Перейти к содержимому

Приветствуем вас на Форуме PHILka.RU
Вы вошли на форум как ГОСТЬ. Убедительно просим вас зарегистрироваться! Для того, что бы вам был доступен весь функционал форума.
войти - или зарегистрироваться!
Фотография

autorun.inf


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 109

#41
Limo

Limo

    Читатель

  • Участники
  • 8 сообщений
Как отключить автозагрузку, и избавить себя от вирусов, распространяющихся,через флешки.
**********************************************************************
******
1. Устанавливаем значения веток: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"=dword:00000095

2. И для всех остальных пользователй системы, если их несколько:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
После этого, автозагрузка будет работать с CD/DVD, но не с флешек.

В:Недавно новый вирус увидел, так у него тело в DLL-файлике и в Autorun.inf что-то прописано...
Его Drweb и Каспер (свежеобновлённые) внаглую пропустили. Он пихает файлы типо avpo.* (exe и dll) в папку windows\system32. У кого-нить такое было и лечит ли его Nod32???
O:В общем-то безпонтовый, но назойливый вирусок. Стоял "Аваст 4.7" ничерта не видел.Лечится просто. Для начала пройтись WIN+R\набираем в строке msconfig\ok\автозагрузка,снять галку с avpo применить\ок выйти без перезагрузки. Запустить Тоталкомандер в его настройках указать показывать скрытые файлы.В корне всех дисков C,D... удалить
Autorun.inf (не пытайтесь с CD\DVD, неполучится однако!и не забывайте про флехи фотика\мр3плейера и т.д.),идем дальше(в тотале) в папку windows\system32 здесь засели два файлика avpo.* (exe и dll).Грохаем dll. Жмем
WIN+R\regedit\ok выделить "мой комп"в закладке "правка" \ "найти" вписать avpo и нажать "найти далее" все что найдетсья с этим именем убить. Перегрузиться и добить
avpo.exe в windows\system32.Еще раз перегрузиться и посмотреть в автозагрузке avpo ,его там быть не должно.Вирус закрыл доступ к скрытым файлам и папкам. Как их открыть прекрасно изложил Woland88 на первой странице.

#42
hermit65

hermit65

    Участник

  • Участники
  • 34 сообщений
Вот на днях следил за работой Нод32 - мда... тоже пропускает, однако!!
Вобщем - хороша жизнь когда приходят они :help:
Единственное что радует это то что эти вирусы хотя бы "безобидные" чтоли, по крайней мере доки не портят
Недавно наш админ стал продвигать бесплатный антивирь - Avira.
Теперь надо его протестировать на предмет ловли "этих"
What seems to be the problem?

#43
(Игорь)

(Игорь)

    Читатель

  • Участники
  • 7 сообщений
Вот и меня возникла была похожая проблемка.

На домашнем компе, которому инет даже не снился, появился такой себе флешечный вирус. На машине стоит НОД 2.5, но правда без обновлений (ведь без инета). НОД не увидел вирус, а когда я спохватился, то убивать тело вируса отказылся. Вирус был вроде безобидный, штамповал на флешечку порядка десяти безбидных файликов autorun.***.
Отновременно такие же файлики на мгновенье возкали при открытии локального диска...

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытый текст



Но а обновленный НОД на другой машине просто читил флешечку от вирусов.

Решил проблему просто - дабы не искать подключку к инету, просто форматнул диск,
поскольку давно планировал установиьть 10 сборку Фила...

#44
sereg

sereg

    Читатель

  • Участники
  • 6 сообщений
autorun - вирус. Вначале он "живет" на C:\ затем C:\WINDOWS\system32 другова пока не встречал. Проверь весь комп утилиткой cureit (бесплатная от drweb.ru), затем загружайся Acronis Disk director suite v.10 (только в 10 версии есть функция обзор диска). Удаляй на всех дисках папки RECYCLER (на зараженном диске их 2) и папку System Volume Information (также на всех дисках) Винда сама их создаст во время загрузки. Если на диске C:\ остался autorun.inf, таже удали. Этот вирус виден DrWeb, каспер (в зависимости от настроек может только запрещать доступ), NOD32 (именно autorun.inf пропустил, остальное удалил). Флешка будет глючить пока ее не отформатируешь. Сначала скопируй в комп то - что нужно (если антивирус установлен :rolleyes: ).

