Вирус создающий файлы autorun.* - Hard'n'Soft

Другое > Hard'n'Soft

Вирус создающий файлы autorun.*

(1/1)

NecRomantic:
Такая проблемка. В нете много на этот счёт пишут, хотелось бы из уст "переболевших" так сказать услышать. Чем эта фигня вообще лечится? Сейчас у меня у всех знакомых почти по компам есть, так что понимаю, что это не сильно экслюзивная весчь. Первые симптомы : создаёт по всем дискам около десятка файлов с разными расширениями и именем autorun. Что ещё делает кроме этого не знаю. Где то читал что он вроде как пасивный и сработать только в 2008 году должен. Нашёл вроде как небольшую утилитку, уничтожающую копии файлов. В общем. кто что может рассказать по этому поводу?

Йобан Матич:
Отключить autorun(в том числе и на винтах),
Загрузиться в безопасный режим(по идее эта ** не должна загрузиться),
Убить тело вируса(C:\windows\гдетотут)
убить autorun.inf(желательно фарой, ибо винкомандер любит при открытии раздела пускать ауторун)
убить запись в реестре пускающую вирус
обычно logon.exe,имявируса.ехе
провериться антивирусом, ребутнуться, радоваться если вирус умер.

Vegas:
1 При помощи «Диспетчера задач» завершить процесс вируса.
2 Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3 Удалить параметры из ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"
4 Удалить следующие файлы:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf

Так советует Каспер, и я так понял, что он (вирус) МР3 файлы трет :)

NecRomantic:
Та ну его нафех. Просче форматнуть хард блин. Либо он не толкьо на цэ? Та утилитка что я говорил, грохает сами файлы афторана, про реестр я так и не понял делает что то или нет. И есчё, по описанию насколько я понял это похожие но разные вирусы, тот что создаёт autorun.inf и autorun с разными расширениями. Или я понял не так что то...

Йобан Матич:
Trojan.VBS.Starter. ?

Doctor Venkman:
NecRomantic,
Уже несколько штук убил....Trojan.Recycler и Trojan.Unsecure....У друга на машине эти твари на пару убили регедит, и приносил мелкие неудобства - спас его лишь полный формат цэ, но это был запущенный случай.

По сабжу - удали в реестре "HKEY_CURRENT_USER->Software->Microsoft->Windows->Current Version->MountPoints2" Я сносил всю Маунт Пойнтс2 и все работает...это помогает, когда авторан.инф узален, а на флешке/винте всеравно не Open, а Autorun или Open(O) выполняется по даблклику.

Йобан Матич:

--- Цитата: Doctor Venkman ---По сабжу - удали в реестре "HKEY_CURRENT_USER->Software->Microsoft->Windows->Current Version->MountPoints2"
--- Конец цитаты ---

ТруЪ!!!
Это может обезопасить от огромного количества вирусов.
Ещё я практикую отключение половины сервисов(удалённый реестр, помошник и др.).
Я вообще не понимаю зачем делать авторун на винтах...

Форматнуть винт, хм-м-м... А вдруг он(вирус) на Дэ остался? тогда хоть форматируй, хоть не форматируй, он как птица феникс из пепла восстанет =)

NecRomantic:
Дык подожжи. А если он остался на дэ, какой мне понт от удаления строки реестра? Винду я в любом случае сносить собираюсь, просто понять не могу как бы от него избавится.

iddqd:
http://www.systemsoftlab.com/r_spydetector.html

GManiac:
Кажется, есть разные версии подобного вируса. Более простая висит в памяти под образом temp1.exe и/или temp2.exe и каждые 10-15 секунд пытается записать на ВЗУ (дискету, флешку) свои файлы, штук 5, имеющие атрибуты "системный". Также они могут специально выглядеть как папки, а если учесть, что у некоторых пробитых юзверей не отображаются расширения + они пользуются винэксполером (особенно это касается компов для общего пользования), визуально эти файлы от папок не отличить и вероятен нечаянный запуск вируса. У нас один компьютерный зал хронически им болеет :)
Простое удаление процесса temp1.exe не спасает от вируса, потому что при каждом авторане (а это действие по умолчанию для открытия дисков в винэксполере (есть ещё просто "Открыть") (не знаю, вирус ли это делает или так по умолчанию на этих компах, но у меня автодействие для логических дисков как раз "Открыть" :cool: (да, я люблю скобки))) процесс вновь появляется в папке винды и в памяти (интересно, откуда). Но в целом всё легко лечится NOD32. У меня на компе тоже кое-кто случайно запустил этот авторан со своей флешки без моего ведома, а позже я обратил внимание на какой-то звук - оказалось, дисковод... ну, понял, из-за чего и стал лечить НОДом. Почему-то была заражена куча файлов.
Недавно был за главным компом в том "хронически больном" зале (на нём стоит NOD32), потыкал по дискам, НОД автоматом обнаружил кучу левых экзешников :), я их стёр, но и столкнулся с более продвинутой версией нашего вируса: тот периодически пишет кучу авторанов уже на все диски, причём процесс обнаружить не удалось (наверно, в svchost'е сидит). Возможности (да и времени и желания :)) лечить весь комп у меня не было, но думаю, НОД справится.

Infinity:
То, что ты пишешь (предположительно), как я понял.
В корне лежит файл autorun.inf.
Вот эта хрень и запускает сам вирус, который лежит в мусорной корзине. В автозагрузке Пуск-программы-автозагркузка стоит ctfmon.
Если это этот троян - то просто со всех дисков удали ауторун.инф и постирай все мусорные корзины. И все. Да, еще через msconfig убери строчку которой грузится ctfmon из Documents

Vic:
Была такаяже фигня,помогло вот это http://ifolder.ru/3853100

pasha:
у меня вирус был я проверился касперским найденные вмрусы удалил(их было свыше 500 штук)и всё больше вирус не тревожит

BmpCorp:
У меня один раз с флэшки пытался запуститься, но NOD32 помог. Там, кстати, лежал ещё какой-то файл autorun, кроме autorun.inf.

Maelstrom:

--- Цитата ---
--- Цитата ---По сабжу - удали в реестре "HKEY_CURRENT_USER->Software->Microsoft->Windows->Current Version->MountPoints2"
--- Конец цитаты ---

ТруЪ!!!
--- Конец цитаты ---

А что это делает?

Doctor Venkman:

--- Цитата: Maelstrom ---А что это делает?
--- Конец цитаты ---
Убирает автозапуски по двойному клику. Т.е. если есть вирус, то по двойному клику он чаще всего запустится. Как проверить есть ли вирус - втыкаешь флешку(или винт, но не втыкай его :lol:) - жмешь правой кнопкой и если выделено что-то типа Open(0) или Autorun(особенно на винтах...авторана там нет, только если ты сам не положил в корень autorun.inf).
Так вот, удаление "HKEY_CURRENT_USER->Software->Microsoft->Windows->Current Version->MountPoints2" уберет авторан со всех дисков(желательно сначала антивирем все пропылесосить)

Dizzy:
У меня у приятеля подобный вирус обнаружился. Так он его выводил какой-то специальной утилиткой что-то вроде antiautorun. А так AntiVir его легко обезвреживает.

Doctor Venkman:
Вот словил от товарища еще один представитель вида.
Принес он мне флеш плеер, ну я его посмотрел - нашел 2 вируса - Trojan.Remover и еще какой-то экзешник, убил их. Радость началась после. Вдруг пропали скрытые файлы и папки(их отображение стояло). Ну, я включил обратно, а фиг, не робит. Зашел через Фар Менеджер в корень диска, оп-па, смотрю - autorun.inf и ntde1ect.com.
И так, что надо делать, если вы нашли у себя такую заразу:
-=ВНИМАТЕЛЬНО ЧИТАЕМ ССЫЛКИ ПОСЛЕ ПУНКТОВ!!!=-
1) Ctrl+Alt+Delete
2) Закрываем следующие процессы - explorer.exe1 и, если есть, wscript.exe.
3) Давим кнопку Файл -> Выполнить. Тут 2 варианта:
   а) в появившемся окне набрать "cmd"
   б) Если есть какой-нить файлменеджер2: Тотал командер или Фар(у меня этот), то через окно "выполнить запускаем его"
4) Опять 2 варианта (а для командной строки, б для файл менеджера):
   а) выполнить команду "c:\autorun.* /f /a /s /q" и "del c:\autorun.inf"
   б) Удалить autorun.inf(или другой ауторан, ибо на винте их быть не должно) через менеджер.
5) а) набрать и выполнить "cd c:\Windows\System32"(или "путь установки вашей винды"\System32) и выполнить команду "dir /a avp*.*"
   б) Зайти в папку System32 и посмотреть нет ли файлов "avp*.*"(именно должен быть какой-то символ/цифра после avp, ибо avp.exe - касперский)) )
6) Если есть файлы "avp0.dll", "avpo.exe" или "avp0.exe", то:
   а) набрать и выполнить "attrib -r -s -h avpo.exe", затем "del avpo.exe" (я убил все файлы avp*, и dllку, ибо каспера нет, владельцам каспера тут надо быть аккуратнее ;))
   б) Удалить файлы "avp0.dll", "avpo.exe" или "avp0.exe".
7) запустить через Файл -> выполнить "regedit"
8) найти "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
9) Удалить все строки, где встречается "avp0.exe"
10) просканировать (Ctrl+f) весь регистр на предмет ntde1ect.com (ctrl+f и ввести ntde1ect.com) и удалить все строки с его упоминанием
11) удалить сам ntde1ect.com из корня диска:
   а) выполнить "del c:\ntde1ect.com"
   б) удалить ntde1ect.com через файлменеджер
12) через regedit сделать следуещее:
- по адресу "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" найти параметр "CheckedValue" и удалить его. Создать новый параметр (правая кнопка мыши по пустому месту справа от дерева регистра "Создать -> параметр DWORD") "CheckedValue" и присвоить ему значение "1"3.
- по адресу "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA" найти параметр "RestrictAnonymous" и присвоить ему значение "2"4
- по адресу "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters" найти параметр "AutoShareWks" и присвоить ему значение "0"
- по адресу "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDROM" найти параметр "AutoRun" и присвоить ему значение "0"5
13) перезагрузить компьютер
14) если не помогло - go to 1 и дотошно-досканально, ничего не пропуская все делать сначала.
-----------------------
1. Дело в том, что если вирус уже прижился на компьютере, то при запущенном эксплорере он быстро самовосстанавливается.
2. Надо, чтобы в фаловом менеджере было включено отображение скрытых файлово и папок, иначе он не увидит вирь.
3. Этот параметр отключает отбражение скртых файлов и папок в проводнике даже, если вы поставили галочку "Отображать скрытые файлы и папки". Поэтому, надо его вернуть на место))
4. Если вы в локальной сети с использованием общего доступа к файлам и принтерам, то не в коем случае не выполняйте эту операцию
5. Отключает авторан на дисках - полезный параметр для общей безопасности системы, однако, если вы не хотите отключать авторан, то не выполняйте эту операцию.

Навигация

 Главная страница сообщений

Перейти к полной версии