!Вирусы!, Achtung! |
Добро пожаловать, гость ( Вход | Регистрация )
!Вирусы!, Achtung! |
-=CHE@TER=- |
Aug 20 2007, 18:37
Сообщение
#1
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами! Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер: CODE REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется. Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш). QUOTE Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера. If you need - this post contains batch file - Virus Removal Tool. Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут. Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания: CODE [AutoRun] Вместо ?? - какие-то непонятные символы.open=RUNAUT~1\autorun.pif shell\1=??(&O) shell\1\Command=RUNAUT~1\autorun.pif shell\2\=??(&B) shell\2\Command=RUNAUT~1\autorun.pif shellexecute=RUNAUT~1\autorun.pif А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте). На данный момент: - Symantec с последними базами - кашпировский с последними базами не видит этот вирус - на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то: 1) Открывайте его блокнотом или FAR'ом. 2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл. И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ! |
Siberian GRemlin |
Sep 8 2007, 03:29
Сообщение
#2
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
У меня палево: вчера скидывал знакомой с флэшки на флэшку инфу, потом в силу обстоятельств - обалдуи с её группы вырезали с флэшки файлы, вставили на рабочий стол, переставили флэшку и в этот момент у компа отказал USB порт, в итоге у них началась истерика - мне пришлось их выручать, скидывая через интернет на другой комп. Вообщем, печаль не в этом, а в том, что на одной их их флэшек я заметил два файла: AUTORUN.INF и SVCHOST.EXE с розовой иконкой, для меня даже не стало удивлением, что они не знают что это и откуда. Явно, это сифон какой-то. NOD32 на том компе его не поймал. Теперь я палюсь вставлять свою флэшку в свой комп. Не, можно конечно отключить функцию автозапуска, а потом включить, но мне как-то лень... мне интересно, если зажать левый SHIFT и вставить флэшку, проигнорируется ли автозапуск, как это с оптическими дисками происходит?
|
-=CHE@TER=- |
Sep 8 2007, 11:27
Сообщение
#3
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Siberian GRemlin!
SHIFT должен, по идее, помочь. Плюс не забудь .REG файл из первого поста (и перезагурзись после его применения). Если совсем сомневаешься сделай так: возьми WinXPBootableCD, отключи жёсткие диски (выдерни шлейфы), грузанись с этого CD-ROM и там втыкай флэшку - тогда точно ничего не заразится. Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами. |
jTommy |
Sep 8 2007, 15:32
Сообщение
#4
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами. Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился? |
Siberian GRemlin |
Sep 11 2007, 15:36
Сообщение
#5
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
|
jTommy |
Sep 11 2007, 16:07
Сообщение
#6
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Может ты его не заметил?! =) Лично я без него ещё ни одной не видел. Интересно... Мы наверное о разных флешках говорим? Я держал в руках много USB-флешек от Transcend и A-Data - ни на одной, также Kingston DataTraveler I&II - тоже нету. Флешки SD (Secure Digital), вот эти точно все с таким переключателем. |
Упрощённая версия | Сейчас: 10th November 2024 - 18:10 |