Вирус Autorun - Страница 5

kvazar · **Конфигурация компа**:

С новым Годом Уважаемые форумчане!
У моего друга месяц назад комп. подцепил онный вирус.Его обнаружил Аvast Antivirus,
Советую! На компе 6 виндов по 300 Ггб и 1 по 80 Ггб на котором стоит система.Всё
сканировать ,в данном случае, былобы бесполезно.Я поступил след. образом.
1 Откллючил все диски, кроме системного и просканировал с рестарта, заранее
назначив удаление. Как только вирус обнаруживался и удалялся я прекращал ска-
нирование ,дожидался автозагрузки и включал 2диск "сата"
2 Подключив 2 диск снова рестарт, сканирование до обнаружения ,удаление,
загрузка системы ,отключение 2диска, подключение 3диска ,рестарт,сканирование и т.д.
Просканировав все диски, аналогичным способом,в обесточенном компе подлючил все диски
и запустил комп на полное сканирование Аvast Antivirus. Это
заняло около 10 часов , но вируса больше небыло.Ради спортивного интереса
проверял комп другими антивирусами ( Нод32, др.Веб,Каспером) всё чисто.
Систему не переустанавливал т.к. всё работало нормально.

zett · **Конфигурация компа**:

Я хоть и плохо разбираюсь в антивирусных программах, но по поводу Avast есть кое-что. У моего знакомого стоит сие чудо. Как то дал ему программку, так он сделал ей пластическую операцию, т.е. поудалял скрипты, посчитав за вирус. Оказывается у Avast эвристический метод поиска вредоносного кода, т.е. поиск вирусов, которые еще не существуют. Так что будьте осторожны, когда доверяете проге самостоятельно удалять вирусы.

Доктор Ваня · **Конфигурация компа**:

Уважаемые форумчани! Вот полезная иформация которая помогла мне. Надеюсь поможет и Вам :
Есть такой противный вирус - действие его заключается в том, что при попытке получить доступ к логическим дискам через виндосовский эксплорер, выдается сообщение в невозможности открыть какой-то файл (возможны некоторые вариации, типа того, что нажав правой кнопкой по диску видим в контекстном меню вместо "Открыть" что-то другое)... Более того, зараженный компьютер сам становится источником распространения заразы.
В последнее время стал замечать прямо-таки эпидемию этого вируса. Излюбленный способ распространения - через флешки. Втыкаем зараженную флешку, и если не была включена постоянная защита антивирусника и использовался автозапуск с флешки - то комп инфицировался. Последующая проверка антивирусником особого результата не давала. Сам по неосторожности пару-тройку раз подхватывал такой вирус.
Значит, так... Если вдруг... ну так уж получилось, что подхватили - не отчаиваемся и не паникуем.

Вначале - немного общих сведений. Этот вирус состоит из двух частей, первая является файлом сценария языка Visual Basic Script, а вторая — пакетным командным файлом. После запуска командного файла выполняется включение в сисемный реестр настроек из файла autorun.reg, расположенного в каталоге с источником вируса (например, флешка). Затем извлекается и переносится содержимое файла autorun.bin (находящегося там же либо в папке WINSOWS) в файл autorun.inf, расположенный в корне диска C - c:\autorun.inf и создается C:\WINDIWS\system32\autorun.bin
Если в папке с источником вируса или в папке WINDOWS отсутствуют параметры командной строки файла, то выполняется поиск файла autorun.vbs, он запускается и копирует себя в C:\WIMDOWS\system32\autorun.vbs
Также создается папка C:WINDOWS\system\system. (с точкой) и копируется туда из источника все файлы, соответствующие маске autorun.*
При запуске второй части вируса autorun.vbs выполняется сравнение текущей системной даты с датой, заданной в autorun.vbs. Если они не совпадают, происходит завершение работы. Если совпадают, запускается файл autorun.bat. Читаетс autorun.inf в корне диска C: если такой файл обнаружен и нне нулевого размера, то мы видим его проявление при попытке в експлорере перейти да диск C: нажативм левой кнопки мышки, или правой кнопкой - тогда видим в контекстном меню какую-то ерунду вместо "открыть".
Далее, если текущий год не больше 2030-го, файлы копируются по маске autorun.* на все найденные локальные жесткие и сетевые диски, а также на все подключенные в этот момент флешки (кроме дискет - видимо, автор вируса не пользуется этим архаизмом). Копирование происходит как непосредственно, так и вызовом пакетного файла autorun.bat.
Причем одной из неприятных последствий явлеятся невозможность включить показскрытых системных файлов для удаления вредоносного файла.

Что нужно сделать для удаления вируса?
Вначале запускаем редактор реестра, (Пуск>Выполнить, regedit), переходим в ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ищем строку Userinit. Меняем параметр C:\WINDOWS\system32\userinit.exe, autorun.vbs на C:\WINDOWS\system32\userinit.exe.
Далее, запускаем командную строку и там пишем
del c:\autorun.inf
del c:\autorun.bin
del c:\autorun.vbs
del c:\autorun.reg (если есть такой)
повторяем это для кажного логического диска. Это обязательнын бля удаления файлы. Не помешает также просмотреть корень логических дисков командой dir <логический_диск>:\ и поудалять остальные автораны.
и еще пишем
del c:\WINDOWS\system32\autorun.bin
del c:\WINDOWS\system32\autorun.vbs
перезагружаемся. Всё. Должно помочь. По крайней мере, у меня получилось.

PS. Забыл еще - удаляем папку C:WINDOWS\system\system. (с точкой), если такая создалась. Иначе снова вылезет!

Маклауд · **Конфигурация компа**:

Наткнулся на вот такую микропрограмку для удаления Авторана. Установки не требует. Можно запускать и с флэшки

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

commar · **Конфигурация компа**:

Ещё микропрограмка для удаления вирусов с Флеш-накопителей и жестких дисков. Как уверяет автор, в отличие от anti_autorun удаляет не только файлы autorun.*, но и сами вирусы и следит за их появлением в реальном времени.

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Маклауд · **Конфигурация компа**:

Вобщем сколько ни бился так и не нашёл никакого способа борьбы с авторанами. Все програмки похоже только имитируют, что они что-то там нашли и удалили. Всё остаётся на месте сколько раз ни удаляй. Да ещё и перезагрузка требуется. Уже просто нет сил с этим воевать. Кто-нибудь реально смог избавится от такого вируса.
Дисков в системе 6шт. и эта зараза перескакивает на все ...
Может быть есть какой-то способ ПРЕСЕЧ само ПРОНИКНОВЕНИЕ на комп?
А то машина в общем доступе и флешек втыкается за день не один десяток ... Что делать???????????????

MickKiller · **Конфигурация компа**:

Я боролся ручным способом - подключил другой комп по LAN, зашел с него на зараженный. Быстро открывал диск, удалял вирус с корня и выдергивал шнурок пока не инфицировался основной комп. :))) Так же и с флешкой, не заморачиваясь ее правильным отключением. Не всегда получалось и прроще было систему накатить заново :))))
Иногда, случае заражения флешки или переносного харда, нес их домой где установлен NOD32, который довольно успешно реагировал и чистил...
После чистки самих исполняемых файлов вируса в ручную, по всем папкам грохал его остатки *.scr, но они уже были не активны, автозапуска не проиходило и нового заражения. Вобщем гемор сплошной. Спорить не буду, возможно это и ламерский метод, но выхода и времени не было разбираться...

Dr.Vlad · **Конфигурация компа**:

Маклауд Прогой которую вы выложили в пост 44 на днях вылечил комп ,антиавторан сразу нашел и удалил,потом я еще дополнительно зашел в безопасном режиме и прогнал Вебом.На системе стояло 2 винта,оба чистые. А до этого пользовался методами написаными в начале ветки,на работе 4 компа вылечил(удалял вручную),до сих пор все нормально,прошло немало времени.На работе часто приносят флещки,благо что все под моим контролем,сразу проверяю,в случае авторана с разрешения клиента форматирую для надежности,или же опять же вашей прогой чищу.Нод у меня пропускает авторан,а на работе стоит бесплатный антивир,тот сразу блокирует зараженную флешку и не дает открыть пока не вылечишь..

MakleRZSV · **Конфигурация компа**:

Пользуюсь KIS 7, обновляюсь раз в 2/3 дня. Дети и жена постоянно со школы/работы носят "авторуны", KIS только визжит. На 2 компах нет ни одного вируса.

Недавно на чужом компе лечил "вручную". Загрузидся в SafeMode и удалил ручками из автозагрузки и из-зо всех корневых директорий дисков. После перегрузил машину, поставил KIS, уронил его до бета-версии, в инете получил ключ для тестера на 3 мес., научил хозяина продлевать его(ключ). Все довольны.