#45
IzhAtomic

IzhAtomic

    Читатель

  • Участники
  • 2 сообщений
Столкнулся с подобной проблемой. Имею USB-флеш Apacer на 1Гб. На флехе поселился вирь, троян-бэкдор. После чего пропал доступ к записи на флеху. Пытаюсь что-то записать - вылетает ошибка "диск защищен от записи" либо "у вас не хватает прав...". Флеха не имеет механической защиты от записи - никаких ползунков нет. Форматировать не получается - вылетает та же ошибка о защите от записи. Пытался попробовать низкоуровневое форматирование прогой HDD_Low_Level_Format_Tool. Прога рапортует об успешном форматировании, но захожу на флеху - все цело и результата ноль.

У меня антивирь находит вирус, говорит даже что вылечил его и просит перезагрузиться. Но ни до, ни после перезагрузки зараженные файлы никуда не деваются. Вырубал автозапуск флехи. Правда это ничего не меняет - как не дает ничего стирать, так и не дает. И через FAR пробовал, и в Тотале лазил. Пробовал удалять все лишние процессы в диспетчере, пробовал запускаться в безопасном режиме - толку ноль. Форматировать не дает. Я уже всю голову сломал. Не понимаю что мешает. На Линуксе кстати та же хрень - тоже пишет что диск защищен от записи, но только пишет это по буржуйски.

Что делать, подскажите?

#46
2alex

2alex

    Advanced Member

  • Участники
  • 88 сообщений
IzhAtomic а через infra cd та же история.

#47
hermit65

hermit65

    Участник

  • Участники
  • 34 сообщений
думаю для начала нада бы узнать что держыт флэшку - есть такая прога unlocker.
попробуй посмотреть кто держыт флэшку (от сегодняшних вирусов всё можна ожыдать) и грохни их через любой убивальщик процессов.
потом загрузися под MS-DOS (я проста не пользовался ещё InfraCD) и попробуй удалить файлы с флэшки (это если они не удаляются через Totalcmd).
What seems to be the problem?

#48
IzhAtomic

IzhAtomic

    Читатель

  • Участники
  • 2 сообщений
unlocker пишет что не находит процессов которые "держат" флеху. Пытаюсь через него же удалить - пишет по прежнему "Диск защищен от записи". Такая беда... Из под ДОСа удалять не получается, даже из под Линукса не получилось ведь...

#49
hermit65

hermit65

    Участник

  • Участники
  • 34 сообщений
тада рискну предположыть, что у тебя файловоя система флэшки чуть-чуть поднакрылася.
у меня было примерно такое: тоже не записывалось ничего и внимательный просмотр файлов показал что на ней лежыт файл размером в ~200Gb (хотя флэшка всего 1Gb) и он не удалялся и формат не делался.
флэшка - обычная китайёза (PQI).
помогла утилитка "HP USB Disk Storage Format Tool". воть попробуй, может получится.
What seems to be the problem?

#50
proctoLeha

proctoLeha

    Advanced Member

  • Участники
  • 257 сообщений
Народ! Конечно, возможно я еще в танке, по сравнению с вами. Но с автораном сталкиваюсь регулярно. КIS 7 и NOd 32 2.70 лупят его регулярно, а так самое простое - о чем уже писалось- выставить показывать скрытые и системные файлы и папки. Как только вижу на флехе что то не то - сразу же нахер, особо не вникая.
Причем вариантов два: антивирь сразу орет и убивает, антивирь не орет, но какая то гадость все равно есть - тогда ручками. А так - старая истина: мы же все знаем, что идеальных антивирей нет... Так, что молимся нашему компьютерному богу и шаманим, шаманим, шаманим...

