер-то себе приплюсовал единичку к количеству записей в базах за этот вирус.
Так что тут только пробовать и искать что больше подойдёт именно для тебя. Для того почти у всех антивирей есть пробный период