Вы вошли на форум как ГОСТЬ. Убедительно просим вас зарегистрироваться! Для того, что бы вам был доступен весь функционал форума.
войти - или зарегистрироваться!
autorun.inf
#41
Отправлено 08 Февраль 2008 - 18:37
**********************************************************************
******
1. Устанавливаем значения веток: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"=dword:00000095
2. И для всех остальных пользователй системы, если их несколько:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
После этого, автозагрузка будет работать с CD/DVD, но не с флешек.
В:Недавно новый вирус увидел, так у него тело в DLL-файлике и в Autorun.inf что-то прописано...
Его Drweb и Каспер (свежеобновлённые) внаглую пропустили. Он пихает файлы типо avpo.* (exe и dll) в папку windows\system32. У кого-нить такое было и лечит ли его Nod32???
O:В общем-то безпонтовый, но назойливый вирусок. Стоял "Аваст 4.7" ничерта не видел.Лечится просто. Для начала пройтись WIN+R\набираем в строке msconfig\ok\автозагрузка,снять галку с avpo применить\ок выйти без перезагрузки. Запустить Тоталкомандер в его настройках указать показывать скрытые файлы.В корне всех дисков C,D... удалить
Autorun.inf (не пытайтесь с CD\DVD, неполучится однако!и не забывайте про флехи фотика\мр3плейера и т.д.),идем дальше(в тотале) в папку windows\system32 здесь засели два файлика avpo.* (exe и dll).Грохаем dll. Жмем
WIN+R\regedit\ok выделить "мой комп"в закладке "правка" \ "найти" вписать avpo и нажать "найти далее" все что найдетсья с этим именем убить. Перегрузиться и добить
avpo.exe в windows\system32.Еще раз перегрузиться и посмотреть в автозагрузке avpo ,его там быть не должно.Вирус закрыл доступ к скрытым файлам и папкам. Как их открыть прекрасно изложил Woland88 на первой странице.
#42
Отправлено 11 Февраль 2008 - 06:06
Вобщем - хороша жизнь когда приходят они
Единственное что радует это то что эти вирусы хотя бы "безобидные" чтоли, по крайней мере доки не портят
Недавно наш админ стал продвигать бесплатный антивирь - Avira.
Теперь надо его протестировать на предмет ловли "этих"
#43
Отправлено 14 Февраль 2008 - 04:38
На домашнем компе, которому инет даже не снился, появился такой себе флешечный вирус. На машине стоит НОД 2.5, но правда без обновлений (ведь без инета). НОД не увидел вирус, а когда я спохватился, то убивать тело вируса отказылся. Вирус был вроде безобидный, штамповал на флешечку порядка десяти безбидных файликов autorun.***.
Отновременно такие же файлики на мгновенье возкали при открытии локального диска...
Но а обновленный НОД на другой машине просто читил флешечку от вирусов.
Решил проблему просто - дабы не искать подключку к инету, просто форматнул диск,
поскольку давно планировал установиьть 10 сборку Фила...
#44
Отправлено 14 Февраль 2008 - 11:34
#45
Отправлено 18 Февраль 2008 - 22:00
У меня антивирь находит вирус, говорит даже что вылечил его и просит перезагрузиться. Но ни до, ни после перезагрузки зараженные файлы никуда не деваются. Вырубал автозапуск флехи. Правда это ничего не меняет - как не дает ничего стирать, так и не дает. И через FAR пробовал, и в Тотале лазил. Пробовал удалять все лишние процессы в диспетчере, пробовал запускаться в безопасном режиме - толку ноль. Форматировать не дает. Я уже всю голову сломал. Не понимаю что мешает. На Линуксе кстати та же хрень - тоже пишет что диск защищен от записи, но только пишет это по буржуйски.
Что делать, подскажите?
#47
Отправлено 20 Февраль 2008 - 07:48
попробуй посмотреть кто держыт флэшку (от сегодняшних вирусов всё можна ожыдать) и грохни их через любой убивальщик процессов.
потом загрузися под MS-DOS (я проста не пользовался ещё InfraCD) и попробуй удалить файлы с флэшки (это если они не удаляются через Totalcmd).
#49
Отправлено 21 Февраль 2008 - 06:36
у меня было примерно такое: тоже не записывалось ничего и внимательный просмотр файлов показал что на ней лежыт файл размером в ~200Gb (хотя флэшка всего 1Gb) и он не удалялся и формат не делался.
флэшка - обычная китайёза (PQI).
помогла утилитка "HP USB Disk Storage Format Tool". воть попробуй, может получится.
#50
Отправлено 23 Февраль 2008 - 11:52
Причем вариантов два: антивирь сразу орет и убивает, антивирь не орет, но какая то гадость все равно есть - тогда ручками. А так - старая истина: мы же все знаем, что идеальных антивирей нет... Так, что молимся нашему компьютерному богу и шаманим, шаманим, шаманим...
