Athlon XP2800 Ram 768 ATI 9200vivo HDD160Gb Windows XP .Pinnacle Studio v.9.3
Вирус "Авторан" -
01.01.2008, 11:55
С новым Годом Уважаемые форумчане!
У моего друга месяц назад комп. подцепил онный вирус.Его обнаружил Аvast Antivirus,
Советую! На компе 6 виндов по 300 Ггб и 1 по 80 Ггб на котором стоит система.Всё
сканировать ,в данном случае, былобы бесполезно.Я поступил след. образом.
1 Откллючил все диски, кроме системного и просканировал с рестарта, заранее
назначив удаление. Как только вирус обнаруживался и удалялся я прекращал ска-
нирование ,дожидался автозагрузки и включал 2диск "сата"
2 Подключив 2 диск снова рестарт, сканирование до обнаружения ,удаление,
загрузка системы ,отключение 2диска, подключение 3диска ,рестарт,сканирование и т.д.
Просканировав все диски, аналогичным способом,в обесточенном компе подлючил все диски
и запустил комп на полное сканирование Аvast Antivirus. Это
заняло около 10 часов , но вируса больше небыло.Ради спортивного интереса
проверял комп другими антивирусами ( Нод32, др.Веб,Каспером) всё чисто.
Систему не переустанавливал т.к. всё работало нормально.
Эти 2 пользователей(ля) поблагодарили kvazar за это полезное сообщение:
AMD Phenom II X4 970, GeForce GTX 560 1024, RAM 4 gb, HDD 1Тб Windows XP SP3, Windows 7 x64
Фото/видео:
Фото: Sony DSC R1
01.01.2008, 14:50
Я хоть и плохо разбираюсь в антивирусных программах, но по поводу Avast есть кое-что. У моего знакомого стоит сие чудо. Как то дал ему программку, так он сделал ей пластическую операцию, т.е. поудалял скрипты, посчитав за вирус. Оказывается у Avast эвристический метод поиска вредоносного кода, т.е. поиск вирусов, которые еще не существуют. Так что будьте осторожны, когда доверяете проге самостоятельно удалять вирусы.
- Мысль опережает действия, а последствия отстают.
-Чем богаче язык, тем больше разница в понимании информации.
Тип ЦП DualCore Intel Core 2 Duo E6600 2400 MHz , Asus P5B-E, RAM 1024 Mb, NVIDIA GeForce 7900 GS (256 Мб), 250 Gb Windows XP SP2, Pinnacle Studio v.11
19.01.2008, 15:29
Уважаемые форумчани! Вот полезная иформация которая помогла мне. Надеюсь поможет и Вам :
Есть такой противный вирус - действие его заключается в том, что при попытке получить доступ к логическим дискам через виндосовский эксплорер, выдается сообщение в невозможности открыть какой-то файл (возможны некоторые вариации, типа того, что нажав правой кнопкой по диску видим в контекстном меню вместо "Открыть" что-то другое)... Более того, зараженный компьютер сам становится источником распространения заразы.
В последнее время стал замечать прямо-таки эпидемию этого вируса. Излюбленный способ распространения - через флешки. Втыкаем зараженную флешку, и если не была включена постоянная защита антивирусника и использовался автозапуск с флешки - то комп инфицировался. Последующая проверка антивирусником особого результата не давала. Сам по неосторожности пару-тройку раз подхватывал такой вирус.
Значит, так... Если вдруг... ну так уж получилось, что подхватили - не отчаиваемся и не паникуем.
Вначале - немного общих сведений. Этот вирус состоит из двух частей, первая является файлом сценария языка Visual Basic Script, а вторая — пакетным командным файлом. После запуска командного файла выполняется включение в сисемный реестр настроек из файла autorun.reg, расположенного в каталоге с источником вируса (например, флешка). Затем извлекается и переносится содержимое файла autorun.bin (находящегося там же либо в папке WINSOWS) в файл autorun.inf, расположенный в корне диска C - c:\autorun.inf и создается C:\WINDIWS\system32\autorun.bin
Если в папке с источником вируса или в папке WINDOWS отсутствуют параметры командной строки файла, то выполняется поиск файла autorun.vbs, он запускается и копирует себя в C:\WIMDOWS\system32\autorun.vbs
Также создается папка C:WINDOWS\system\system. (с точкой) и копируется туда из источника все файлы, соответствующие маске autorun.*
При запуске второй части вируса autorun.vbs выполняется сравнение текущей системной даты с датой, заданной в autorun.vbs. Если они не совпадают, происходит завершение работы. Если совпадают, запускается файл autorun.bat. Читаетс autorun.inf в корне диска C: если такой файл обнаружен и нне нулевого размера, то мы видим его проявление при попытке в експлорере перейти да диск C: нажативм левой кнопки мышки, или правой кнопкой - тогда видим в контекстном меню какую-то ерунду вместо "открыть".
Далее, если текущий год не больше 2030-го, файлы копируются по маске autorun.* на все найденные локальные жесткие и сетевые диски, а также на все подключенные в этот момент флешки (кроме дискет - видимо, автор вируса не пользуется этим архаизмом). Копирование происходит как непосредственно, так и вызовом пакетного файла autorun.bat.
Причем одной из неприятных последствий явлеятся невозможность включить показскрытых системных файлов для удаления вредоносного файла.
Что нужно сделать для удаления вируса?
Вначале запускаем редактор реестра, (Пуск>Выполнить, regedit), переходим в ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ищем строку Userinit. Меняем параметр C:\WINDOWS\system32\userinit.exe, autorun.vbs на C:\WINDOWS\system32\userinit.exe.
Далее, запускаем командную строку и там пишем
del c:\autorun.inf
del c:\autorun.bin
del c:\autorun.vbs
del c:\autorun.reg (если есть такой)
повторяем это для кажного логического диска. Это обязательнын бля удаления файлы. Не помешает также просмотреть корень логических дисков командой dir <логический_диск>:\ и поудалять остальные автораны.
и еще пишем
del c:\WINDOWS\system32\autorun.bin
del c:\WINDOWS\system32\autorun.vbs
перезагружаемся. Всё. Должно помочь. По крайней мере, у меня получилось.
PS. Забыл еще - удаляем папку C:WINDOWS\system\system. (с точкой), если такая создалась. Иначе снова вылезет!
Эти 4 пользователей(ля) поблагодарили Доктор Ваня за это полезное сообщение:
Фото: Canon EOS 600D Kit EF-S 18-55 IS II, EF-S 55-250 mm F/4-5.6 IS + EF 85 mm f/1.8 USM + EF 50mm f/1.8 Видео: Panasonic NV GS-400 Оборудование: Sirui T-1005X с головой G-10\SLIK U-8000\Sony VCT570RM/
20.02.2008, 18:01
Ещё микропрограмка для удаления вирусов с Флеш-накопителей и жестких дисков. Как уверяет автор, в отличие от anti_autorun удаляет не только файлы autorun.*, но и сами вирусы и следит за их появлением в реальном времени.
Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
..счастья ищешь, или ночь скоротать?
Эти 3 пользователей(ля) поблагодарили commar за это полезное сообщение:
Вобщем сколько ни бился так и не нашёл никакого способа борьбы с авторанами. Все програмки похоже только имитируют, что они что-то там нашли и удалили. Всё остаётся на месте сколько раз ни удаляй. Да ещё и перезагрузка требуется. Уже просто нет сил с этим воевать. Кто-нибудь реально смог избавится от такого вируса.
Дисков в системе 6шт. и эта зараза перескакивает на все ...
Может быть есть какой-то способ ПРЕСЕЧ само ПРОНИКНОВЕНИЕ на комп?
А то машина в общем доступе и флешек втыкается за день не один десяток ... Что делать???????????????
Я боролся ручным способом - подключил другой комп по LAN, зашел с него на зараженный. Быстро открывал диск, удалял вирус с корня и выдергивал шнурок пока не инфицировался основной комп. :))) Так же и с флешкой, не заморачиваясь ее правильным отключением. Не всегда получалось и прроще было систему накатить заново :))))
Иногда, случае заражения флешки или переносного харда, нес их домой где установлен NOD32, который довольно успешно реагировал и чистил...
После чистки самих исполняемых файлов вируса в ручную, по всем папкам грохал его остатки *.scr, но они уже были не активны, автозапуска не проиходило и нового заражения. Вобщем гемор сплошной. Спорить не буду, возможно это и ламерский метод, но выхода и времени не было разбираться...
-Скажите, пожалуйста, куда мне отсюда идти?
-А куда ты хочешь попасть? - ответил Кот.
-Мне все равно... - сказала Алиса.
-Тогда все равно, куда и идти, - заметил Кот.
-...только бы попасть куда-нибудь, - пояснила Алиса.
-Куда-нибудь ты обязательно попадешь, - сказал Кот. - Нужно только достаточно долго идти.
Маклауд Прогой которую вы выложили в пост 44 на днях вылечил комп ,антиавторан сразу нашел и удалил,потом я еще дополнительно зашел в безопасном режиме и прогнал Вебом.На системе стояло 2 винта,оба чистые. А до этого пользовался методами написаными в начале ветки,на работе 4 компа вылечил(удалял вручную),до сих пор все нормально,прошло немало времени.На работе часто приносят флещки,благо что все под моим контролем,сразу проверяю,в случае авторана с разрешения клиента форматирую для надежности,или же опять же вашей прогой чищу.Нод у меня пропускает авторан,а на работе стоит бесплатный антивир,тот сразу блокирует зараженную флешку и не дает открыть пока не вылечишь..
GA-945P-S3 , E4300, RAM 2048Мb, GF 8600 GT (512 Мб) , Realtek ALC883, HDD Maxtor 6Y120P0, HDD Maxtor 6L250S0, HDD WDC WD2500KS-00MJB0 , NEC DVD RW ND-4571A , Acer AL1951, EPSON Stylus Photo R340 Series MS Windows XP SP2, Pinnacle Studio v.10.7 MS
20.03.2008, 14:47
Пользуюсь KIS 7, обновляюсь раз в 2/3 дня. Дети и жена постоянно со школы/работы носят "авторуны", KIS только визжит. На 2 компах нет ни одного вируса.
Недавно на чужом компе лечил "вручную". Загрузидся в SafeMode и удалил ручками из автозагрузки и из-зо всех корневых директорий дисков. После перегрузил машину, поставил KIS, уронил его до бета-версии, в инете получил ключ для тестера на 3 мес., научил хозяина продлевать его(ключ). Все довольны.
MSI H87-G41 PC Mate,Intel Core i7-4770, DDRIII 1600 2x8Gb, NVIDIA GeForce GTX 470, SSD Kingston SATA III 240 Gb, S-ATAII 2x750Gb+1TB Windows 10 Pro 64bit, EDIUS 8.5.3, Adobe CC
20.03.2008, 15:34
Вот таже утилита, что и в посте №44, разница в размере, тот что выкладываю лечил свою машину, все сделал в лучшем виде.
Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
Anti-Autorun.exe - 110 592 пост №44
Anti-Autorun.exe - 106 496 это мой
(размеры взяты в Total Commander)
Этот участник поблагодарил(а) kiv67 за это полезное сообщение:
Все использованные на сайте названия продуктов и торговые марки принадлежат их законным владельцам. При перепечатке или ретрансляции материалов с сервера DrBOBAH.com ссылка на сайт обязательна!