IPB

Добро пожаловать, гость ( Вход | Регистрация )

> !Вирусы!, Achtung!
-=CHE@TER=-
Aug 20 2007, 18:37
Сообщение #1


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff



Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).
QUOTE
Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:
CODE
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
Reply to this topicStart new topic
Ответов
Axsis
Aug 27 2007, 13:53
Сообщение #2


Advanced Member
***

Группа: CTPAX-X
Сообщений: 121
Регистрация: 6-February 08
Пользователь №: 374
Спасибо сказали: 149 раз(а)



Выскажу и я своё мнение smile.gif
Дома юзаю ДрВеб, с того самого момента как я осознал что совсем без антивиря дальше жить нельзя (года 3-4 назад smile.gif) Ложных срабатываний минимум - за всё время раза 2-3 было, несрабатывания на явных угрозах бывают, в основном на свежих модификациях вирусов/троянов (я базы обновляю 1 раз в неделю, как правило в обновлении баз добавлялось и детектирование "свежачка"), но это бывает со всеми антивирями. Для дома Веб - самое то: быстр, неглючен, прост.
На работе стоит НОД32 - инструмент посерьёзнее smile.gif Тут >25 компов, поэтому поднят нодовский сервак с зеркалом обновлений, установка на компы юзеров и сбор статистики с них ведётся с сервера. Ложных срабатываний почти за год работы не было, палит практически всё что можно, может это потому что автообновление каждый час. Пару раз пропускал троянцев, приходилось вручную чистить, но учитывая что 25 машин - простительно smile.gif В настройке посложнее (хотя можно сказать более гибкий) чем Веб, подходит когда много компов с одинаковыми настройками - один раз создал конфиг и ставишь на клиентские тачки уже настроенный антивирь.
Также есть небольшой опыт общения с кашперовским - гадость ужасно тормозная, и, вопреки всем отзывам о его превосходной защите (типа "он тормозный, но ловит всё"), у меня были случаи когда он не ловил очень опасные вещи (из разряда руткитов, но ещё на стадии установки, то есть когда руткит ещё не борется с антивирем).
Симантек. Стоял на работе до нода, ничего сказать про него не могу, т.к почти сразу с моим приходом заменили на нод. Сразу после установки нод на нескольких компах нашел парочку червей, но это можно списать на старые базы симантека (там непонятно обновлялись ли они вообще).
Вот так вот
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
-=CHE@TER=-
Aug 27 2007, 20:43
Сообщение #3


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



Насчёт "ложных срабатываний" - Symantec рубит все кейгены и кряки на корню - "HackTool" и всё. Моя твоя не понимай. Причём у меня какой-то кряк валялся чуть ли не два года. Недавно обновил базы - бац! и Symantec его схерил. (*улыбается*)

Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: Касперский - человек и маска?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
jTommy
Aug 28 2007, 18:03
Сообщение #4


Наблюдающий
***

Группа: CTPAX-X
Сообщений: 197
Регистрация: 4-February 08
Из: деревня Москва
Пользователь №: 6
Спасибо сказали: 19 раз(а)



QUOTE(-=CHE@TER=- @ Aug 28 2007, 12:43 AM) *
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: Касперский - человек и маска?
Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.
Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
-=CHE@TER=-
Aug 30 2007, 08:49
Сообщение #5


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



QUOTE(jTommy @ Aug 28 2007, 06:03 PM) *
Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.
Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами.
"Спокойствие, только спокойствие!" © сами знаете кто (*улыбается*)
Данная статья была дана как информация к размышлению. Я и сам считаю, что пишут на заборах и пишут вирусы люди не от большого ума. И то что с этим "бороться надо всеми средствами" - согласен.
В этом смысле полностью согласен с nickolayer'ом - "Материал приняли к сведению - и действуем по своему выбору."
Что насчёт решения по выбору антивируса, то отдавать деньги всё-таки, да, хочется именно за качественный продукт - это раз. А два - не кормить при этом людей, мягко говоря, недостойных.

