!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[-=CHE@TER=-]

Ушёл с Avast'а. Ибо оно в систему своих драйверов для перехвата всего понатолкало, в результате чего я офигевал с непонятных перезагрузок, синих экранов и много другого треша.
Короче, я вернулся на AVG2013 (эпопея с его поиском и выковыриванием из веб архива, а также установкой ещё та была), но потом он перестал обновляться да и тормозил страшно.
Перешёл я на Panda Antivirus, благо что разработчики завляли что будут поддерживать Windows XP.
Всё было неплохо, но в один далеко не прекрасный момент он перестал обновляться.
Почему? Потому что у разработчиков руки растут не из того места и теперь для работы службы обновления нужен .Net Framework 4.0 (долбанный сты-ы-ыд!!!). Обматерив всё, пришлось ставить эту мерзость себе на компьютер.
А тут новая напасть - последние два дня PSUAService.exe падает каждые 10 минут с ошибкой unknown software exception (0x40000015 - STATUS_FATAL_APP_EXIT) по адресу 0x78B2D635.
Написал в службу поддержки со скриншотом ошибки и мне предложили переустановить антивирус начисто.
Ну, думаю, так не пойдёт. Подцепился отладчиком когда в очередной раз упало и поглядел в чём там дело.
Короче, служба антивируса каждые 10 минут лезет на www.pandasecurity.com и качает оттуда какой-то XML с новостями. До 1-го числа всё было нормально, а после туда добавили новость с ошибкой в XML разметке. Библиотека PSCCGUIUtils.dll антивируса распарсивает XML и, видя ошибку, кидает исключение (долбанный стыд x 2). Это исключение никто не ловит и оно вылетает на системный уровень, где система и завершает сервис с упомянутой выше ошибкой (долбанный стыд x 3). Но, само по себе, что сервис антивируса падает из-за каких-то нафиг никуда не упёршихся новостей, которые вполне себе можно скачать когда, скажем, ты админку открыл - это пять. В общем, отписался службе поддержки о косяке, посмотрим что ответят и поправят ли. А, пока что, как временное решение, забанил в файле HOSTS сайт с новостями:
0.0.0.0 www.pandasecurity.com
Потому что каждые 10 минут нажимать OK во всплывающем окне (не говоря уже о том, что оно просто ужасно раздражает) дофига неудобно. Обновления качаются с другого домена, так что блокировка конкретно этого не должна особо влиять на работу антивируса. Хорошо хоть оно само себя восстанавливало после падения.
В остальном антивирус не плохой - работает шустро, ложные срабатывания есть, но их немного.

Добавлено:
Таки да. На следующий день ответили и починили - весьма оперативно. Правда я не заметил, чтобы у PSCCGUIUtils.dll поменалась дата создания, что говорит о том, что либо они исключения выше ловят (из модуля, откуда функции этой библиотеки вызывались), либо поправили XML, что, конечно же, проблемы не решает - до следующего раза, когда опять кривую новость запостят. Но будем надеяться на лучшее.