Погода: 2 °C
28.045...15пасмурно, без осадков
29.048...10пасмурно, небольшие дожди
Пробки: 0 баллов
НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /

RUNAUTO.. Че за дрянь такая?

ПечатьRSSДеревом

  • Не знал куда писать, нигде не нашел...
    Хрень передается через флешки! В корне диска появляется папка runauto..
    Весит 0 байт, удалиль нельзя, переименовать нельзя, замочил мне DR.Web'а (мож не он, но веб сканер не работает) (при удалении пишет, что нет такой папки) :eek:

    Вставляю мобильник, так и там на флешке папка уже болтается!!!
    Даже из загрузочного диска пробовал удалить, не какнает!!!! Опять пишет, что нет файла! :шок:

    Может кто уже убиват такого? Чего делать?

    PS
    Вместо regedit.exe у меня теперь regedit.exe.exe :зло:

    "...Я Родину люблю..."

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Это вирус, сталкивался как-то, вычистил вручную (убил в процессах, в автозагрузке, прошёлся касперским). Если касперский его не увидит, обновите базы.
    Чьи-то мучения в жж.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя RealWega

    самое интересное, что такая (подобная) дрянь уже на каждой третьей (если не второй) флешке из тех, которые мне приносят. "Касперский" даже уже не матерится и не визжит - просто молча трёт эти файлы с заразой и всё. А ни про какую эпидемию никто из антивирусных компаний не заикается даже :зло:

    Продам микроволновую печь с запасом микроволновых дров.

    Исправлено пользователем Alexis2k (20.11.07 17:11)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Alexis2k

    В жж прям какие то ужасы написаны! Я так понял, что никто не смог его до конца убить! все равно эта дрянь гдето оставляет свой мусор. Убил вчера пол реестра, а папка как висела, так и висит! Доктор Веб удалил из нее какой то файл runauto.pif, назвал вирусом и все... папка как была так и есть. Ох, не нравится мне эта штука....

    И никто не знает, что этот вирус делает! Может это зародышь искуственного интелекта? Такое ощущение, как будто эта дрянь мутирует (перестраивается, подстраивается). Потому что болезнь вроде у всех одиа, а симптому разные.... :help.gif:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Ну, в принципе, методы борьбы там написаны вполне правильно. ВЫвести его полностью - можно, а вот противостоять повторному внесению, полагаясь на автоматику - нет. Все дело в том, что запуск вируса происходит не запуском некоего exe, что любой авирь отловит, а через shellexecute, что ведет к обману любого антивируса. По крайней мере, распространенные в новейших версиях и с актуальнейшими базами на раз пропускают дрянь, если даблкликнуть по флэшке. И "NoDriveTypeAutorun" не поможет... Он отключает только автозапуск по вставке, а даблклик в проводнике все равно вызывает авторан-скрипт. Выход - не пользовать даблклик, а привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню. В этом случае нормальный антивирь увидит западло и почистит. Проблема в том, что у винды нет документированного механизма нотификации о подключении съемного диска, что не позволяет антивирусам иметь функцию "Автосканирование подключенного съемного диска".

    Если вирус уже есть, вывести его можно при помощи быстрой реакции. Щас расскажу.

    1) Качаем Sysinternals Autoruns
    2) Качаем скрипты из аттача
    3) Кладем скрипт RUDel.bat куда нить на рабочий стол
    4) пускаем Autoruns (вирус, кста, его иногда видит и закрывает, сука... но повторно можно запустить всегда) и ищем закладку Image Hijacks. В ней будет несколько галок. Нас интересует cmd.exe. Нужно выбрать эту строку, навести курсор мыши на RUDel.bat, не кликая по нему, чтобы фокус остался на окне Autoruns. Нажать на клаве Del и согласиться на удаление ентером, СРАЗУ ЖЕ даблкликая по RUDel. Если успел - скрипт запускается и выносит западло. Если нет - отказ в запуске, что значит, что реакция не супер :-) Повторяем, тренируемся. Как RUdel отработает, можно удалить в Autoruns все хайджеки, кроме того, что подписан Майкрософт - он там должен быть.

    Вариант с прибоем сервиса kknc не всегда проходит... Он бывает, что тут же перезапускается.

    Дальше. Чтобы не занести заразу вновь можно
    а) Убрать автозапуск на всех типах устройств и не пользовать даблклик, а, опять же, привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню.б) Убрать автозапуск на всех типах устройств и взять за правило сразу после вставки прогонять по флэшке антивирусом вручную
    в) Убрать автозапуск на всех типах устройств и после вставки прогонять скрипт Fldel.bat - он трет файло autorun.inf и остальное по всем найденным логическим дискам, после чего флэшку можно открывать хоть дабл-кликом, но если будет ошибка открытия, то это значит, что на ней был вирус :-) Тогда перевтыкаем и пользуемся.


    UPD. Опа, а где аттач?
    Ладна... качаем это тогда с http://ifolder.ru/4221693

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    аааа, я тож поймала. симптомы абсолютно те же, Симантек Нортон не спасает. папка не удаляется, не переименовывается...

    Nervous fingers, anxious smile...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Molks

    сдается мне, что дрянь эта сугубо азиатская (читай русско-китайская) и никто акромя азиатов про нее не слышал (или не хочет слышать) в т.ч. и евре.... тьфу... европейско-американские антивирусы :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Alexis2k

    Это как в кино:
    "Не думай, что ты в безопасности..."
    :улыб:

    "...Я Родину люблю..."

    Исправлено пользователем maxxx (21.11.07 16:44)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Alexis2k

    Не знаю, об одном и том же речь или нет, но гугл выда это:

    http://www.uninstall-spyware.com/uninstallRunAutoTrojan.html

    http://www.spywaredb.com/remove-runauto-trojan/

    Нельзя понять непонятное.
    Пузьма Кротков.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Aлексей

    не знаю, то или нет, но сегодня мне на флешке в контору опять такую хрень принесли. Доктор Веб выдает вот такое в лог файле:
    21-11-2007 11:20:33 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:20:44 [CR] \\Autorun.inf - ошибка удаления
    21-11-2007 11:20:44 [CR] \\Autorun.inf - доступ к файлу запрещен
    21-11-2007 11:21:13 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:22:20 [CR] E:\Autorun.inf - исцелен

    интересно, он его убил или нет? и что значит исцелен?

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Вот мля! Еще одна флешка!!!!! :шок:

    две из трех! это круто! :eek:


    :respect: писакам вируса! :улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    у меня флэшку тоже подобной заразили, вроде вэбом пролечил, даже флэшка пустая была, только имя флэшки поменять не мог, потом принес флэшку в другое место, ее вставили и касперский начал ругаться, попросил не лечить, принес на свой комп прогнал вэбом молчит вэб, грит все чисто, это было 16 ноября, сейчас еще прогоню версией от воскресенья, а папка появилась

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

    Исправлено пользователем wall1609 (22.11.07 08:22)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя wall1609

    поздарвляю :live:
    ваш др.ВЕБ подружился с троянцем :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    у меня такая картина наблюдается уже с полгода где-то... просто раньше была примерно одна из трёх, а последние 2 недели: 3 из 4х. Делаю вывод что ботнет заметно расширился:улыб:

    ЗЫ: прошу не считать рекламой, но с тех машин, где я сам лично, при составлениии конфигурации для домашнего компа, включал стороку расходов на покупку хотябы KAV - флешки несут чистые...

    Продам микроволновую печь с запасом микроволновых дров.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    PN, спасибо! Помогло! Ни папок хреновых ни файлов! Скрипт удалил все за нех. делать!:улыб::respect:

    Только вот не уверен я ни в одном антивире....

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    А зараза, кста, запросто может быть китайской.. Уже года два наблюдаю, что дешевые плееры, флэшки, карты памяти от производителей, входящих в китайский холдинг "Дядя Сяо и Тетя Ляо чердакс энд подвалс ману[censored]туринг" будучи новыми несут на себе разного рода гадость, запускающуюся авторан-скриптом. Так что вспомним старые времена, когда каждую дискету, принесенную извне, надо было сначала прогонять аидстестом, а уже потом открывать :-)

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    спокойно удалила вирус с обеих флэшек НОД32 с последнией базой

    Nervous fingers, anxious smile...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Molks

    cmd.exe запускается?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Ну я уже к заразе этой приноровился.......
    Др. Веб сразу удаляет с флешки плохие файлы, а потом макросом стираю все остальное......

