!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[-=CHE@TER=-]

Допишу ещё чутка про Avast - похоже остановлюсь на нём.

1) Несмотря на то, что антивирус бесплатный для домашнего и некоммерческого использования, после установки он работает всего 30 дней, а потом его нужно регистрировать. Регистрация бесплатная, но не сразу вкупаешь что произошло и почему вылезло окошко об окончании срока действия триального ключа. Сам же ключ нужно получать на специальной странице, действует он ровно год, но продлять, как я понял, можно сколько угодно раз.

2) Увы, Avast подвержен той же болезни, что и Dr.Web - ненависть к программам на Delphi 7, причём даже без использования DCC32HACK. Приходится на время написания программы отключать антивирус или вносить каталог с ней в исключения, чтобы каждый новый сгенерированный компилятором исполняемый файл не улетал в карантин. Кстати, почему-то ещё и на последнюю версию STUNS ругнулся, что, вообще, за гранью моего понимания - отправил им файл на исследование, чтобы занесли в исключения антивирусной БД.

3) Ужасно раздражает алгоритм проверки со всплывающим окном, о том что программа де запущена на 15 секунд в песочнице дабы поглядеть что это за зверь. Практически все программы, которые я ещё не запускал после установки этого антивируса, напарываются на это окно.

4) Почему-то очень (ОЧЕНЬ) долгое выключение компьютера. Экран "Идёт сохранение настроек..." в Windows может висеть до 5 минут.

В остальном антивирусом доволен. Каких-то особых тормозов не замечено - даже система стартует быстро (по сравнению с другими антивирусами - а это уже не мало)! Память тоже достаточно по божески жрёт - в оперативке всего два процесса этого антивируса. В общем, остаюсь на нём.