Погода: −3 °C
30.11−6...−2небольшая облачность, без осадков
01.12−13...−11переменная облачность, без осадков
  • Не знал куда писать, нигде не нашел...
    Хрень передается через флешки! В корне диска появляется папка runauto..
    Весит 0 байт, удалиль нельзя, переименовать нельзя, замочил мне DR.Web'а (мож не он, но веб сканер не работает) (при удалении пишет, что нет такой папки) :eek:

    Вставляю мобильник, так и там на флешке папка уже болтается!!!
    Даже из загрузочного диска пробовал удалить, не какнает!!!! Опять пишет, что нет файла! :шок:

    Может кто уже убиват такого? Чего делать?

    PS
    Вместо regedit.exe у меня теперь regedit.exe.exe :зло:

    "...Я Родину люблю..."

  • Это вирус, сталкивался как-то, вычистил вручную (убил в процессах, в автозагрузке, прошёлся касперским). Если касперский его не увидит, обновите базы.
    Чьи-то мучения в жж.

  • самое интересное, что такая (подобная) дрянь уже на каждой третьей (если не второй) флешке из тех, которые мне приносят. "Касперский" даже уже не матерится и не визжит - просто молча трёт эти файлы с заразой и всё. А ни про какую эпидемию никто из антивирусных компаний не заикается даже :зло:

    Продам микроволновую печь с запасом микроволновых дров.

    Исправлено пользователем Alexis2k (20.11.07 17:11)

  • В жж прям какие то ужасы написаны! Я так понял, что никто не смог его до конца убить! все равно эта дрянь гдето оставляет свой мусор. Убил вчера пол реестра, а папка как висела, так и висит! Доктор Веб удалил из нее какой то файл runauto.pif, назвал вирусом и все... папка как была так и есть. Ох, не нравится мне эта штука....

    И никто не знает, что этот вирус делает! Может это зародышь искуственного интелекта? Такое ощущение, как будто эта дрянь мутирует (перестраивается, подстраивается). Потому что болезнь вроде у всех одиа, а симптому разные.... :help.gif:

    "...Я Родину люблю..."

  • Ну, в принципе, методы борьбы там написаны вполне правильно. ВЫвести его полностью - можно, а вот противостоять повторному внесению, полагаясь на автоматику - нет. Все дело в том, что запуск вируса происходит не запуском некоего exe, что любой авирь отловит, а через shellexecute, что ведет к обману любого антивируса. По крайней мере, распространенные в новейших версиях и с актуальнейшими базами на раз пропускают дрянь, если даблкликнуть по флэшке. И "NoDriveTypeAutorun" не поможет... Он отключает только автозапуск по вставке, а даблклик в проводнике все равно вызывает авторан-скрипт. Выход - не пользовать даблклик, а привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню. В этом случае нормальный антивирь увидит западло и почистит. Проблема в том, что у винды нет документированного механизма нотификации о подключении съемного диска, что не позволяет антивирусам иметь функцию "Автосканирование подключенного съемного диска".

    Если вирус уже есть, вывести его можно при помощи быстрой реакции. Щас расскажу.

    1) Качаем Sysinternals Autoruns
    2) Качаем скрипты из аттача
    3) Кладем скрипт RUDel.bat куда нить на рабочий стол
    4) пускаем Autoruns (вирус, кста, его иногда видит и закрывает, сука... но повторно можно запустить всегда) и ищем закладку Image Hijacks. В ней будет несколько галок. Нас интересует cmd.exe. Нужно выбрать эту строку, навести курсор мыши на RUDel.bat, не кликая по нему, чтобы фокус остался на окне Autoruns. Нажать на клаве Del и согласиться на удаление ентером, СРАЗУ ЖЕ даблкликая по RUDel. Если успел - скрипт запускается и выносит западло. Если нет - отказ в запуске, что значит, что реакция не супер :-) Повторяем, тренируемся. Как RUdel отработает, можно удалить в Autoruns все хайджеки, кроме того, что подписан Майкрософт - он там должен быть.

    Вариант с прибоем сервиса kknc не всегда проходит... Он бывает, что тут же перезапускается.

