Вирус Autorun

[zett]

Согласен, эпидемия в разгаре. Способов как говорится много: поставить антивирусник, не втыкать флешки, не включать комп и т.д. Все это не то. Мой метод такой (просто делюсь мнением): отключил полностью автозапуск
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
навсякий случай здесь тоже
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
Переодически запускаю (когда втыкаю флешку) для проверки Security Task Manager, установил твик, который вместо регистрации файлов .reg запускает блокнот.
Вот пример чистки одного компа у человека. Правда он не полный, ибо я забыл снять скрин:
[Для просмотра данной ссылки нужно ]
Также на рисунке видно, что прога не зарегистрирована. Под действием какого-то вируса изменены ключи в реестре и последний не запускается. Все, кирдык системе, но пока еще дышит.
По памяти там еще были RavMon.exe - угроза 97%, Autorun.exe и еще что-то. Пока не отключить зараженные процессы, хоть до дыр удаляй файлы, они все равно появляются. Характерным признаком зараженного файла является иконка папки с расширением .exe Файл появляется во время запуска какого-нибудь .exe.
Если вдруг запустили зараженный файл, то как вариант можно отследить его путь с помощью пуск - поиск -- файлы и папки -- когда были произведены изменения -- выбираем диапазон и пуск. Также после отключения зараженных процессов запустить AVZ на проверку. Если не отключить процессы, то он на каком то месте вырубается.
Если что еще вспомню напишу.

[Маклауд]

Вобщем-то я тоже вариант с восстановлением системы использую. Сначала загружаюсь в безопасном режиме и в TotalCommander удаляю все пары авторанов на всех дисках. Удаляется без вопросов. После этого сразу загружаю с CD Acronis и возвращаю образ чистой и рабочей системы.
Потому как просто удалением вируса не могу вернуть в рабочее состояние испорченое им. В частности невозможно включить отображение скрытых и системных файлов в проводнике Windows и не удаётся отключить автозагрузку дисков.
Возможно что-то ещё, но это наиболее наглядно. Не известно что будет дальше. Поэтому и откат системы. По времени 15 минут все манипуляции, но всё-равно достало уже!
Вот и хочется найти этакий файрвол для авторанов. Они, гады, ещё и всякие-разные ...

[commar]

Может, у нас тут автораны попроще.. втыкал флешку при запущеном SpIDer Guard (Dr.Web) потом следы добивал вручную на флешке.. Та разновидность, с которой я встречался, при попадании на комп копировалась только в те папки/директории, которые открывались пользователем после заражения. Если его душить на флешке, предотвратив автозапуск флешки, сам вирус не размножается. Но, повторюсь,- может только наша, comic-версия (от слова Коми) :-)

Ну, раз так плохо с вирусами, могу подкинуть пару матёрых ... :)))
Маклауд

Просто и надежно-UnHackMe.Проверяет при загрузке и удаляет,может мониторить.Помог мне при неудаче AVZ.Еще дополнительно-Flashcontrol,проверяет флешку,реестр,комп на наличие Autorun.

[лурик]

Сегодня целый день возился со всей этой лабудой.Сначала думал что Касперский глючит а потом глянул и правда не открываются скрытые папки .скачал и Flashcontrol и Антирун ни чего не помогло только удалишь тут же опять появляется с полчаса нажимал кнопку "удалить" так до конца и не удалялось.затем востановил Ахрониксом образ -та же фигня на обоих компах.Вообщем получилось только как у Маклауда в 52 посту,только я загружался не в безопасном режиме(Тотал командер не установлен)а с диска Винду РЕ загружал удалял все ненужное и сразу с диска Ахрониксом образ Восстанавливал(ладно хоть делал бэкап месяц назад)на весь процесс 20 минут- и пол дня еще потеряного времени на остальные процессы которые не помогли.Считаю этот вариант оптимальным.Только вот не пойму откуда эта зараза взялась и как теперь на будущее от нее предостеречся (откуда ждать вероятнее всего эту заразу?)

[zett]

У меня такое ощущение, что я пост состряпал для себя. Если ничего не делать на компе, то можно и откатами спасаться. Флешку воткнул - откат и так по кругу. Вирус это таже программа, которой нужен доступ к реестру. Не пропишется - при перезагрузке или включении компа не будет активным.
Каким должен быть реально экран от этой заразы? Без мониторинга, - только запрет на все Autorun(ы). Ну так и отключите автозагрузку.
Допустим запустили вы вирус, который умеет удалять атрибут скрытых файлов. Как правило имеются пакетные файлы типа: REGEDIT /S %systemdrive%\install\xxxx.reg. Или REG ADD..... И ну что будет с этими командами, если кислород к реестру перекрыт?

[Маклауд]

Цитата:

zett:
Мой метод такой: отключил полностью автозапуск ...
... Файл появляется во время запуска какого-нибудь .exe.

Ну и как в таком случае быть, раз зараза появляется при запуске "какого-нибудь .exe"? Автозагрузку всего отключаю сразу, просто потому что не нравится когда что-то запускается без моего указания. Но как быть, раз зараза появляется при запуске "какого-нибудь .exe"? Да и просто при открытии папки (флешки) система же что-то там сканирует, идентифицирует. Расставляет (вытаскивает) нужные иконки. Это же тоже практически запуск "программы открытия папки".

Цитата:

Пока не отключить зараженные процессы, хоть до дыр удаляй файлы, они все равно появляются.

А я вот, например, 90% названий процессов просто не понимаю. И как мне отключить именно заражённые?

Но главная проблема всё-таки не в удалении вирусов, а в том, что даже удалив их имеем проблемы с тем, что они что-то уже испортили в системе.

[Александр Пономарев]

А я пользуюсь Пандой и вопросов и каких либо проблем с авторанами никогда не было

[Маклауд]

А проблем нет потому, что Панда вылавливает автораны или может быть вы просто на них никогда и не натыкались? Могу прислать - потестите свою Панду ;)

Цитата:

zett:
Переодически запускаю Security Task Manager (когда втыкаю флешку) для проверки , установил твик, который вместо регистрации файлов .reg запускает блокнот.

А можно поподробнее, что за Security Task Manager и где этот твик?

И у меня нет в реестре ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
А в HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer для ключа NoDriveTypeAutoRun стоит значение 0х00000091 (145)
Это нормально?

[sekretar]

Ребята, прочитал ветку и подумал, как вы любите усложнять себе жизнь... По долгу службы и мне приходится часто пользоваться флешками. Каких только "авторанов" не приходилось видеть. А ведь у меня 4 винта. Но метод моей защиты очень прост. Установлен доктор Веб (тестер), который сидит в трее и на дух не переносит автораны, спокойно удаляя их с флешки и системы в ту же секунду, как только вставляется флешка. Естественно, веб обновляется раз в пару дней (но это, скорее, для порядка). А для подстраховки, если доктор веб при вставки флешки промолчит, открываю Nero Burning ROM с рабочего стола, кликаю на флешноситель и просматриваю содержимое флешки. Если вижу подозрительные файлы, удаляю, не "отходя от кассы" и "сплю спокойно". Никаких других заморочек не использую. Чего и вам желаю. Да, забыл сказать что впервые заразившись когда-то, вылечился от вирусов двумя программами. В безопасном режиме скан всех дисков Cureit и AVZ. А на счёт возможности включения скрытых файлов нужно пройти по ветке и присвоить значение "1" параметру реестра: KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL\CheckedValue