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Меня интересует автоматическая чистка реестра...

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    запускается, а что?

    Nervous fingers, anxious smile...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    cmd запускается свободно....
    а что значит автоматическая чистка реестра?

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Дело в том, что этот (и не только) вирус оставляет в реестре следы своей жизнедеятельности. Что не радует. Какие именно следы - в ссылке на блог выше

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Есть вот такой батовский файл


    taskkill /fi "services eq kkdc" /f
    taskkill /im regedit.exe.exe /f
    taskkill /im r.exe /f
    sc stop kkdc
    net stop kkdc
    sc delete kkdc
    attrib -s -h -r c:\windows\lsass.exe
    attrib -s -h -r c:\windows\setuprs1.pif
    attrib -s -h -r c:\autorun.inf
    attrib -s -h -r c:\autorun.pif
    attrib -s -h -r c:\r.exe
    attrib -s -h -r c:\regedit.exe.exe
    attrib -s -h -r c:\cmd.exe.exe

    rd c:\runauto...\ /s /q
    del c:\windows\lsass.exe /q
    del c:\windows\setuprs1.pif /q
    del c:\autorun.inf /q
    del c:\autorun.pif /q
    del c:\windows\r.exe /q

    del c:\windows\regedit.exe.exe
    del c:\windows\regedt32.exe.exe
    del c:\windows\cmd.exe.exe
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /v Debugger /f
    reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    chkdsk c: /f



    И вот такой:

    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q

    Вроде все стирают...... Хотя это никому не известно.... Но после них все работает замечательно и дряни ни какой нет...

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    С этим как раз всё понятно.... Это адаптация китайского скрипта... Я об антивирусах говорил... Антивирусы вычищают али нет?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    реестр вроде нет....
    19-12-2007 13:42:38 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    19-12-2007 13:43:00 [CR] E:\Autorun.inf - удален
    19-12-2007 13:44:34 [CR] E:\runauto..\autorun.pif - инфицирован BackDoor.Kais
    19-12-2007 13:44:39 [CR] E:\runauto..\autorun.pif - удален
    Это все что он делает когда вставляешь инфецированую флешку.... а дальше скриптом...

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Дык если антивирус его ещё на флешке вылавливает - скрипт-то зачем запускать?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Потому что антивирус папку runauto.. не удаляет. она так и остается на флешке.. а после запуска скрипта, все чисто....

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    rd /q /s "c:\runauto...\"
    не проще сделать?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Для меня не проще....
    Для меня проще запустить коммандный файл и думать что все хорошо....:улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Дело привычки, конечно... Я привык к консоли. Быстрее напечатать команду, чем искать батник по все файлухе.

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Я бы сказал, что это дело понимания происходящего... Если не понимаешь, что же происходит, то и привычка не поможет... :улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Я на всех своих компах всегда давлю автозапуск. Может поэтому эта бяка на винтах живёт, а на флэшки не перелазит.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    не факт... хотя....
    у меня сейчас тоже автозапуск отключен, но когда вставляешь чужую флэш и открываешь ее в проводнике, то dr.web орет как потерпевший и удаляет файлы-вирусы.

    ЗЫ
    Этот вирус был бы сущим адом, если мог бы записываться не только на флэш и локальные диски, но и на сетевые.... :шок:
    :улыб:

    ЗЗЫ
    командой subst можно создать еще один логический диск. Вопрос: А его эта дрянь сможет заразить? просто интересно....

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    У меня каспер старый-5 в упор не видит :хммм:С флэшек переписываю всё (если он там есть) и форматирую.
    Кстати товарищ шарящий говорит что из под Линуха стереть можно.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    В ответ на: Кстати товарищ шарящий говорит что из под Линуха стереть можно.
    Можно. Проверял.

    ЗЫ: Из-под винды тоже можно - я выше команду давал.

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    п.9
    Вот это?
    rd /q /s "c:\runauto...\"
    я конечно не совсем чайник, но непонятно что с этим делать...

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

    Исправлено пользователем Barlog (19.01.08 10:05)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    запустить в командной строке

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    в командной строке:

    del c{d|z}:\runaut~1\*.* /y
    rd c{d|z}:\runaut~1

    реестр чистить согласно скрипта.

    Non solum oportet, sed etiam necessese est

    Исправлено пользователем Mad_Dollar (19.01.08 03:41)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Mad_Dollar

    У меня
    Пуск->Выполнить->regedit
    и
    Пуск->Выполнить->cmd
    не хочут выполняться...
    :umnik:

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    это потому что они теперь называются cmd.exe.exe
    этот вирус заменяет файлы cmd и regedit на свои.....

    посмотрите в windows/system32 должен быть нормальный файл cmd.exe
    вот его и запустите и удалите тот который с двойным

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    файлов *.exe.exe нету.
    есть обычный cmd.exe в windows/system32. там же есть regedt32.exe, причём дата создания 2001, а у меня комп с 2005 :dnknow:
    regedit.exe в c:\windows
    давлю на любой - "файл не найден".

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    Сделай то, что я описывал в начале топика (Sysinternal Autoruns, тренировка на быстроту запуска скрипта и пр.). Вирус ставит в реестре перхват на запуск цмд.ехе и регедит.ехе. Пока его сервис не прибьешь, не запустишь :-)

    Дата создания - нормально. При установке винды системные файлы с диска копируются с оригинальной датой. Дату установки имеет то, что создается непосредственно в ее процессе - папки, логи, файлы реестра и т.п.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

    Исправлено пользователем PN (20.01.08 02:34)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    AVZ тебе в руки!!! причем срочно.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    в авз настоятельно рекомендую обратить внимание на пункт - файл - восстановление системы, отметить все галки кроме последней и нажать выполнить, но до ребута после авз протрите еще cureit последним... и имхо щастье настанет, а то изза тривиального триппера стока стону...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Злыдь

    В ответ на: Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe
    Для этого есть стандартная функция, восстановления системных
    файлов с установочного диска. Зачем огород-городить с *живыми машинками*?

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    Обращаюсь с просьбой вылечить за отдельную плату от этого autorun ноутбук и флешку.
    Сама я полный ноль (т.е. все здесь описанное для меня - китайская грамота)
    При открытии флешку (4 ГБ-там у меня вся жизнь и работа) компьютер теперь воспринимает как файл,
    спрашивает с помошью какой программы открыть файл F
    в ноутбуке через поиск обнаруживается 50 файлов с именем autorun, в т.ч. в базах 1С
    + какой-то троян есть.
    Или подскажите пожалуйста, куда обратиться, чтобы 100% результат был.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    autorun, это не RUNAUTO

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Ну простите, я ж говорю - ничего в этом не понимаю
    мои вирусы назывались
    Worm.Win32.AutoRun.bdl
    Worm.Win32.AutoRun.bur
    Вопрос снят

Записей на странице:

НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /
Перейти в форум

Модераторы:
Наверх
SHKULEV MEDIA HOLDING
Подробности...
Сетевое издание «НГС.НОВОСТИ» (18+)
Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации СМИ ЭЛ № ФС 77—84683
Учредитель: Общество с ограниченной ответственностью «ИНТЕРНЕТ ТЕХНОЛОГИИ»
Главный редактор: Малкова Марина Андреевна
Адрес редакции: 630099, Россия, Новосибирск, ул. Ленина, д. 12, 6 этаж, телефон 8 (383) 212-52-52, 8 (923) 157-00-00 (круглосуточно)
Электронный адрес редакции: ngs@sholding.ru
Контактные данные для Роскомнадзора и государственных органов: juristnsk@sholding.ru
Техподдержка: help@sholding.ru, 8 (800) 200-03-83 (доб.3)
Связаться с отделом продаж: 8 (383) 212-52-52, 8 (800) 200-03-83 (звонок с сотового бесплатный), reklama@ngs.ru
Публикации с пометкой «На правах рекламы», «Партнёрский проект», «Новости телекома», «Открытая трибуна», «Выборы-2019» и «Выборы-2020» оплачены рекламодателем. Редакция сайта не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях.

Информация об ограничениях

Политика использования cookies
Политика конфиденциальности и обработки персональных данных и правила использования сайта