#52
Отправлено 08 Март 2008 - 16:09
А так - старая истина: мы же все знаем, что идеальных антивирей нет...
Кто-то сказал разумную истину - лучший антивирус - это Вы сами!100% защиты нету
Итак, пакажу пример как вирус распространяет себя через флэш-наситель и как с ним я веду борьбу на примере n1deiect.com.
Что было на флешке относящиеся к вирусу: autorun.inf; n1deiect.com.
При просмотре autorun.inf виден следущий текст:
Что он делает при автазапуске или открытии флешки двойным кликом:
open - открывает файл n1deiect.com (собсвенно сам вирус)
shell\open - если кликнуть правой кнопкой мыши по флешке, то па перво месте мы увидим Open (у меня руссифицированная версия Винды, странно что пишет Open, а не Открыть А сделать или руссифицировать можно самому сделав так - shell\open=Открыть(&O))
shell\open\Command - нажали на флешку двойным кликом или правой кнопкой и Open, и снова запуск вируса
shell\open\Default - команда делает Open по умолчанию, то есть на первом месте при правом клике мыши.
shell\explore - второй "барьер", все же вирус писался для английской версии Винды, при правом клики на флешке мы видим Manager.
shell\explore\Command - кто не догадался - при нажатии на Manager мы снова запускаем вирус.
Как видите autorun.inf - это НЕ ВИРУС!!! Он является очень хорошим спутником вируса, но не самостоятелен.
Мои действия по удалению вирусов на флеш.
1. Вставляя флешку, я отказываюсь от всех предложений открыть флешку.
2. Открываю файловый менеджер и смотрю содержимое флешки на наличие autorun.inf
3. Если такой есть, то отрываю его. Он спокойно отрывается блокнотом.
4. Смотрю на строчки open=, shell\open=, shell\explore\Command=.
5. Удаляю файлы autorun.inf и n1deiect.com
6. Закрываю файловый менеджер.
6. Извлекаю и вновь вставляю флешку.
7. Вновь произвожу проверку п. 1 и п. 2. Если нет autorun.inf, то можно смело заходить на флешку. А вот если есть, то значит компьютер уже заражен.
8. Если все же компьютер заражен, я залазию с помощью телефона и Opera Mini в интернет. Там моя цель найти информацию о вирусе n1deiect.com.
9. Нахожу что надо avp0.dll, avpo.exe, avp0.exe, а также autorun.inf и n1deiect.com в корне ВСЕХ жеских дисках компьютера, а так же флешках и дискетах.
10. Если есть то убиваю процессы avp0.dll, avpo.exe, avp0.exe и здиспетчера задач (Ctrl+Alt+Del). С помощью поиска нашел файлы avp0.dll, avpo.exe, avp0.exe удалил их. С помощью файлового менеджера удалил autorun.inf и n1deiect.com в корне ВСЕХ жеских дисках компьютера, а так же флешках и дискетах.
11. Перезагрузил комп, проверил файловым менеджером наличие autorun.inf на жеских дисках.
ВНИМАНИЕ!!! Не открывать жеские диски, флешки и дискеты во время выполнения пп. 9 и 10! Иначе autorun.inf и вирус снава в системе!
В качестве файлового менеджера я использовал WinRar 3.70. Главное чтоб бала возможность видеть скрытые и системные файлы.
Можно преверить флешку без файлового менеджера.
Для этого создаем текстовый документ, например как у меня - в пустом месте рабочего стола жму правой кнопкой мышки, создать, текстовый документ. Открываю его и довавляю следущий текст:
Нажимаю Файл-Сохранить как...
В имени файла пишу Flash.bat
Сохраняю там же на рабочем столе.
Получился BAT файл (текстовый документ.txt из ненужности я удалил с рабочего стола).
При запуске он делает следущее
attrib - меняет атрибуты (- означает убрать):
-s - системный
-r - только чтение
-h - скрытый
F:\autorun.inf - у этого файла, F:\ - диск моей флешки (у вас может быть другой диск )
start F:\ - открывает диск F:\ флешки в окне (при этом атозапуск обходит стороной)
Теперь мы будем видеть autorun.inf в открывшем окне и можем прочитать его содержимое двойным щелчком мыши. И узнать название файла вируса в строчках open=, shell\open=, shell\explore\Command=. Копируем название, закрываем окна. На наше файлике Flash.bat жмем правой кнопкой мыши и Изменить. Делаем поправку в наш "мини антивирус":
Закрываем с сохранением и запускаем. Теперь вручную можно удалить вирус, а именно файлы autorun.inf и n1deiect.com.
P.S.: Это для тех у кого проблемы с антивирусом. В данное время я занимаюсь коллекционированием вирусов распространяющихся через флеш-носители (архивирую их). Для чего? Чтоб проверять готовность моего антивируса - Dr.Web 4.44, пока он еще ни одного такого вируса не пропустил, даже удалил часть моей вирусной коллекции, так как я не успел закинуть в архив
P.P.S.: Не отчаивайтесь если увидели вот такое содержимое autorun.inf:
;oAAdliAka93SaSkkakrlKdnDLrfqwDK1jiJa41k142r7qj09wa0q2Ak2s7ee
[AutoRun]
;qdfK2748oKCoikJwaUdlwjikwsJjes73oAAS1iakk9oAsac4kAO39i2SKsdd
open=y82td3td.com
;ia405f42oqkS73dokr4j9L4JqZKsrKi5awp5s714dOaaiDAiw3KJ3lKk7de1f2A2Al0Da
ke8Ddok03i4wadLkL3aAisrwkArrDi5wS3Dkf432Zrk
shell\open\Command=y82td3td.com
;1Saaf6D235kr4Jwrd2J0oDfL4DiASkKkk3d9aJww3Kspri29j0XickKsOqspeKKj3HdKK
7s28740dqawAk43i2rALi3clDLJa3aC72i35ks1erLai2Ade
shell\open\Default=1
;iaL4sls4A3D4iiwpOK90dA8qpeidaw74laawkLkj006icLssjwLq9kwo4DkAl1ar45wAs
303ioi72wsrajslk
shell\explore\Command=y82td3td.com
;DZO3i9jiwk07alpfd4ssqD48kJaaloaam7XAlrAo2a2ia
То что я выделил цветом ни кокого значения не имеет. По крайней мере я не разобрал...
#53
Отправлено 10 Март 2008 - 10:22
#54
Отправлено 11 Март 2008 - 18:19
Поискал в интернете кое-что о нем... Запросом на поиск был pagefile.pif....появился авторан который таскает с собой pagefile.pif...
Вирус похоже не сильно то уж и новый. Найдены его рабочие файлы:
Похоже что его можно вручную удалить. можно посмотреть.c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Сообщение отредактировал OKC29: 11 Март 2008 - 18:25
#56
Отправлено 15 Март 2008 - 09:36
Спасибо. Кое-что новое для себя узналЗдесь чувак по роду своей деятельности занялся искоренением авторанов _http://minilabmaster.com/2/39_1.shtml
Советую внимательно почитать.
можно найти "лекарство" от вируса amvo.
Его файлы (возможно список не полный): 0hct8ybw.bat, x.com, d6fagcs8.cmd, autorun.inf, n1deiect.com, nideiect.com, 3wcxx91.cmd, amvo.exe, amv0.dll, amvo1.dll, ntde1ect.com, avpo.exe.
#57
Отправлено 15 Март 2008 - 21:11
Втыкаешь флешку ( для полной безопасности в выключенный коип ,скажу кое что о цветочках! буквально неделю назад (по крайней мере тогда я его поймал) появился авторан который таскает с собой pagefile.pif. файлик интересный,
<skip>
бояться (так как антивири бессильны)!
стартуешь с загр. СД , ) грузишь ТС или ФАР и убиваешь, руками, вирусы
на флешке . Так же, руками, убиваешь вирусы в корне разделов на винте,
в Windows , Windows\System32 ,
C:\DOCUMENTS AND SETTINGS\USERPC\LOCAL SETTINGS\Temporary Internet Files,
C:\DOCUMENTS AND SETTINGS\USERPC\Cookies .
Грузишься с винта, убираешь лишнее с автозагрузки (msconfig) .
И можна установить SpywareTerminator_Setup.exe ( брать с Филка.ру) - рекомендую.
#58
Отправлено 16 Март 2008 - 09:24
#59
Отправлено 16 Март 2008 - 09:35
...
можно посмотреть.
Похоже что его можно вручную удалить.
посмотрел! да мысль хорошая! ну перезагрузок я не замечал, но японасайтов показало много! но хочу заметить одно действие:
установленый каспер был только в процессах не снять, не открыть, не установить по новой! попробовали Др.Веб кёриет - ноль эмоций! аваст, нод - тоже установить не дал!Полностью проверить систему антивирусом с обновлённой базой сигнатур!
и еще:
да это факт! в безопасный режим не пускает!Удаляет подключи реестра, отвечающие за загрузку системы в минимальной конфигурации и за автозагрузку файлов при запуске системы
ну вообщем надо заразиться - будем пропобовать!
#60
Отправлено 16 Март 2008 - 17:09
Ну это ты, брат, зря... Doctor Web у тебя наверное был старенький (старой версии). Я прекрасно справился им с автораном....после Доктор Веба установив Каспера он столько паразитов выловил... Для флешки самое лучшее лекарство - это антиауторан и каспер
Т.к. не сущ. антивиря, справляющегося со всеми вирусами, то запуская любой после любого можно ещё что-то найти
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных