!Вирусы!, Achtung! |
Добро пожаловать, гость ( Вход | Регистрация )
!Вирусы!, Achtung! |
-=CHE@TER=- |
Aug 20 2007, 18:37
Сообщение
#1
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами! Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер: CODE REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется. Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш). QUOTE Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера. If you need - this post contains batch file - Virus Removal Tool. Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут. Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания: CODE [AutoRun] Вместо ?? - какие-то непонятные символы.open=RUNAUT~1\autorun.pif shell\1=??(&O) shell\1\Command=RUNAUT~1\autorun.pif shell\2\=??(&B) shell\2\Command=RUNAUT~1\autorun.pif shellexecute=RUNAUT~1\autorun.pif А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте). На данный момент: - Symantec с последними базами - кашпировский с последними базами не видит этот вирус - на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то: 1) Открывайте его блокнотом или FAR'ом. 2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл. И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ! |
Axsis |
Mar 30 2010, 19:09
Сообщение
#2
|
Advanced Member Группа: CTPAX-X Сообщений: 121 Регистрация: 6-February 08 Пользователь №: 374 Спасибо сказали: 149 раз(а) |
у веба, начиная с пятой версии, тоже много процессов, это и меня напрягало
ща сижу на ESET'е - там как полагается 2 процесса - ядро и gui. если я не ошибаюсь, SpIDerMl.exe у веба это Spider Mail - модуль антиспама и защиты почтового трафика (25 и 110 порты), я его отключал, так как вложения из писем всегда сохраняю перед открытием, а подозрительные проверяю на ВирусТотале, а антиспам у меня отдельный стоял. а чем тебе так ненавистен виндовый планировщик? я его всегда на ХР отключаю, но ни разу не удалял что касается MSI инсталлера - так сейчас любой продукт, подразумевающий административную установку на множество компов по сети, с преднастройкой установки, распространяется именно так. и, по-моему, дураки как раз те разработчики, кто делает иначе QUOTE Dr.Web, порой, тупо ставит систему секунд на 15 колом это, судя по всему, плата за редкие ложные срабатывания. когда-то читал, что неизвестные ядру антивируса упаковщики запускаются на его виртуальной машине и анализируется поведение проверяемой программы. Зловреды "никогда" не добавляются в базы по сигнатурам упаковщиков, чем нередко грешат другие антивирусы (тот же есет), мотивируя это тем, что упаковщик редкий и используется, по мнению авторов антивируса, только для троянов (а на практике так же для кейгенов, демок, и т.д. и т.п.) короче, у всех свои плюсы, свои минусы. предполагаю, что -=CHE@TER=- сейчас скажет что "Хороший антивирус надо писать самому" |
Упрощённая версия | Сейчас: 5th November 2024 - 21:30 |