    Дальше. Чтобы не занести заразу вновь можно
    а) Убрать автозапуск на всех типах устройств и не пользовать даблклик, а, опять же, привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню.б) Убрать автозапуск на всех типах устройств и взять за правило сразу после вставки прогонять по флэшке антивирусом вручную
    в) Убрать автозапуск на всех типах устройств и после вставки прогонять скрипт Fldel.bat - он трет файло autorun.inf и остальное по всем найденным логическим дискам, после чего флэшку можно открывать хоть дабл-кликом, но если будет ошибка открытия, то это значит, что на ней был вирус :-) Тогда перевтыкаем и пользуемся.


    UPD. Опа, а где аттач?
    Ладна... качаем это тогда с http://ifolder.ru/4221693

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • аааа, я тож поймала. симптомы абсолютно те же, Симантек Нортон не спасает. папка не удаляется, не переименовывается...

    Nervous fingers, anxious smile...

  • сдается мне, что дрянь эта сугубо азиатская (читай русско-китайская) и никто акромя азиатов про нее не слышал (или не хочет слышать) в т.ч. и евре.... тьфу... европейско-американские антивирусы :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • Это как в кино:
    "Не думай, что ты в безопасности..."
    :улыб:

    "...Я Родину люблю..."

    Исправлено пользователем maxxx (21.11.07 16:44)

  • Не знаю, об одном и том же речь или нет, но гугл выда это:

    http://www.uninstall-spyware.com/uninstallRunAutoTrojan.html

    http://www.spywaredb.com/remove-runauto-trojan/

    Нельзя понять непонятное.
    Пузьма Кротков.

  • не знаю, то или нет, но сегодня мне на флешке в контору опять такую хрень принесли. Доктор Веб выдает вот такое в лог файле:
    21-11-2007 11:20:33 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:20:44 [CR] \\Autorun.inf - ошибка удаления
    21-11-2007 11:20:44 [CR] \\Autorun.inf - доступ к файлу запрещен
    21-11-2007 11:21:13 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:22:20 [CR] E:\Autorun.inf - исцелен

    интересно, он его убил или нет? и что значит исцелен?

    "...Я Родину люблю..."

  • Вот мля! Еще одна флешка!!!!! :шок:

    две из трех! это круто! :eek:


    :respect: писакам вируса! :улыб:

    "...Я Родину люблю..."

  • у меня флэшку тоже подобной заразили, вроде вэбом пролечил, даже флэшка пустая была, только имя флэшки поменять не мог, потом принес флэшку в другое место, ее вставили и касперский начал ругаться, попросил не лечить, принес на свой комп прогнал вэбом молчит вэб, грит все чисто, это было 16 ноября, сейчас еще прогоню версией от воскресенья, а папка появилась

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

    Исправлено пользователем wall1609 (22.11.07 08:22)

  • поздарвляю :live:
    ваш др.ВЕБ подружился с троянцем :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • у меня такая картина наблюдается уже с полгода где-то... просто раньше была примерно одна из трёх, а последние 2 недели: 3 из 4х. Делаю вывод что ботнет заметно расширился:улыб:

    ЗЫ: прошу не считать рекламой, но с тех машин, где я сам лично, при составлениии конфигурации для домашнего компа, включал стороку расходов на покупку хотябы KAV - флешки несут чистые...

    Продам микроволновую печь с запасом микроволновых дров.

  • PN, спасибо! Помогло! Ни папок хреновых ни файлов! Скрипт удалил все за нех. делать!:улыб::respect:

    Только вот не уверен я ни в одном антивире....

    "...Я Родину люблю..."

  • А зараза, кста, запросто может быть китайской.. Уже года два наблюдаю, что дешевые плееры, флэшки, карты памяти от производителей, входящих в китайский холдинг "Дядя Сяо и Тетя Ляо чердакс энд подвалс ману[censored]туринг" будучи новыми несут на себе разного рода гадость, запускающуюся авторан-скриптом. Так что вспомним старые времена, когда каждую дискету, принесенную извне, надо было сначала прогонять аидстестом, а уже потом открывать :-)

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • спокойно удалила вирус с обеих флэшек НОД32 с последнией базой

    Nervous fingers, anxious smile...

  • cmd.exe запускается?

    Wir werden alle sterben

  • Ну я уже к заразе этой приноровился.......
    Др. Веб сразу удаляет с флешки плохие файлы, а потом макросом стираю все остальное......

