-=CHE@TER=-
Aug 20 2007, 18:37
Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!
Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:
CODE
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff
Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.
Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском):
Original article (
перевод на инглиш).
QUOTE
Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool. Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.
Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:
CODE
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).
На данный момент:
- Symantec с последними базами
не видит этот вирус видит его
(с базами за 09.09.2007 и старше)- кашпировский с последними базами
не видит этот вирус-
на форуме кашпировского прочитал, что,
вроде бы, NOD32 блокирует работу вирусаВот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.
И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!
nickolayer
Aug 21 2007, 11:50
Avira AntiVir - интересный антивирус. Недавно еще стоял у меня. Может быть, он поможет - немногим уступает NOD32. И спасибо за предупреждение!
-=CHE@TER=-
Aug 24 2007, 03:31
Подтверждено, что NOD32 может удалить этот вирус, но не каталог "autorun..".
Вирус, называется (по NOD32): Win32/Delf.NFP
Вот ещё ссылка
BKDR_DELF.GAX с кратким описанием (похоже это тотже вирус).
Чтобы удалить каталог "autorun.." надо либо воспользоваться приведённым выше скриптом, либо программой
Unlocker (у меня она постоянно стоит). ВАЖНО: внутри каталога НИЧЕГО не должно быть - т.е. файл autorun.pif должен быть УЖЕ удалён антивирусом, иначе Unlocker не сможет удалить каталог.
Добавлено:
Оказывается ключ HKEY_LOCAL_MACHINE, почему-то напрочь игнорируется. Приходится также писать ещё в HKEY_CURRENT_USER у каждого пользователя - тогда работает. Хотя, судя по msdn, HKEY_LOCAL_MACHINE должен был перекрывать значения из HKEY_CURRENT_USER. В общем, обновил .REG-файл в первом посте - снова качаем и запускаем.
jTommy
Aug 24 2007, 09:04
Вообще, спасибо за информацию. У себя такого зверя не обнаружил. Но из всего этого вывод напрашивается такой: NOD32 лучший антивирус? Потому что, тот же Касперский до сих пор его не то что не лечит, но даже не видит. И к тому же он слишком тяжелый, даже для современных компьютеров.
nickolayer
Aug 24 2007, 14:19
Не совсем лучший... говорю же (выше), что есть еще один примерно такого же уровня. Но лучше Касперского, безусловно. Его лечилка выглядит несколько комично, учитывая то, что удалять у него получается немного лучше.
-=CHE@TER=-
Aug 24 2007, 19:56
Ну, может быть, NOD32 и лучший.
Мне как-то narmo показывал .PDF файл с его наградами - их там охренеть сколько. (*улыбается*)
Сам я юзаю Symantec, но он только файлы проверяет/лечит (при запуске/открытии/создании), т.е. процессы не блокирует когда они что-то "не то" делают. Таким образом, если что-то неизвестное случайно запустить - можно горько пожалеть. (*улыбается*)
Кашпировский - это ваще жесть. Мне его дали в качестве бесплатного приложения к компу лет 5 назад. Поюзал полгода и плюнул - даже с последними базами все вирусы подряд пропускает, который другие антивирусы уже 100 лет как знают к тому же ужас какой тормозной и глючный - лечил машину как-то так он апосля тысячи с чем-то вылеченных файлов намертво завис. (*улыбается*)
Ещё есть опыт юзания McAffee - у знакомых через почту был получен крутой червь, который себя в системных драйверах прописал. Уже не помню названия, но весь прикол был, что его даже в Safe Mode вытащить нельзя было, а его отличительной особенностью было то, что если попытаться создать файл с именем как у вируса (чего-то-там.sys) то компьютер сразу шёл в ребут, как будто RESET нажали.
Там стоял McAffee - я обновил к нему базы через Интернет, проверил весь жёсткий диск - ничего подозрительного не нашёл. Снёс к чёрту, поставил Symantec, обновил базы и снова сделал полную проверку бердана - хрясь и захерил этого червя. Более того он ещё 4 троянца нашёл, которые McAffee тоже прохлопал.
Вообще, всё, конечно, сильно зависит от того, насколько оперативно вирусы появляются в БД антивирусов - т.е. насколько часто пользователи туда эти самые вирусы шлют, чтобы их в БД добавили.
На моей памяти есть такой случий: как раз до того, как я купил комп (5 лет назад) стоял у меня дома старенький 286. И надо же было такому случиться - поймал я новый вирус, под DOS, который Dr.Web (он у меня стоял) не видел. К слову, кашпер и AidsTest (если, конечно, кто-то помнит эту древнюю утилиту) его тоже не видели. Попросил знакомых, у которых каспер был - те, сказали - ноу проблем. Дал им какой-то заражённый системный файл, они его залили куда-то кашперу и, через неделю, вышла БД кашпировского, которая уже лечила этот вирус. Далее было дело техники - взял эту БД-обновление к себе на комп и всё вылечил.
Так что, видимо, NOD32 просто пользователи больше любят. (*улыбается*)
xkL0#J
Aug 25 2007, 17:15
Есть ещё
Dr.Web, который имхо, ни в чём не уступает вышеизложенным конкурентам. Мало жрёт систему, сканит когда надо и прост в эксплуатации.
Когда-то поставил антивирус от тов. Касперского. После установки, шарясь по своему винту, зашел в папку где был дистр.
Nero 7-го, комп завис (
"наверно проверяет дистрибутив" - подумал я) через
40! мин. комп завис полностью, мишь и клава перестали работать.
Решение проблемы: reset и uninstall. После этого случая, ПО данной компании, меня больше не интересует.
(Пусть лучше лепят хранители экрана, раз за столько лет так и не смогли сделать нормальный антивирус).Вот моя история.
Недавно подхватил червя, сущее проклятье. В инет выхожу с помощью мобилы (это меня и спасло). Вечером решил проверить почту, подключился но через 2 сек. меня выбросило, а телефон по прежнему оставался в режиме пакетной передачи данных,
Outpost молчит (какие-либо соединения отсутствуют) и
Dr.Web тоже. А тем временем комп, через мобилу, используя
GPRS соединение, начинал звонить на непонятный номер. На следующий день, на работе, обновил все базы на все имеющиеся антивири (
Symantec, NOD32 и Dr.Web) и с этим боекомплектом пришел домой...
День 1: Symantec - нашёл... впрочем он и сам не понял что он нашёл, короче какая-то херь с шести-буквенным, хаотично расположенным, названием. Хаотично расположенным потому что сначала нашёл -
"njdfhl", а при повторном сканировании -
"fhnldj". Потом он обнаружил в себе баг и решил рапортонуть своему создателю (ага, мне осталось только в инет выйти
)
NOD32 - ничего не нашёл.
Dr.Web - ничего не нашёл.
День 2: (обновил базы)
Symantec -
!!!ничего не нашёл!!! Походу точно какой-то баг.
NOD32 - ничего не нашёл
Dr.Web - ничего не нашёл
День 3 - 6: тоже самое
.
За это время я обнаружил такое: в ветке
C:\Documents and Settings\xkL0#J\Application Data появилась папка
iamgreyuser в ней оказались 2 файла, названий не помню, но точно помню что exe-шник занимал
12kb, а другой без расширения -
128kb.
День 7:Symantec - ничего не нашёл.
NOD32 - ничего не нашёл.
Dr.Web - находит две каких-то dll-ки, удалил. После перезагрузки они опять появились, в паке
iamgreyuser ничего не нашёл! Загрузка в
safe mode - результат тот же. Но на этот случай у меня есть
XP которая грузится с болванки, ей не нужен винт грузится в оперативку. Там из
cmd запускаю
Dr.Web - находит 2 клятых dll-ки и
!!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса.
Но заразу всё-таки убил.P.S. Кто лучше я не знаю, но с Dr.Web мне спокойней чем с монструозно-неудобным NOD32, а за Symantec-овский я вобще молчу.
-=CHE@TER=-
Aug 27 2007, 05:11
QUOTE(xkL0#J @ Aug 25 2007, 05:15 PM)
Там из cmd запускаю Dr.Web - находит 2 клятых dll-ки и !!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса. Но заразу всё-таки убил.
Это потому что вирус перехватывал функции работы с файлами и ты .EXE вообще не видел из-за вируса (он просто его скрывал).
Что касаемо антивирусов - то тут чаще главную роль играют пристрастия каждого конкретного человека к тому или иному продукту, а не его надёжность/качество - как говорится, на вкус и цвет фломастеры разные. (*улыбается*)
Выскажу и я своё мнение
Дома юзаю ДрВеб, с того самого момента как я осознал что совсем без антивиря дальше жить нельзя (года 3-4 назад
) Ложных срабатываний минимум - за всё время раза 2-3 было, несрабатывания на явных угрозах бывают, в основном на свежих модификациях вирусов/троянов (я базы обновляю 1 раз в неделю, как правило в обновлении баз добавлялось и детектирование "свежачка"), но это бывает со всеми антивирями. Для дома Веб - самое то: быстр, неглючен, прост.
На работе стоит НОД32 - инструмент посерьёзнее
Тут >25 компов, поэтому поднят нодовский сервак с зеркалом обновлений, установка на компы юзеров и сбор статистики с них ведётся с сервера. Ложных срабатываний почти за год работы не было, палит практически всё что можно, может это потому что автообновление каждый час. Пару раз пропускал троянцев, приходилось вручную чистить, но учитывая что 25 машин - простительно
В настройке посложнее (хотя можно сказать более гибкий) чем Веб, подходит когда много компов с одинаковыми настройками - один раз создал конфиг и ставишь на клиентские тачки уже настроенный антивирь.
Также есть небольшой опыт общения с кашперовским - гадость ужасно тормозная, и, вопреки всем отзывам о его превосходной защите (типа "он тормозный, но ловит всё"), у меня были случаи когда он не ловил очень опасные вещи (из разряда руткитов, но ещё на стадии установки, то есть когда руткит ещё не борется с антивирем).
Симантек. Стоял на работе до нода, ничего сказать про него не могу, т.к почти сразу с моим приходом заменили на нод. Сразу после установки нод на нескольких компах нашел парочку червей, но это можно списать на старые базы симантека (там непонятно обновлялись ли они вообще).
Вот так вот
-=CHE@TER=-
Aug 27 2007, 20:43
Насчёт "ложных срабатываний" - Symantec рубит все кейгены и кряки на корню - "HackTool" и всё. Моя твоя не понимай. Причём у меня какой-то кряк валялся чуть ли не два года. Недавно обновил базы - бац! и Symantec его схерил. (*улыбается*)
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули:
Касперский - человек и маска?
xkL0#J
Aug 28 2007, 17:50
QUOTE(-=CHE@TER=- @ Aug 27 2007, 08:43 PM)
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули:
Касперский - человек и маска?Сильная статья и комменты тоже, спасибо. В душе(где-то очень глубоко) я догадывался что тов. Касперский - быдло рублёвый. Походу точно make blowjob фсб-шникам или отделу “Р”... чорт, таких людей я ненавижу ещё больше чем перекупщиков
.
jTommy
Aug 28 2007, 18:03
QUOTE(-=CHE@TER=- @ Aug 28 2007, 12:43 AM)
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули:
Касперский - человек и маска?Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.
Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами.
nickolayer
Aug 29 2007, 15:01
Я бы отнесся к этой статье как к факту для справки. Материал приняли к сведению - и действуем по своему выбору. Можем пользоваться, можем не пользоваться. Но я считаю, что данная статья на решение влиять не должна.
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания?
-=CHE@TER=-
Aug 30 2007, 08:49
QUOTE(jTommy @ Aug 28 2007, 06:03 PM)
Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.
Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами.
"Спокойствие, только спокойствие!" © сами знаете кто (*улыбается*)
Данная статья была дана как информация к размышлению. Я и сам считаю, что пишут на заборах и пишут вирусы люди не от большого ума. И то что с этим "бороться надо всеми средствами" - согласен.
В этом смысле полностью согласен с
nickolayer'ом - "Материал приняли к сведению - и действуем по своему выбору."
Что насчёт решения по выбору антивируса, то отдавать деньги всё-таки, да, хочется именно за качественный продукт - это раз. А два - не кормить при этом людей, мягко говоря, недостойных.
Кстати, возврящаясь к одному из своих первых постов - про вирус, который прописывался как системный драйвер - нашёл свои бумажные записи:
C:\WINDOWS\SYSTEM32\DRIVERS\runtime2.sys
C:\WINDOWS\TEMP\STARTDRV.EXE (обратите внимание, не S
MARTDRV, а S
TARTDRV - типа, маскируется под системный, хоть и во временном каталоге)
Попробуйте у себя создать в любом каталоге файл с именем runtime2.sys - если комп при попытке создать такой файл пойдёт в перезагрузку - у вас вирус.
jTommy
Aug 30 2007, 17:28
QUOTE(nickolayer @ Aug 29 2007, 07:01 PM)
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания?
А их можно перевоспитать? Я в этом сомневаюсь.
Вирусописателей я считаю, ни много, ни мало террористами. При приведении ими в действие своих детищ страдают невинные люди.
Вчера поставил NOD32 и Dr.Web. Оба понравились, шустрые и не тяжелые. NOD32 за вечер умудрился проверить (глубокая проверка) все диски, а это, судя по логам, более 1 млн. файлов. Полную проверку Dr.Web'ом еще не устравивал.
Кстати,
-=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это
Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание?
Шучу конечно, я понимаю, что это ложное срабатывание.
Dr.Web на этом файле ничего не сказал.
nickolayer
Aug 31 2007, 10:14
Террористами - сильновато сказано. Я готов допустить, что 70% вирусов написаны с совершенно вредительскими целями. Пусть даже 90%. Но кадры, занимающиеся постановкой экспериментов типа "а если я вот так сделаю, что получится?" или "а если так закончить, что эта программка сумеет сделать?", еще не перевелись. И вряд ли когда-нибудь переведутся.
xkL0#J
Aug 31 2007, 16:50
to nickolayer
Это защита, оправдание или просто логическое мышление. Спору нет, есть экспериментаторы, и весьма серьёзные, у них цель одна - победить систему или попытаться её обойти. Я не согласен с твоим процентным соотношением, думаю 99,9% именно (очень хорошо замечено) террористы, 0,01 - экспериментаторы.
А что касается борьбы... в первую очередь нужно за самим собой следить. Если перестать вестись на ихние уловки, то имхо, в конечном итоги они пожрут друг друга (хоть и появятся новые), другого пути нет наверно.
-=CHE@TER=-
Aug 31 2007, 19:21
QUOTE(jTommy @ Aug 30 2007, 05:28 PM)
Кстати,
-=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это
Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание?
Шучу конечно, я понимаю, что это ложное срабатывание.
Dr.Web на этом файле ничего не сказал.
Гм. Странно. Ничего не могу сказать. Могу дать исходные коды - компиль сам. Убедишься, что там ничего нет.
Мне больше интересно на основании чего NOD32 решил, что ToolD2.dat - вирус. Более того, почему он так же не решил, скажем, об Tool2.dat - т.к. они оба не сильно различаются.
QUOTE(-=CHE@TER=- @ Aug 30 2007, 12:49 PM)
Кстати, возврящаясь к одному из своих первых постов - про вирус, который прописывался как системный драйвер - нашёл свои бумажные записи:
C:\WINDOWS\SYSTEM32\DRIVERS\runtime2.sys
C:\WINDOWS\TEMP\STARTDRV.EXE (обратите внимание, не SMARTDRV, а STARTDRV - типа, маскируется под системный, хоть и во временном каталоге)
Попробуйте у себя создать в любом каталоге файл с именем runtime2.sys - если комп при попытке создать такой файл пойдёт в перезагрузку - у вас вирус.
хехе, если не секрет, чем истреблял?
у меня на работе на компе, который в принципе не входит в мою компетенцию, во вторник была эта хрень - попросили помочь, ну я там и вычистил не менее 5ти разновидностей всякой заразы, среди которой была и такая как ты описал
а всего-то девушка зашла из эксплорера по одной ссылке, которую выдал ей яндекс (запрос не помню)
на компе был нод32 с базами примерно полугодичной давности - оказался полностью бесполезным, так что важнее не то какой антивирь, а то, насколько свежие у него установлены базы.
зы: а, это тот которого ты Симантеком убил после "МакКофе"?
QUOTE(nickolayer @ Aug 31 2007, 02:14 PM)
Террористами - сильновато сказано. Я готов допустить, что 70% вирусов написаны с совершенно вредительскими целями. Пусть даже 90%. Но кадры, занимающиеся постановкой экспериментов типа "а если я вот так сделаю, что получится?" или "а если так закончить, что эта программка сумеет сделать?", еще не перевелись. И вряд ли когда-нибудь переведутся.
Может и сильновато, но схожесть их действий видна невооруженным глазом.
А экспериментаторы пускай эксперементируют, только почему мы выступаем в роли подопытных кроликов?
QUOTE(-=CHE@TER=- @ Aug 31 2007, 11:21 PM)
Гм. Странно. Ничего не могу сказать. Могу дать исходные коды - компиль сам. Убедишься, что там ничего нет.
Мне больше интересно на основании чего NOD32 решил, что ToolD2.dat - вирус. Более того, почему он так же не решил, скажем, об Tool2.dat - т.к. они оба не сильно различаются.
Не заморачивайся. Это всего-лишь ложное срабатывание эвристики.
-=CHE@TER=-
Sep 1 2007, 18:02
QUOTE(Axsis @ Aug 31 2007, 10:15 PM)
хехе, если не секрет, чем истреблял?
Ну ты, в принципе, сам на этот вопрос и ответил:
QUOTE(Axsis @ Aug 31 2007, 10:15 PM)
зы: а, это тот которого ты Симантеком убил после "МакКофе"?
(*улыбается*)
QUOTE(Axsis @ Aug 31 2007, 10:15 PM)
а всего-то девушка зашла из эксплорера по одной ссылке, которую выдал ей яндекс (запрос не помню)
Я тоже уже так накололся. Теперь никогда и ни за что не использую IE. Только Opera.
jTommy!
Смысл просто был в том, чтобы понять из-за чего это вообще. Вдруг, ты напишешь программу и на неё NOD32 тоже ругаться будет. Тогда нужно быть, так сказать, подкованным - знать что где изменить/заменить в коде программы, чтобы не было ложных срабатываний. Не будешь же всем пользователям объяснять, что это NOD32 - тупой и ложно срабатывает - они, скорее, поверят что у тебя в программе вирус.
Дмитрий-Нск
Sep 2 2007, 04:05
здравствуйте
у меня побывал Delf - поленился я месяц обновлять базы Nod'a
базы обновил - вирь везде, где можно было был удалён антивирусом, но! комп не исзелчён. был не излечён - я форматнул диск С (10 гигов) и восстановил образ.
почему не удалён? потому что от него остались следы в директории Windows
файлы regedit.exe, msconfig.exe, cmd.exe были ущемлены - до них был закрыт доступ - файлы есть, а доступа нет. взамен им система или антивир создали их дубли с именами regedit.exe.exe и в т.д...
в общем формат.
теперь вопрос:
на локальном диске D (он у меня 290 гигов) у меня склад информации - я сисадмин и дизайнер. форматнуть диск D у меня рука не подыметься. на этом диске осталась папка "runauto..".
самая соль в том, что антивирус периодически удаляет из неё один и тот же файл (следовательно он не может его удалить, а пытается это сделать, как только файл с вирусом пытается активироваться. меня, разумеется, смущает эта папка. Unlocker'ом, как выше было сказано, удалить нет возможности - пробовал 2 версии (1.7.1 и 1.8.5) - даже не появляется вариант удалить эту папку с помощью unlocker'a - на всех других такой вариант есть...
что думаете, господа?
P.S.: ваш reg файл я внёс в реестр, спасибо
nickolayer
Sep 2 2007, 08:46
to
xkLO#J:
Возможно, экспериментаторов немного. Но я согласен насчет борьбы. Люди занимаются вредительством в том числе и для того, чтобы нам было хуже. Не поддаваясь на их трюки, мы делаем их труд бессмысленным... хотя если они и пожрут друг друга, то очень нескоро.
to
jTommy:
В роли подопытных кроликов мы, пототму что больше некому... где же они узнают об исходе эксперимента, как не от растерянных пользователей?
to
-=CHE@TER=-::
Opera, конечно, малость сложнее в обращении, чем IE, но рекламу в этом обозревателе в виде всплывающих окон почти и не увидишь. Когда NOD32 находит вирус где-то на той страничке, куда я захожу, это происходит в IE, но никогда в Opera. Поэтому я принял тот же выбор.
-=CHE@TER=-
Sep 2 2007, 13:27
Дмитрий-Нск!
Тут есть одна хитрость. Если внимательно присмотреться к содержанию файла autorun.inf, который создаёт вирус, то там можно заметить, что вирус сам обращается к каталогу не как "autorun..", а как "RUNAUT~1". Чем мы и воспользуемся.
Делаем так:
1) Пуск -> Выполнить...
2) Набираем там: d:\runaut~1\
3) Щёлкаем по кнопке ОК - и открывается этот самый каталог.
Теперь щёлкаем на autorun.pif правой клавишей и херим его Unlocker'ом.
После этого поднимаемся в корень диска и оттуда опять-таки Unlocker'ом херим и сам каталог (пустой каталог будет хериться, а с файлом - нет).
Насчёт копий CMD.EXE, REGEDIT.EXE, MSCONFIG.EXE - ничего сказать не могу, т.е. у меня их нет - всё ок (пользовался скриптом приведённым по ссылке в первом посте). Дубли с именами *.EXE.EXE создавал вирус.
P.S. У меня Unlocker 1.8.5.
Дмитрий-Нск
Sep 3 2007, 02:15
спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker...
-=CHE@TER=-
Sep 6 2007, 19:07
QUOTE(Дмитрий-Нск @ Sep 3 2007, 02:15 AM)
спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker...:(
Кто не появляется? Вызов Unlocker на каталоге "RUNAUT~1"? Он в контекстное меню что-ли не встроен?
При установке Unlocker есть такая галочка "Встроить в Проводник" - так вот, она должна быть включена.
Добавлено:
Всё, начиная с сегоднешнего дня Symantec видит этот троян:
Trojan.KillAV (правда там мало чего вразумительного написано о том, как его удалить). Сам проверил - видит и удаляет.
Ещё добавлено:
Затрахало. Это оказалась старая версия вируса. Сегодня притащили новую. Вот VirDelete.bat файл, который я переделал из китайского - он херит эту сволочь раз и навсегда (в том числе и из оперативной памяти):
Кликните правой клавишей мышки на ссылке и выберите "Сохранить как..."
Click right mouse button to link and select "Save as..."
Siberian GRemlin
Sep 8 2007, 03:29
У меня палево: вчера скидывал знакомой с флэшки на флэшку инфу, потом в силу обстоятельств - обалдуи с её группы вырезали с флэшки файлы, вставили на рабочий стол, переставили флэшку и в этот момент у компа отказал USB порт, в итоге у них началась истерика - мне пришлось их выручать, скидывая через интернет на другой комп. Вообщем, печаль не в этом, а в том, что на одной их их флэшек я заметил два файла: AUTORUN.INF и SVCHOST.EXE с розовой иконкой, для меня даже не стало удивлением, что они не знают что это и откуда. Явно, это сифон какой-то. NOD32 на том компе его не поймал. Теперь я палюсь вставлять свою флэшку в свой комп. Не, можно конечно отключить функцию автозапуска, а потом включить, но мне как-то лень... мне интересно, если зажать левый SHIFT и вставить флэшку, проигнорируется ли автозапуск, как это с оптическими дисками происходит?
-=CHE@TER=-
Sep 8 2007, 11:27
Siberian GRemlin!
SHIFT должен, по идее, помочь. Плюс не забудь .REG файл из первого поста (и перезагурзись после его применения).
Если совсем сомневаешься сделай так: возьми WinXPBootableCD, отключи жёсткие диски (выдерни шлейфы), грузанись с этого CD-ROM и там втыкай флэшку - тогда точно ничего не заразится.
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами.
QUOTE(-=CHE@TER=- @ Sep 8 2007, 03:27 PM)
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами.
Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.
Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился?
-=CHE@TER=-
Sep 8 2007, 15:45
QUOTE(jTommy @ Sep 8 2007, 03:32 PM)
Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.
Нет, это, конечно, всё верно, но переключатель тоже бы не помешал...
QUOTE(jTommy @ Sep 8 2007, 03:32 PM)
Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился?
Скорее всего, это значает то, что на такой флэшке просто напросто нет autorun.inf - иначе запустился бы он. Не уверен на все 100%, но скорее всего так.
-=CHE@TER=-
Sep 10 2007, 10:43
Оказывается, существует несколько вариаций на тему "RUNAUTO..".
Одну из них
Symantec не знал. Отослал им вирус (BTW, это может сделать любой желающий
отсюда) 07.09.2007, и вот сегодня, только они мне ответили, что базы за
09.09.2007 rev.17 его лечат. Обновился, проверил - точно лечат. Почему-то они определили его как
Backdoor.Graybird, хотя по описанию нихрена не похож. Ну да ладно - главное, что он теперь лечится.
Siberian GRemlin
Sep 11 2007, 15:36
QUOTE(jTommy @ Sep 8 2007, 11:32 PM)
А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.
Может ты его не заметил?! =) Лично я без него ещё ни одной не видел.
jTommy
Sep 11 2007, 16:07
QUOTE(Siberian GRemlin @ Sep 11 2007, 07:36 PM)
Может ты его не заметил?! =) Лично я без него ещё ни одной не видел.
Интересно... Мы наверное о разных флешках говорим? Я держал в руках много USB-флешек от Transcend и A-Data - ни на одной, также Kingston DataTraveler I&II - тоже нету. Флешки SD (Secure Digital), вот эти точно все с таким переключателем.
Siberian GRemlin
Sep 13 2007, 11:03
Гляжу на Transcend... сбоку такой овальный переключатель.
Дмитрий-Нск
Sep 20 2007, 16:48
у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut..
как её грохнуть без формата?
-=CHE@TER=-
Sep 20 2007, 21:20
QUOTE(Дмитрий-Нск @ Sep 20 2007, 04:48 PM)
у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut..
как её грохнуть без формата?
Воспользуйтесь .BAT файлом
вот из этого поста.
Или только вот этой его частью (сохраните как .BAT файл и запустите):
CODE
@echo off
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\autorun.inf cacls %%d:\autorun.inf /c /e /p /t everyone:f
if exist %%d:\autorun.inf attrib -s -h -r %%d:\autorun.inf
if exist %%d:\autorun.inf del %%d:\autorun.inf /q
if exist %%d:\autorun.inf rd %%d:\autorun.inf /s /q
if exist %%d:\runaut~1 cacls %%d:\runaut~1 /c /e /p /t everyone:f
if exist %%d:\runaut~1 rd %%d:\runaut~1 /s /q
if exist %%d:\autorun.inf.tmp attrib -s -h -r %%d:\autorun.inf.tmp
if exist %%d:\autorun.inf.tmp del %%d:\autorun.inf.tmp /q
)
Siberian GRemlin
Oct 3 2007, 16:10
Товарищи, я уже несколько раз ловил комп за тем, что он качает что-то большое из инета. Все автообновления и отсылки докладов разработчикам отключены. За обновлениями замечен был только Flash - как ему обновление вырубить? И ещё вроде же есть программки, которые отслеживают и выдают информацию о том какое ПО откуда и сколько в данный момент качает или качало или пытается. Посоветуйте, пожалуйста, если пользуетесь... А то вдруг сифон какой-нибудь.
Outpost - при правильной настройке этому фаерволу нет цены (но полноценной защиты всеравно не существует
), при неправильной - полный кошмар... Он выдает достаточно подробную инфу на все активные подключения, какой процесс и сколько он скачал. Попробуй.
Siberian GRemlin, ставь файерволл обязательно. Он тебе покажет все программы, которые рвутся в инет, плюс расскажет о том, кто хочет залезть в твое личное дисковое пространство.
Я без теперь файера в открытый инет не выхожу.
Кому есть что сказать про этот класс программ - добро пожаловать в соседную ветку.
Дмитрий-Нск
Oct 8 2007, 12:38
спасибо вам огромное!
Я, как пользователь нисовсем лицензионных программ
, юзаю NOD32, т.к. он без проблем обновляет базы. Подвёл только один раз, при присылке вируса по почте. Но тут не подвела моя голова. Я сохранил вируз в папочку и три дня подряд пытал её НОДом, параллельно с отсылкой файла на проверку. На 4-й день вирус всётаки обнаружился. Слава НОДу!!!))))))
DrWeb Юзал. До первого обновления, после чего он отказался работать, выпрашивая у меня серийный номер.
Каспер не уважаю, поэтому и не юзаю.
Панда - это ваще антивирус-самоубийца. Когда у меня он нашел вирус Win32.Jeefo, то он сам заразился, да ещё и всю систему заразил.
Остальные не юзал, и не собираюсь.....
-=CHE@TER=-
May 31 2008, 13:05
Блин, Symantec с последним обновлением (за 30.05.2008) вынес TOTALCMD.EXE.
Причём с тупой причиной:
Packed.Generic.76Придётся для подсчёта/проверки md5 писать программу или, даже лучше, плагин для FAR.
А вот с прогой для разблокировки дисков на телефоне придётся попотеть - та, которая идёт как .EXE файл, сразу убивается Symantec'ом, а плагин для TC не выносило.
Впрочем, покопаемся в его потрошках - посмотрим как он это делает и напишем свой. (*улыбается*)
А то и правда держать TC только ради этих двух функций - глупо, особенно с учётом, что я FAR'ом пользуюсь.
[OffTopic]QUOTE(-=CHE@TER=- @ May 31 2008, 04:05 PM)
...для подсчёта/проверки md5...
Доброго времени суток
. Объясни незнающему, зачем нужен этот
"md5", я знаю, что это вроде для проверки CRC, вроде...
-=CHE@TER=-
Jun 6 2008, 11:55
[OffTopic]QUOTE(xkL0#J @ Jun 6 2008, 05:16 AM)
Доброго времени суток
. Объясни незнающему, зачем нужен этот
"md5", я знаю, что это вроде для проверки CRC, вроде...
Ну,
MD5 в отличие от
CRC32 генерит не 4-х байтный (8*4=32 бита), а 16-ти байтный код. Я так понимаю вероятность появления ошибки сокращается.
Я сразу скажу, что слабо в этом разбираюсь (и могу сморозить какую-нибудь глупость, так что поправьте, если что), но давай представим такую ситуацию: 4 байта (8*4=32 бита) могут хранить число 2 в 32 степени (2^32) - т.е. числа от 0 до 4294967295 - итого 4.294.967.296 возможных комбинаций. Что такое по сути хэш или контрольная сумма? Это некоторое число, которое по какому-то алгоритму сопоставляется входным данным. Когда у тебя на входе данных, для примера CRC32, меньше либо равно чем 4 байта - то у тебя каждой последовательности байт можно сопоставить уникальную CRC32 контрольную сумму. Хотя бы даже по номеру - например:
0 - соответствует 0
1 - соответствует 1
...
4294967295 - соответствует 4294967295 (FF FF FF FF)
в случае с CRC32 у тебя левый столбец так и будет от 0 до 4294967295 , а правый будет раскидан по некоторому алгоритму.
Но что делать, когда у тебя не 4 байта, а 200 Мб? В такой ситуации сочиняется некоторый алгоритм, который позволяет вычислить контрольную сумму в зависимости от содержания этих 200 Мб. Скажу сразу - если размер этих данных увеличить/уменьшить - то контрольная сумма может быть легко подделана (но чтобы она получилась такая же как у оригинального файла "случайно" - это... очень маловероятно). Но, предположим, что скачиваем какой-нибудь, "Genesis - Land of Confusion [AABBCCDD].mp3", где [AABBCCDD] - это его CRC32 контрольная сумма в HEX (шестнадцатеричном представлении). Т.к. файл при скачивании (когда нет ошибок с сетевыми пакетами) всегда у всех имеет один и тот же размер, то в случае повреждения какого-либо байта или блока байт это тут же отразится на контрольной сумме. Но! Почему же MD5 лучше CRC32?.. Давайте посмотрим:
200 Мб = это 200*1024*1024 = 209.715.200 байт. А теперь делим на 4 байта (размер CRC32):
209715200/4 = 52 428 800 - т.е. CRC32 умещается целиком в таком файле 52 миллиона раз! Т.е. существует 52 миллиона варинатов файла размером 200 Мб, у которых CRC32 будет одинаковый, а содержимое - разным! Конечно, случайное (именно случайное!) изменение байт таким образом, чтобы CRC32 совпало, довольно маловероятно (где-то даже вероятность читал, кажется в той же Wiki), но тем не менее, в случае MD5 (16 байт!) - эта вероятность в 4 раза меньше.
Надеюсь, что понятно объяснил. (*улыбается*)
Сразу предупреждаю, что глубоко в MD5/CRC32 не копал - возможно у них могут повторяться контрольные суммы чаще, чем их длинна - например, могут быть совпадающие CRC32 у файла размером в 4 байта. Ещё раз говорю - это только предположение! - честно говоря лень читать все мат.выкладки этих алгоритмов.
Grom PE
Jun 7 2008, 12:06
[OffTopic]QUOTE(-=CHE@TER=-)
изменение байт таким образом, чтобы CRC32 совпало, довольно маловероятно (где-то даже вероятность читал, кажется в той же Wiki), но тем не менее, в случае MD5 (16 байт!) - эта вероятность в 4 раза меньше.
Вероятность того, что у двух случайно взятых файлов совпадет
CRC32 - 1 из 2^32, а у
MD5 - 1 из 2^128, что в 7.9*10^28 раз менее вероятно.
-=CHE@TER=-
May 22 2009, 13:31
Очередную хрень на тачке знакомого лечил.
Симптомы: неизвестная служба WMISyncDB (её невозможно остановить обычными средствами).
Есть скрытый файл: C:\WINDOWS\System\wmisym.exe
Есть драйвер: C:\WINDOWS\system32\drivers\sysdrv32.sys
Драйвер Symantec грохает как Bot-что-то там, а вот wmisym.exe каждый раз генерится заново - я отослал один такой файл в БД Symantec, его добавили, а не другой машине этот файл (со свежими антивирусными базами) спокойно проходил проверку. Собственно, можно завершить его процесс через Диспетчер задач, а потом БЫСТРО удалить с диска, пока он заново не запустился.
Ещё эта хрень где-то в реестре прописывается, но я точно не помню где - в принципе по имени можно поискать.
чтоб не создавать новую тему напишу сюда
QUOTE
В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.
спёрто отсюда:
http://habrahabr.ru/blogs/virus/66937/
-=CHE@TER=-
Nov 18 2009, 05:27
Что-то Symantec совсем стал загибаться под тяжестью своих баз - комп уже еле ворочается от процесса Rtvscan.exe, который, к тому же, и памяти нехило так откусывает. В связи с чем крепо задумался о смене антивируса.
Товарищ
Axsis, у меня к тебе вопрос, как к пользователю Dr.Web - он всякие кряки и кейгены не трогает или тоже удаляет? Потому что меня в Symantec помимо его прожорливости ещё выбесило что он удаляет все кейгены, кряки и даже файлы от demoscene (эта сволочь удалил мою любимую
The Prophecy - Project Nemesis от Conspiracy).
Dr.WEB практически не трогает кейгены и 64к интро, хотя бывают и у него ложные срабатывания.
я в связи с переходом на Win7 x64 был вынужден дома перейти на ESET Smart Security (ESET AntiVirus + firewall), так как поддержка x64 в drweb'е только начала проходить бета тестирование, а ставить себе "сырой" антивирь как-то не хочется - это всё-таки не муз. проигрыватель, садится в систему глубоко, и его баги могут выливаться в BSOD'ы.
так вот ESS (а следовательно и EAV) довольно часто реагирует на пакеры, которыми накрывают кейгены/демки. на распакованные версии молчит как партизан.
-=CHE@TER=-
Jan 16 2010, 09:46
И ещё раз об антивирусах...
Блин, не смог поставить Dr.Web, потому что во-первых, этож надо было додуматься антивирус в инсталлятор .MSI засунуть (распаковал и даже посмотрел куда и чего в реестр пишет, но там некоторые значения ключей только во время выполнения записываются, так что облом вручную поставить), а во-вторых, он, гад, при установке требует планировщик (причём он нужен только для автоматического обновления баз данных - на их форуме прочитал, а я базы всегда сам обновляю когда мне надо) и без него не хочет ставиться. Я у себя планировщик и некоторые другие службы просто уничтожил на корню - даже файлов не осталось. Ставить его ради Dr.Web - да не пошли бы эти криворукие программисты куда-нибудь подальше лесом.
Зато покопавшись в настройках Symantec отключил кэш обновлений - аж 1,5 Гб освободилось!..
Вот ещё недавно у знакомого ставил klcodecpack. У него в системе уже стоял DivX Bundle и последняя лицензионная версия кашпировского. Так вот - это как же надо было сделать этот адский антивирус, чтобы при удалении программы из "Панели управления" с момента нажатия на "Удалить" и до появления окна программы удаления проходило аж 2 минуты?! Эта скотина кашпировский через 2 минуты показывал окно, разрешить ли выполнение этой программы бла-бла-бла. Что он так долго делал - мне совсем непонятно, особенно, если учесть, что он работал на 4-х ядерном процессоре. И самая задница была в том, что этот DivX bundle был отдельными программами: DivX Codec, DivX Converter и там ещё штук 5 всяких DivX... Короче, столько времени на удаление программ я ещё никогда не тратил. Потом уже сообразил, что надо было перед удалением просто вырубить нахрен кашпера... Как этот антивирус работал через одно место - так и продолжает.