Кстати, возврящаясь к одному из своих первых постов - про вирус, который прописывался как системный драйвер - нашёл свои бумажные записи:
C:\WINDOWS\SYSTEM32\DRIVERS\runtime2.sys
C:\WINDOWS\TEMP\STARTDRV.EXE (обратите внимание, не SMARTDRV, а STARTDRV - типа, маскируется под системный, хоть и во временном каталоге)
Попробуйте у себя создать в любом каталоге файл с именем runtime2.sys - если комп при попытке создать такой файл пойдёт в перезагрузку - у вас вирус.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Сообщения в этой теме
-=CHE@TER=-   !Вирусы!   Aug 20 2007, 18:37
nickolayer   Avira AntiVir - интересный антивирус. Недавно еще ...   Aug 21 2007, 11:50
-=CHE@TER=-   Подтверждено, что NOD32 может удалить этот вирус, ...   Aug 24 2007, 03:31
jTommy   Вообще, спасибо за информацию. У себя такого зверя...   Aug 24 2007, 09:04
nickolayer   Не совсем лучший... говорю же (выше), что есть еще...   Aug 24 2007, 14:19
-=CHE@TER=-   Ну, может быть, NOD32 и лучший. Мне как-то narmo п...   Aug 24 2007, 19:56
xkL0#J   Есть ещё [b]Dr.Web, который имхо, ни в чём не усту...   Aug 25 2007, 17:15
-=CHE@TER=-   Там из cmd запускаю Dr.Web - находит 2 клятых dll-...   Aug 27 2007, 05:11
Axsis   Выскажу и я своё мнение :) Дома юзаю ДрВеб, с того...   Aug 27 2007, 13:53
-=CHE@TER=-   Насчёт "ложных срабатываний" - Symantec ...   Aug 27 2007, 20:43
jTommy   Кстати, насчёт кашпировского - почитайте, мне тут ...   Aug 28 2007, 18:03
nickolayer   Я бы отнесся к этой статье как к факту для справки...   Aug 29 2007, 15:01
jTommy   Бороться с создателями вирусов всеми средствами? Н...   Aug 30 2007, 17:28
nickolayer   Террористами - сильновато сказано. Я готов допусти...   Aug 31 2007, 10:14
jTommy   Террористами - сильновато сказано. Я готов допусти...   Sep 1 2007, 09:35
-=CHE@TER=-   Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD...   Aug 31 2007, 19:21
-=CHE@TER=-   Совершенно невразумительная статья, особенно к кон...   Aug 30 2007, 08:49
Axsis   Кстати, возврящаясь к одному из своих первых пост...   Aug 31 2007, 22:15
xkL0#J   Кстати, насчёт кашпировского - почитайте, мне тут...   Aug 28 2007, 17:50
xkL0#J   to nickolayer Это защита, оправдание или просто ло...   Aug 31 2007, 16:50
-=CHE@TER=-   хехе, если не секрет, чем истреблял?Ну ты, в принц...   Sep 1 2007, 18:02
Дмитрий-Нск   здравствуйте у меня побывал Delf - поленился я ме...   Sep 2 2007, 04:05
nickolayer   to xkLO#J: Возможно, экспериментаторов немного. Но...   Sep 2 2007, 08:46
-=CHE@TER=-   Дмитрий-Нск! Тут есть одна хитрость. Если вним...   Sep 2 2007, 13:27
Дмитрий-Нск   спасибо, '-=CHE@TER=-' пиф удалил, но по-п...   Sep 3 2007, 02:15
-=CHE@TER=-   спасибо, '-=CHE@TER=-' пиф удалил, но по-п...   Sep 6 2007, 19:07
Siberian GRemlin   У меня палево: вчера скидывал знакомой с флэшки на...   Sep 8 2007, 03:29
-=CHE@TER=-   Siberian GRemlin! SHIFT должен, по идее, помоч...   Sep 8 2007, 11:27
jTommy   Кстати, если будете покупать флэшки, то лучше брат...   Sep 8 2007, 15:32
-=CHE@TER=-   Ну уж нет, флешки надо брать, те, у которых скорос...   Sep 8 2007, 15:45
Siberian GRemlin   А флешек с таким переключателем я еще ни разу не в...   Sep 11 2007, 15:36
jTommy   Может ты его не заметил?! =) Лично я без него ...   Sep 11 2007, 16:07
-=CHE@TER=-   Оказывается, существует несколько вариаций на тему...   Sep 10 2007, 10:43
Siberian GRemlin   Гляжу на Transcend... сбоку такой овальный переклю...   Sep 13 2007, 11:03
Дмитрий-Нск   у меня, как я уже говорил, разные версии unlocker....   Sep 20 2007, 16:48
-=CHE@TER=-   у меня, как я уже говорил, разные версии unlocker....   Sep 20 2007, 21:20
Siberian GRemlin   Товарищи, я уже несколько раз ловил комп за тем, ч...   Oct 3 2007, 16:10
jTommy   Siberian GRemlin, ставь файерволл обязательно. Он ...   Oct 3 2007, 16:35
xkL0#J   Outpost - при правильной настройке этому фаерволу ...   Oct 3 2007, 16:29
Дмитрий-Нск   спасибо вам огромное!   Oct 8 2007, 12:38
OXVIL   Я, как пользователь нисовсем лицензионных программ...   Dec 28 2007, 20:15
-=CHE@TER=-   Блин, Symantec с последним обновлением (за 30.05.2...   May 31 2008, 13:05
xkL0#J   ...для подсчёта/проверки md5... Доброго времени су...   Jun 6 2008, 05:16
-=CHE@TER=-   [quote name='xkL0#J' post='2048' date='Jun 6 2008,...   Jun 6 2008, 11:55
Grom PE   изменение байт таким образом, чтобы CRC32 совпало,...   Jun 7 2008, 12:06
-=CHE@TER=-   Очередную хрень на тачке знакомого лечил. Симптом...   May 22 2009, 13:31
Axsis   чтоб не создавать новую тему напишу сюда спёрто о...   Aug 17 2009, 17:26
-=CHE@TER=-   Что-то Symantec совсем стал загибаться под тяжесть...   Nov 18 2009, 05:27
Axsis   Dr.WEB практически не трогает кейгены и 64к интро,...   Nov 23 2009, 23:53
-=CHE@TER=-   И ещё раз об антивирусах... Блин, не смог постави...   Jan 16 2010, 09:46
-=CHE@TER=-   Таки решил поставить Dr.Web. Забегая вперёд скажу,...   Mar 30 2010, 13:12
Axsis   у веба, начиная с пятой версии, тоже много процесс...   Mar 30 2010, 19:09
-=CHE@TER=-   ща сижу на ESET'е - там как полагается 2 проце...   Mar 31 2010, 12:34
-=CHE@TER=-   Поставил версию 6.00 Dr.Web: - Для удаления старой...   Apr 7 2010, 14:57
Axsis   ну даже не знаю, попробуй 4-ю версию поставить, дл...   Apr 7 2010, 20:02
Siberian GRemlin   Я окончательно удостоверился, что Касперский -- (*...   Jul 7 2010, 11:42
-=CHE@TER=-   Ну, у знакомых стоит на лицензионной 7-ке лицензио...   Jul 7 2010, 15:17
Siberian GRemlin   Сдох монитор, подключил телек, а он большой слишко...   Dec 29 2010, 08:45
-=CHE@TER=-   Что дальше? Ставить Avast?Я, вот, сейчас тоже в бо...   Dec 29 2010, 19:41
Axsis   Как показывает практика последних нескольких лет, ...   Dec 29 2010, 23:06
-=CHE@TER=-   Как показывает практика последних нескольких лет, ...   Dec 30 2010, 19:36
-=CHE@TER=-   Dr.Web Заколачиваю последний гвоздь в крышку гроба...   Apr 14 2011, 11:50
Axsis   Теперь я, кажется, знаю отличия бизнес версии :D ...   Apr 14 2011, 15:03
-=CHE@TER=-   Теперь я, кажется, знаю отличия бизнес версии :DХе...   Apr 14 2011, 15:50
Axsis   нет, триальные ключи подходят только на триальную ...   Apr 15 2011, 15:34
-=CHE@TER=-   Блин, походу я опять буду менять антивирус... На э...   May 24 2011, 15:25
Siberian GRemlin   Я пока пользуюсь ESET Smart Security. Из недостатк...   May 25 2011, 02:43
-=CHE@TER=-   Из недостатков заметил, что иногда соединения у Th...   May 25 2011, 12:39
-=CHE@TER=-   Всё, моё терпение лопнуло! NOD32 - ужасное го...   Sep 10 2011, 09:30
-=CHE@TER=-   Лечил сегодня компьютер знакомого от вирусов. Врод...   Apr 21 2013, 15:13
-=CHE@TER=-   Двумя сообщениями выше я писал, что поставил себе ...   May 23 2015, 12:47
Siberian GRemlin   Ого! Получается, у меня уже четыре года стоит ...   May 23 2015, 13:02
-=CHE@TER=-   Ого! Получается, у меня уже четыре года стоит ...   Feb 1 2016, 18:25
RAYN3   еще полезно поставить галочки только чтение, помо...   Feb 3 2016, 22:30
-=CHE@TER=-   AVG 2015 такая лолка - скачал сегодня обновления (...   May 28 2015, 11:45
-=CHE@TER=-   Всё, я так больше не могу - мучительно хочется ком...   Oct 2 2015, 15:08
Siberian GRemlin   Мне почему-то думалось, что я раньше прямо в «лисе...   Oct 2 2015, 15:28
Siberian GRemlin   Всё тем же. Проблем нет. Очень редко не выключаетс...   Feb 2 2016, 03:42
Axsis   Всё тем же. Проблем нет. Очень редко не выключает...   Feb 4 2016, 22:07
-=CHE@TER=-   Продолжаю заниматься всяким непотребством с антиви...   Jul 24 2016, 11:04
Siberian GRemlin   Обновил «ESET Smart Security» до девятой версии. В...   Jul 26 2016, 17:03
-=CHE@TER=-   Допишу ещё чутка про Avast - похоже остановлюсь на...   Aug 7 2016, 11:45
Siberian GRemlin   Судя по описанию, мазохизм пользователя является с...   Aug 8 2016, 02:54
Siberian GRemlin   Проблема с интернет-банком исчезла.   Aug 16 2016, 02:03
-=CHE@TER=-   Что-то сделал или оно само рассосалось?   Aug 16 2016, 06:15
Siberian GRemlin   Само, может обновление.   Aug 16 2016, 16:35
Siberian GRemlin   Думал, что данная проблема чисто мелкомягкая. Ника...   Nov 24 2016, 02:10
-=CHE@TER=-   Этой хернёй, кстати, многие антивирусы страдают. И...   Nov 24 2016, 09:54
-=CHE@TER=-   Avast меня поражает и убивает! Это, блин, как ...   Jan 17 2017, 15:04
-=CHE@TER=-   Ушёл с Avast'а. Ибо оно в систему своих драйве...   May 3 2018, 10:12
-=CHE@TER=-   Помогал знакомому разобраться с последним Firefox ...   Oct 22 2018, 14:10


Reply to this topicStart new topic
4 чел. читают эту тему (гостей: 4, скрытых пользователей: 0)
Пользователей: 0 -

 



Упрощённая версия Сейчас: 5th November 2024 - 21:39