    "...Я Родину люблю..."

  • Меня интересует автоматическая чистка реестра...

    Wir werden alle sterben

  • запускается, а что?

    Nervous fingers, anxious smile...

  • cmd запускается свободно....
    а что значит автоматическая чистка реестра?

    "...Я Родину люблю..."

  • Дело в том, что этот (и не только) вирус оставляет в реестре следы своей жизнедеятельности. Что не радует. Какие именно следы - в ссылке на блог выше

    Wir werden alle sterben

  • Есть вот такой батовский файл


    taskkill /fi "services eq kkdc" /f
    taskkill /im regedit.exe.exe /f
    taskkill /im r.exe /f
    sc stop kkdc
    net stop kkdc
    sc delete kkdc
    attrib -s -h -r c:\windows\lsass.exe
    attrib -s -h -r c:\windows\setuprs1.pif
    attrib -s -h -r c:\autorun.inf
    attrib -s -h -r c:\autorun.pif
    attrib -s -h -r c:\r.exe
    attrib -s -h -r c:\regedit.exe.exe
    attrib -s -h -r c:\cmd.exe.exe

    rd c:\runauto...\ /s /q
    del c:\windows\lsass.exe /q
    del c:\windows\setuprs1.pif /q
    del c:\autorun.inf /q
    del c:\autorun.pif /q
    del c:\windows\r.exe /q

    del c:\windows\regedit.exe.exe
    del c:\windows\regedt32.exe.exe
    del c:\windows\cmd.exe.exe
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /v Debugger /f
    reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    chkdsk c: /f



    И вот такой:

    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q

    Вроде все стирают...... Хотя это никому не известно.... Но после них все работает замечательно и дряни ни какой нет...

    "...Я Родину люблю..."

  • С этим как раз всё понятно.... Это адаптация китайского скрипта... Я об антивирусах говорил... Антивирусы вычищают али нет?

    Wir werden alle sterben

  • реестр вроде нет....
    19-12-2007 13:42:38 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    19-12-2007 13:43:00 [CR] E:\Autorun.inf - удален
    19-12-2007 13:44:34 [CR] E:\runauto..\autorun.pif - инфицирован BackDoor.Kais
    19-12-2007 13:44:39 [CR] E:\runauto..\autorun.pif - удален
    Это все что он делает когда вставляешь инфецированую флешку.... а дальше скриптом...

    "...Я Родину люблю..."

  • Дык если антивирус его ещё на флешке вылавливает - скрипт-то зачем запускать?

    Wir werden alle sterben

  • Потому что антивирус папку runauto.. не удаляет. она так и остается на флешке.. а после запуска скрипта, все чисто....

    "...Я Родину люблю..."

  • rd /q /s "c:\runauto...\"
    не проще сделать?

    Wir werden alle sterben

  • Для меня не проще....
    Для меня проще запустить коммандный файл и думать что все хорошо....:улыб:

    "...Я Родину люблю..."

  • Дело привычки, конечно... Я привык к консоли. Быстрее напечатать команду, чем искать батник по все файлухе.

    Wir werden alle sterben

  • Я бы сказал, что это дело понимания происходящего... Если не понимаешь, что же происходит, то и привычка не поможет... :улыб:

    "...Я Родину люблю..."

  • Я на всех своих компах всегда давлю автозапуск. Может поэтому эта бяка на винтах живёт, а на флэшки не перелазит.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • не факт... хотя....
    у меня сейчас тоже автозапуск отключен, но когда вставляешь чужую флэш и открываешь ее в проводнике, то dr.web орет как потерпевший и удаляет файлы-вирусы.

    ЗЫ
    Этот вирус был бы сущим адом, если мог бы записываться не только на флэш и локальные диски, но и на сетевые.... :шок:
    :улыб:

    ЗЗЫ
    командой subst можно создать еще один логический диск. Вопрос: А его эта дрянь сможет заразить? просто интересно....

    "...Я Родину люблю..."

  • У меня каспер старый-5 в упор не видит :хммм:С флэшек переписываю всё (если он там есть) и форматирую.
    Кстати товарищ шарящий говорит что из под Линуха стереть можно.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • В ответ на: Кстати товарищ шарящий говорит что из под Линуха стереть можно.
    Можно. Проверял.

    ЗЫ: Из-под винды тоже можно - я выше команду давал.

    Wir werden alle sterben

  • п.9
    Вот это?
    rd /q /s "c:\runauto...\"
    я конечно не совсем чайник, но непонятно что с этим делать...

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

    Исправлено пользователем Barlog (19.01.08 10:05)

  • запустить в командной строке

    "...Я Родину люблю..."

  • в командной строке:

    del c{d|z}:\runaut~1\*.* /y
    rd c{d|z}:\runaut~1

    реестр чистить согласно скрипта.

    Non solum oportet, sed etiam necessese est

    Исправлено пользователем Mad_Dollar (19.01.08 03:41)

  • У меня
    Пуск->Выполнить->regedit
    и
    Пуск->Выполнить->cmd
    не хочут выполняться...
    :umnik:

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • это потому что они теперь называются cmd.exe.exe
    этот вирус заменяет файлы cmd и regedit на свои.....

    посмотрите в windows/system32 должен быть нормальный файл cmd.exe
    вот его и запустите и удалите тот который с двойным

    "...Я Родину люблю..."

  • файлов *.exe.exe нету.
    есть обычный cmd.exe в windows/system32. там же есть regedt32.exe, причём дата создания 2001, а у меня комп с 2005 :dnknow:
    regedit.exe в c:\windows
    давлю на любой - "файл не найден".

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Сделай то, что я описывал в начале топика (Sysinternal Autoruns, тренировка на быстроту запуска скрипта и пр.). Вирус ставит в реестре перхват на запуск цмд.ехе и регедит.ехе. Пока его сервис не прибьешь, не запустишь :-)

    Дата создания - нормально. При установке винды системные файлы с диска копируются с оригинальной датой. Дату установки имеет то, что создается непосредственно в ее процессе - папки, логи, файлы реестра и т.п.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

    Исправлено пользователем PN (20.01.08 02:34)

  • AVZ тебе в руки!!! причем срочно.

  • в авз настоятельно рекомендую обратить внимание на пункт - файл - восстановление системы, отметить все галки кроме последней и нажать выполнить, но до ребута после авз протрите еще cureit последним... и имхо щастье настанет, а то изза тривиального триппера стока стону...

  • Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • В ответ на: Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe
    Для этого есть стандартная функция, восстановления системных
    файлов с установочного диска. Зачем огород-городить с *живыми машинками*?

  • Обращаюсь с просьбой вылечить за отдельную плату от этого autorun ноутбук и флешку.
    Сама я полный ноль (т.е. все здесь описанное для меня - китайская грамота)
    При открытии флешку (4 ГБ-там у меня вся жизнь и работа) компьютер теперь воспринимает как файл,
    спрашивает с помошью какой программы открыть файл F
    в ноутбуке через поиск обнаруживается 50 файлов с именем autorun, в т.ч. в базах 1С
    + какой-то троян есть.
    Или подскажите пожалуйста, куда обратиться, чтобы 100% результат был.

  • autorun, это не RUNAUTO

    "...Я Родину люблю..."

  • Ну простите, я ж говорю - ничего в этом не понимаю
    мои вирусы назывались
    Worm.Win32.AutoRun.bdl
    Worm.Win32.AutoRun.bur
    Вопрос снят

  • п.9
    В новосибирске, даже не знаю, кого посоветовать. некого.
    Разве, что пригласите мальчика, который 1С ставил...
    Набор операций по лечению, не сложный,
    инструментарий стандартный. Не дурак - разберется)
    А вот если, кто базу случайно повредит от 1С..
    во всяком случае, я не возьмусь,...я жить хочу))))
    Только подсказать могу, чем, как... общие рекомендации..
    там ничего сложного нет...

    Исправлено пользователем Barlog (24.01.08 09:54)

  • да не подумайте, я ни в чем не упрекаю....
    я с этой заразой сам ничего не понимал.... спасибо добрым людям....

    вы уж не сердитесь....:улыб:
    просто написал, почему у вас много auturan`ов....
    :улыб:

    "...Я Родину люблю..."

  • В новосибирске, даже не знаю, кого посоветовать. некого. :ухмылка:
    по моему слова "не знаю" и "некого" немного различны по смыслу....
    :ухмылка:

    "...Я Родину люблю..."

  • В ответ на: да не подумайте, я ни в чем не упрекаю....
    я с этой заразой сам ничего не понимал.... спасибо добрым людям....
    Я не в претензии.
    В топике "Вирус", последнего человека вы перенаправили в соседний (сюда?).
    Вот почему и я сюда обратилась.
    Насколько я поняла, Worm.Win32.AutoRun это совсем свежий вирус
    Касперский его видит, удаляет, но он восстанавливается,
    на их сайте описания этого вируса нет,
    на форуме нашла похожее что-то.
    Куда же мне с моим вирусом податься...

  • В ответ на: это совсем свежий вирус
    Стая бакланов за этими двумя ссылками сидит, однако, ни одного толкового поста...

    В ответ на: Куда же мне с моим вирусом податься
    Ну, а сами-то чо?
    На касперском же вполне нормально расписано, как прибить... Будете сами пробовать или нет?

    1. Качаем AVZ4 http://z-oleg.com/avz4.zip (3.3 Мб) и куда-нить распаковываем. Пока качается, кликаем правой кнопкой по "Мой компьютер", затем "Свойства - Восстановление системы". Там ставим галку "Отключить восстановление системы на всех дисках".

    2. Запускаем avz.exe и в меню выбираем "Файл - Обновить базы"

    3. Затем "Файл - Стандартные скрипты", отмечаем галкой скрипт 3 и запускаем. Ждем, пока отработает. Может быть довольно долго. После того, как отработал, можно почитать, чего он нашел и чего сделал.

    4. Идем в "Файл - Выполнить скрипт" и с той страницы на форуме Касперского копируем сюда сначала скрипт (это вот то, похожее на программу в рамке "CODE") за номером 1 в первом посте Maxim_VInfo и нажимаем "Выполнить". ПОсле того как скрипт отработает, находим второй пост этого человека в ветке и точно также выполняем скрипт оттуда. Если у вас действительно этот вирус - все подотрется. Как проверка - перезагружайтесь и прогоняйте AVZ стандартный скрипт номер 3 еще раз. Не должно быть никаких негативных сообщений кроме предепреждений о стандартных службах, возможно уязвимых.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Спасибо за ответ.
    Вечером попробую по рекомендованному алгоритму

  • Пришел к выводу:
    - что самое простое систему преустановить.
    и потом удалить эти runauto..
    когда заработает ---cmd.exe и т.д.
    А так, для простого смертного невозможно выполнить все эти монипуляции.
    тем более у меня regedit не работает.
    AntiVir - не удаляет этот вирус.

    Нэ так всё это было.... совсэм нэ так........

  • Читай выше посты от PN. Там всё рассказано. Я вчера вылечил буквально за пару минут. Теперь и cmd и regedit, всё работает.

  • Да нет там ничего страшного....Все оч просто. если разобраться в сути. Так что читайте, правда, предыдущие посты и все пойдет как по маслу..... :respect::улыб:

    "...Я Родину люблю..."

  • Получилось! Вначале у меня Autoruns никак не запускался. Вирус не давал запустить.
    А потом Autoruns запустился и согласно инструкции PN :live: :live: –справился!

    Нэ так всё это было.... совсэм нэ так........

  • Вот только не понял. Можно ли с помощью Autoruns и этих RUDel.bat и Fldel.bat полностью избавится от вируса. Или нужно еще Касперского прогнать (у меня его нет).

    Нэ так всё это было.... совсэм нэ так........

  • Конкретно от этого - да. Как минимум, до следующего неосторожного открытия флэшки с таким вирусом:улыб:

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Может ли флэшечный вирус поразить цифровой фотоаппарат при подключении его к компьютеру ч/з порт USB?
    Или глюк фотоаппарата - случайное совпадение?

  • В ответ на: при подключении его к компьютеру ч/з порт USB?
    Если подключён в режиме Mass Storage (создаётся новый диск) - запросто. Но фотоаппарату, в принципе, должно быть глубоко фиолетово наличие вируса на флешке.

    Wir werden alle sterben

  • У нас принос этой херни постоянно на фотиках практикуется:улыб:Ему-то канешна пофик, но компы хватают. Хорошо, хоть юзеров научил проверку делать...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Может не так сформулировала
    Если ранее комп схватил с флэшки, потом к нему подключили фотик.
    Фотик после этого заглючил, фотографии теперь получаются дрожащие-трясущиеся,
    в мелкую полоску, сделанные до этого снимки нормальные.
    Т.е. причина не в вирусе, даже если он попал на фотик, то сбоя в работе вызвать не мог.
    Я правильно понимаю?
    Конечно повезу его в сервис (по гарантии), про вирус там не надо упоминать, чтоб не посмеялись?

  • Вот тоже пришлось поборотсья.
    Принесли ноут с вирусами, вставил флешку со свежими базами от др.вэба. Соответсвенно флэшка была сразу заражена, после обновления ее вытащил, прогнал на другом компе как всегда был какой-то авторан его доктор удалил, но вот другой подозрительный файл оставил, проверил его на сайте вэба, чисто, на касперском вирус, отправил этот файл разработчикам вэба, через некоторое время они мне ответели спасибо, вирус в базы добавлен.
    Продолжил чистить комп. 1-ый проход сканер типа все удалил надо перегружаться, перегрузился снова запустил, все чисто но есть один файл зараженный deflib.sys, удалил надо перегружаться, на 3-ем проходе то же самое.
    Попробовал рецепт отсюда
    В безопасном режиме сканер вообще ничего не нашел а файлов maptun.dll и mpcsvc.exe в помине не было.
    Поставил по совету с этой ветки AVZ. Что странно AVZ говорил что в папке c:\temp\ есть файл winlogon.exe но его там не было.
    Закончилось тем что в безопасном режиме наконец то увидел кучу файлов в c:\temp\ вместе с winlogon.exe и благодоря авз который увидел в папке по воостановлению системы файлы с вирусами, при этом права на эту папку были изменены и видимо поэтому сканер на видел что там вирусы, я все это грохнул и вирус перестал появляться.
    Но остался заблокирован вызов диспетчера задач, как его разблокировать?

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

  • В AVZ есть пункт в меню - восстановление системы.

    Wir werden alle sterben

  • В ответ на: Фотик после этого заглючил, фотографии теперь получаются дрожащие-трясущиеся,
    Может просто на фотике настроечки кто-то сбил?

    Wir werden alle sterben

  • 4.29 AVZ при восстановлении системы regedit вернул на круги своя, а вот cmd чота ниасилил... :зло:

  • кстате, всякие пакостные папки и файлы от этой дряни грохаются на 123 софтинкой unlocker

  • Можно зайцеву отписать по этому поводу. Похоже, он снимает дебаггеры у конкретных программ

    Wir werden alle sterben

  • Правильно понимаете.
    Можете не говорить там об этом.

  • Спасибо. Вам и всем, кто откликнулся

  • Всем привет. Я тут почитал как бороться с этим runauto, но с трудом понимаю как это сделать конкретно. У меня ни cmd, ни regedit не запускается, скачал fldel тоже не запускается, пишет чтобы убедился в правильности имени файла. Что делать, помогите уже третий день с ним парюсь

    Исправлено пользователем zbnm (01.02.08 22:11)

  • Копируй avz он поможет и инструкции там есть, а еще можно воспользоваться как я понял такой поддержкой, в программе авз формируете отчет о сканировании компа, помещаете на форуме (в специальном разделе) отчет, для вас пишут скрипт, который вылечит ваш комп, вы его загрузите и исполните и все должно быть нормуль после этого. Если охота разобраться, то читайте мое сообщение выше.

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

  • можно и руами бороться. у меня такая же хрень получилась..

    1)заходишь в проводник или мой компутер...

    2)затем сервис -> свойства папки-> (вкладка) вид- > (и там ) переключаете на "показывать скрытые файлы и папки", убираете галочку "скрывать защищенные системные файлы", убираете галочку "скрывать расширения для зарегистрированных типов файлов"

    3)находишь мерзкие файлы cmd.exe.exe и regedit.exe.exe
    их искать в папках c:\windows и C:\WINDOWS\system32

    ЗЫ
    при запуске cmd.exe его имя вместе с рассширением должно отображаться в заголовке окна. например как на фотке.

    если открылся такой файл - удаляй его нах......


