!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[-=CHE@TER=-]

Всё, я так больше не могу - мучительно хочется кому-нибудь в глаз дать, но не знаешь с кого начать...
Прошу отнестись серьёзно к тексту ниже, т.к. он касается всех.

Итак, с чего бы начать?.. Позавчера товарищ Siberian GRemlin прислал мне на почту письмо (за что ему спасибо), сказав что он не может зайти на мой сайт (ctpax-cheater) т.к. его блокирует Интернет-обозреватель.
Кто не знал - современные оборзеливатели тягают откуда-то список "плохих сайтов" и если ваш сайт туда угодил, то пользователи зайти к вам не смогут. Я современными программами не пользуюсь, ибо хрень на палочке, так что об этой проблеме не знал. Стал искать кто эти списки составляет - тоже, кстати, нетривиальная задача, ибо кто этим только не занимается. Вышел вот сюда:
https://www.stopbadware.org/clearinghouse/search
Вбил туда адрес своего сайта и узнал, что мой сайт аж с марта (!) в блокировке из-за какого-то ThreatTrack. Нагуглил их сайт:
http://www.threattracksecurity.com/resourc...ubmissions.aspx
Зашёл в "Blocked website" и объяснил, что у меня нет никаких вирусов и прочей фигни - потрудитесь объяснить, за что вы мой сайт заблокировали. Сегодня опять зашёл на stopbadware.org и смотрю - с моего сайта блокировка снята (1 октября - когда на ThreatTrack написал). Но теперь в истории моего сайта есть запись, что он был в блокировке с марта по октябрь. Это, конечно, не судимость, но очень неприятно.
А теперь то, что меня ОСОБЕННО БЕСИТ. Я проверил свой сайт на трёх сервисах:
virustotal.com/en/url/...
google.com/safebrowsing/diagnostic...
urlvoid.com/...
И только VirusTotal.com сказал, что мой сайт был проверен в марте (всё совпадает) и 1 (ОДИН!) антивирус что-то там нашёл - чёртов BitDefender! Самое главное - я сделал ещё раз проверку сайта на VirusTotal.com и там больше ничего не нашлось - сайт прошёл проверку всеми антивирусами.

Вы понимаете что происходит?
- какие-то уроды пишут кривой антивирус BitDefender, который всё считает вирусами;
- кто-то, на каком-то сервисе, отправляет мой сайт на проверку;
- мой сайт блокируется 1 (одним!) куском не буду говорить чего, но это был BitDefender;
- из-за 1 (одного!!!) ложного срабатывания мой сайт попадает в чёрный список, который непонятно кто распространяет и непонятно кто составляет;
- и теперь хозяину сайта, который об этом всём ни сном ни духом, нужно где-то и как-то искать кто, когда и как занёс его сайт в этот чёртов чёрный список, чтобы оттуда удалиться;
- но самое главное - хоть тебя и убрали из списка, но история о том что твой сайт был в блокировке так и останется - и это при том, что блокировка была из-за ЛОЖНОГО срабатывания!!!

Я понимаю что борьба с вирусами, фишинговыми сайтами и прочее и прочее. Но это уже маразм какой-то. Если пользователь дебил, то можно сколько угодно защищать его от подобных сайтов - он всё равно туда залезет. Зато страдают все остальные. И, вообще, благими делами вымощена дорога известно куда. На данный момент Интернет уничтожают не столько вирусы и фишинговые сайты, сколько антивирусные компании блокирующие всё подряд.
Люди, что с вами не так?!