#51
hermit65

hermit65

    Участник

  • Участники
  • 34 сообщений
+1
я в принципе это и написал: 100% защиты нету
What seems to be the problem?

#52
OKC29

OKC29

    Читатель

  • Участники
  • 5 сообщений

А так - старая истина: мы же все знаем, что идеальных антивирей нет...

100% защиты нету

Кто-то сказал разумную истину - лучший антивирус - это Вы сами!

Итак, пакажу пример как вирус распространяет себя через флэш-наситель и как с ним я веду борьбу на примере n1deiect.com.

Что было на флешке относящиеся к вирусу: autorun.inf; n1deiect.com.

При просмотре autorun.inf виден следущий текст:

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытый текст


Что он делает при автазапуске или открытии флешки двойным кликом:
open - открывает файл n1deiect.com (собсвенно сам вирус)
shell\open - если кликнуть правой кнопкой мыши по флешке, то па перво месте мы увидим Open (у меня руссифицированная версия Винды, странно что пишет Open, а не Открыть :( А сделать или руссифицировать можно самому сделав так - shell\open=Открыть(&O))
shell\open\Command - нажали на флешку двойным кликом или правой кнопкой и Open, и снова запуск вируса :(
shell\open\Default - команда делает Open по умолчанию, то есть на первом месте при правом клике мыши.
shell\explore - второй "барьер", все же вирус писался для английской версии Винды, при правом клики на флешке мы видим Manager.
shell\explore\Command - кто не догадался - при нажатии на Manager мы снова запускаем вирус.

Как видите autorun.inf - это НЕ ВИРУС!!! Он является очень хорошим спутником вируса, но не самостоятелен.

Мои действия по удалению вирусов на флеш.
1. Вставляя флешку, я отказываюсь от всех предложений открыть флешку.
2. Открываю файловый менеджер и смотрю содержимое флешки на наличие autorun.inf
3. Если такой есть, то отрываю его. Он спокойно отрывается блокнотом.
4. Смотрю на строчки open=, shell\open=, shell\explore\Command=.
5. Удаляю файлы autorun.inf и n1deiect.com
6. Закрываю файловый менеджер.
6. Извлекаю и вновь вставляю флешку.
7. Вновь произвожу проверку п. 1 и п. 2. Если нет autorun.inf, то можно смело заходить на флешку. А вот если есть, то значит компьютер уже заражен.
8. Если все же компьютер заражен, я залазию с помощью телефона и Opera Mini в интернет. Там моя цель найти информацию о вирусе n1deiect.com.
9. Нахожу что надо avp0.dll, avpo.exe, avp0.exe, а также autorun.inf и n1deiect.com в корне ВСЕХ жеских дисках компьютера, а так же флешках и дискетах.
10. Если есть то убиваю процессы avp0.dll, avpo.exe, avp0.exe и здиспетчера задач (Ctrl+Alt+Del). С помощью поиска нашел файлы avp0.dll, avpo.exe, avp0.exe удалил их. С помощью файлового менеджера удалил autorun.inf и n1deiect.com в корне ВСЕХ жеских дисках компьютера, а так же флешках и дискетах.
11. Перезагрузил комп, проверил файловым менеджером наличие autorun.inf на жеских дисках.

ВНИМАНИЕ!!! Не открывать жеские диски, флешки и дискеты во время выполнения пп. 9 и 10! Иначе autorun.inf и вирус снава в системе!

В качестве файлового менеджера я использовал WinRar 3.70. Главное чтоб бала возможность видеть скрытые и системные файлы.

Можно преверить флешку без файлового менеджера.
Для этого создаем текстовый документ, например как у меня - в пустом месте рабочего стола жму правой кнопкой мышки, создать, текстовый документ. Открываю его и довавляю следущий текст:

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытый текст

Нажимаю Файл-Сохранить как...
В имени файла пишу Flash.bat
Сохраняю там же на рабочем столе.


Получился BAT файл (текстовый документ.txt из ненужности я удалил с рабочего стола).
При запуске он делает следущее
attrib - меняет атрибуты (- означает убрать):
-s - системный
-r - только чтение
-h - скрытый
F:\autorun.inf - у этого файла, F:\ - диск моей флешки (у вас может быть другой диск :( )
start F:\ - открывает диск F:\ флешки в окне (при этом атозапуск обходит стороной)

Теперь мы будем видеть autorun.inf в открывшем окне и можем прочитать его содержимое двойным щелчком мыши. И узнать название файла вируса в строчках open=, shell\open=, shell\explore\Command=. Копируем название, закрываем окна. На наше файлике Flash.bat жмем правой кнопкой мыши и Изменить. Делаем поправку в наш "мини антивирус":

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытый текст

Закрываем с сохранением и запускаем. Теперь вручную можно удалить вирус, а именно файлы autorun.inf и n1deiect.com.

P.S.: Это для тех у кого проблемы с антивирусом. В данное время я занимаюсь коллекционированием вирусов распространяющихся через флеш-носители (архивирую их). Для чего? Чтоб проверять готовность моего антивируса - Dr.Web 4.44, пока он еще ни одного такого вируса не пропустил, даже удалил часть моей вирусной коллекции, так как я не успел закинуть в архив :)

P.P.S.: Не отчаивайтесь если увидели вот такое содержимое autorun.inf:
;oAAdliAka93SaSkkakrlKdnDLrfqwDK1jiJa41k142r7qj09wa0q2Ak2s7ee
[AutoRun]
;qdfK2748oKCoikJwaUdlwjikwsJjes73oAAS1iakk9oAsac4kAO39i2SKsdd
open=y82td3td.com
;ia405f42oqkS73dokr4j9L4JqZKsrKi5awp5s714dOaaiDAiw3KJ3lKk7de1f2A2Al0Da
ke8Ddok03i4wadLkL3aAisrwkArrDi5wS3Dkf432Zrk

shell\open\Command=y82td3td.com
;1Saaf6D235kr4Jwrd2J0oDfL4DiASkKkk3d9aJww3Kspri29j0XickKsOqspeKKj3HdKK
7s28740dqawAk43i2rALi3clDLJa3aC72i35ks1erLai2Ade

shell\open\Default=1
;iaL4sls4A3D4iiwpOK90dA8qpeidaw74laawkLkj006icLssjwLq9kwo4DkAl1ar45wAs
303ioi72wsrajslk

shell\explore\Command=y82td3td.com
;DZO3i9jiwk07alpfd4ssqD48kJaaloaam7XAlrAo2a2ia


То что я выделил цветом ни кокого значения не имеет. По крайней мере я не разобрал...

#53
Rider_171

Rider_171

    Advanced Member

  • Участники
  • 54 сообщений
скажу кое что о цветочках! буквально неделю назад (по крайней мере тогда я его поймал) появился авторан который таскает с собой pagefile.pif. файлик интересный, японское порно всплывающее при поключении к инету и кое что интересное, а именно не дает запускаться ни одному антивирю! из личного опыта: каспер в автозагрузке - в процессах висит но не работает и не снимаеться процесс, кёриет Др.Веба не запускается, удалить антивирь пожалуйста - установить шишь! вирь сидит спокойно до поры до времени, потом начинает гонять проц от 2% до 100% каждые 10-20 секунд! решили справиться с ним - все выше сказаное не помогло (признаюсь, пробовал не все), спасло только полный формат винта под ноль! с флешек уходит легко! собака злая, советую бояться (так как антивири бессильны)!
Изображение

#54
OKC29

OKC29

    Читатель

  • Участники
  • 5 сообщений

...появился авторан который таскает с собой pagefile.pif...

Поискал в интернете кое-что о нем... Запросом на поиск был pagefile.pif.
Вирус похоже не сильно то уж и новый. Найдены его рабочие файлы:

c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll

Похоже что его можно вручную удалить.

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытый текст

можно посмотреть.

Сообщение отредактировал OKC29: 11 Март 2008 - 18:25


#55
demyan

demyan

    Gold Member

  • Участники
  • 622 сообщений
Здесь чувак по роду своей деятельности занялся искоренением авторанов _http://minilabmaster.com/2/39_1.shtml

Советую внимательно почитать.

#56
OKC29

OKC29

    Читатель

  • Участники
  • 5 сообщений

Здесь чувак по роду своей деятельности занялся искоренением авторанов _http://minilabmaster.com/2/39_1.shtml

Советую внимательно почитать.

Спасибо. Кое-что новое для себя узнал :readpravila:

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытый текст

можно найти "лекарство" от вируса amvo.
Его файлы (возможно список не полный): 0hct8ybw.bat, x.com, d6fagcs8.cmd, autorun.inf, n1deiect.com, nideiect.com, 3wcxx91.cmd, amvo.exe, amv0.dll, amvo1.dll, ntde1ect.com, avpo.exe.

#57
urussh

urussh

    Читатель

  • Участники
  • 8 сообщений

скажу кое что о цветочках! буквально неделю назад (по крайней мере тогда я его поймал) появился авторан который таскает с собой pagefile.pif. файлик интересный,
<skip>
бояться (так как антивири бессильны)!

Втыкаешь флешку ( для полной безопасности в выключенный коип ,
стартуешь с загр. СД , ) грузишь ТС или ФАР и убиваешь, руками, вирусы
на флешке . Так же, руками, убиваешь вирусы в корне разделов на винте,
в Windows , Windows\System32 ,
C:\DOCUMENTS AND SETTINGS\USERPC\LOCAL SETTINGS\Temporary Internet Files,
C:\DOCUMENTS AND SETTINGS\USERPC\Cookies .
Грузишься с винта, убираешь лишнее с автозагрузки (msconfig) .
И можна установить SpywareTerminator_Setup.exe ( брать с Филка.ру) - рекомендую.

#58
Rider_171

Rider_171

    Advanced Member

  • Участники
  • 54 сообщений
Спасибо за советы! С флешки он сноситься и под виндой нормально! А вот с диска - склоняюсь более с загрузочного сд! но эта скатина с винта на винт или с флешки на винт прыгает только с потоком инфы, копирование или перемещение! а вот между логическими дисками прыгает как ему угодно! ну в принципе, я от него избавился грубым методом (хорошо что комп рабочий), но за советы спасибо, на будущее пригодиться!
Изображение

#59
Rider_171

Rider_171

    Advanced Member

  • Участники
  • 54 сообщений

...
Похоже что его можно вручную удалить.

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытый текст

можно посмотреть.


посмотрел! да мысль хорошая! ну перезагрузок я не замечал, но японасайтов показало много! но хочу заметить одно действие:

Полностью проверить систему антивирусом с обновлённой базой сигнатур!

установленый каспер был только в процессах не снять, не открыть, не установить по новой! попробовали Др.Веб кёриет - ноль эмоций! аваст, нод - тоже установить не дал!
и еще:

Удаляет подключи реестра, отвечающие за загрузку системы в минимальной конфигурации и за автозагрузку файлов при запуске системы

да это факт! в безопасный режим не пускает!
ну вообщем надо заразиться - будем пропобовать! :readpravila:
Изображение

#60
r154

r154

    Advanced Member

  • Участники
  • 108 сообщений

...после Доктор Веба установив Каспера он столько паразитов выловил... Для флешки самое лучшее лекарство - это антиауторан и каспер

Ну это ты, брат, зря... Doctor Web у тебя наверное был старенький (старой версии). Я прекрасно справился им с автораном.
Т.к. не сущ. антивиря, справляющегося со всеми вирусами, то запуская любой после любого можно ещё что-то найти




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

Вы вошли на форум как ГОСТЬ. Просим вас войти или зарегистрироваться! Для того, что бы вам был доступен весь функционал форума.