    потом, после того как заработает cmd.exe нужно запустить скрипт rudel.bat и все что там предлагают... (смотри выше)


    ЗЗЫ
    я бы прогнал хотя бы курьеткой доктора веба после всего..........:улыб:(курьетка - бесплатная прога веба... так же см. выше.... ;))

    "...Я Родину люблю..."

  • можно и руами бороться. у меня такая же хрень получилась..

    1)заходишь в проводник или мой компутер...

    2)затем сервис -> свойства папки-> (вкладка) вид- > (и там ) переключаете на "показывать скрытые файлы и папки", убираете галочку "скрывать защищенные системные файлы", убираете галочку "скрывать расширения для зарегистрированных типов файлов"

    3)находишь мерзкие файлы cmd.exe.exe и regedit.exe.exe
    их искать в папках c:\windows и C:\WINDOWS\system32

    ЗЫ
    при запуске cmd.exe его имя вместе с рассширением должно отображаться в заголовке окна. например как на фотке.

    если открылся такой файл - удаляй его нах......


    потом, после того как заработает cmd.exe нужно запустить скрипт rudel.bat и все что там предлагают... (смотри выше)


    ЗЗЫ
    я бы прогнал хотя бы курьеткой доктора веба после всего.......... (курьетка - бесплатная прога веба... так же см. выше.... )

    --------------------
    "...Я Родину люблю..."



    Сделал так, получилось. Теперь Ничего нет. Спасибо:улыб:

  • Чтобы дрянь эта не водилась - работайте люди под пользователем с неадминистративными правами! (актуально до ХР включительно).
    Просто заведите себе 2 пользователя: с админскими правами и с ограниченными - и работайте всегда под вторым (с ограниченными). Админа использовать только для админских дел, установки/удаления программ и т.п. А обычному пользователю можно и еще везде в "нехороших местах" вроде папки винды и авторанов в реестре права на запись пообрезать. Тогда даже если вирус и прорвется - много где засесть не успеет, да и стартануть толком скорее всего не сможет. Вычистить его будет всяко проще.

    Исправлено пользователем KSergey (08.02.08 22:08)

  • А что делать если для работы необходим статус "Опытный пользователь"?

    "...Я Родину люблю..."

  • в принципе это мысль. надо попробовать дома себе права подобрезать.:улыб:довольно забавно и безусловно - добавляет безопасности.

    IT crowd. старый добрый троллинг.

  • Всегда можно выяснить для чего конкретного нужен этот статус и дать эти права обыкновенному пользователю. Вот у нас проектировщики кричали, что автокаду необходимы админские права... Но после того, как один из них меня достал играми на компе, у него автокад почему-то стал работать под обыкновенным пользователем. Правда пришлось поменять доступ к некоторым веткам реестра... Но чего не сделаешь, ради любви к исскуству. :ха-ха!:

  • Именно так.
    Спасибо, что написали, мне меньше пальцы ломать:улыб:

    К тому же это не просто "забавно", а стандартные рекомендации от MS.

    Исправлено пользователем KSergey (11.02.08 18:38)

  • тут недавно новую(или старую, хз) подобную пакость на флешке домой притащил... без папки runauto и блокировки cmd... флешка даже по правой кнопке - открыть не открываеццо... пришлось start <букова_флэшки> набирать... :зло: жуть. обновил кошмарского, он сразу захрюкал и угробил ее :eek:
    правда после перезагрузки на флешке снова появилась... а проверка %SystemRoot% ничо не показала... теперь открываю флэшку стартом :хммм:

    как победить сие творение злобных умишек человеческих? :help.gif: (авз не пробовал еще)

  • avz и логи на вирусинфо.инфо.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • У нас на работе на флэшки переходит пакость autorun.inf и juok3st.bat
    1) Мы приноровились открывать флэшку не в Проводнике, а в каком-нибудь Коммандере, типа Тотал. Он их видит, стираем.
    2) Я мучительно больно, но оценил-таки преимущество Линукса. Дома открываю флэшку только в нём и выкашиваю гадость.

  • С auturun.inf ещё ходит nt-чегоТоТам
    Ща поискал через Линукс в c/windows/system32 файлы с двойным ехе, нету. :-)

Записей на странице:

Перейти в форум

Модераторы: