Погода: −11 °C
02.12−15...−10небольшая облачность, без осадков
03.12−7...−4пасмурно, небольшой снег
  • Не знал куда писать, нигде не нашел...
    Хрень передается через флешки! В корне диска появляется папка runauto..
    Весит 0 байт, удалиль нельзя, переименовать нельзя, замочил мне DR.Web'а (мож не он, но веб сканер не работает) (при удалении пишет, что нет такой папки) :eek:

    Вставляю мобильник, так и там на флешке папка уже болтается!!!
    Даже из загрузочного диска пробовал удалить, не какнает!!!! Опять пишет, что нет файла! :шок:

    Может кто уже убиват такого? Чего делать?

    PS
    Вместо regedit.exe у меня теперь regedit.exe.exe :зло:

    "...Я Родину люблю..."

  • Это вирус, сталкивался как-то, вычистил вручную (убил в процессах, в автозагрузке, прошёлся касперским). Если касперский его не увидит, обновите базы.
    Чьи-то мучения в жж.

  • самое интересное, что такая (подобная) дрянь уже на каждой третьей (если не второй) флешке из тех, которые мне приносят. "Касперский" даже уже не матерится и не визжит - просто молча трёт эти файлы с заразой и всё. А ни про какую эпидемию никто из антивирусных компаний не заикается даже :зло:

    Продам микроволновую печь с запасом микроволновых дров.

    Исправлено пользователем Alexis2k (20.11.07 17:11)

  • В жж прям какие то ужасы написаны! Я так понял, что никто не смог его до конца убить! все равно эта дрянь гдето оставляет свой мусор. Убил вчера пол реестра, а папка как висела, так и висит! Доктор Веб удалил из нее какой то файл runauto.pif, назвал вирусом и все... папка как была так и есть. Ох, не нравится мне эта штука....

    И никто не знает, что этот вирус делает! Может это зародышь искуственного интелекта? Такое ощущение, как будто эта дрянь мутирует (перестраивается, подстраивается). Потому что болезнь вроде у всех одиа, а симптому разные.... :help.gif:

    "...Я Родину люблю..."

  • Ну, в принципе, методы борьбы там написаны вполне правильно. ВЫвести его полностью - можно, а вот противостоять повторному внесению, полагаясь на автоматику - нет. Все дело в том, что запуск вируса происходит не запуском некоего exe, что любой авирь отловит, а через shellexecute, что ведет к обману любого антивируса. По крайней мере, распространенные в новейших версиях и с актуальнейшими базами на раз пропускают дрянь, если даблкликнуть по флэшке. И "NoDriveTypeAutorun" не поможет... Он отключает только автозапуск по вставке, а даблклик в проводнике все равно вызывает авторан-скрипт. Выход - не пользовать даблклик, а привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню. В этом случае нормальный антивирь увидит западло и почистит. Проблема в том, что у винды нет документированного механизма нотификации о подключении съемного диска, что не позволяет антивирусам иметь функцию "Автосканирование подключенного съемного диска".

    Если вирус уже есть, вывести его можно при помощи быстрой реакции. Щас расскажу.

    1) Качаем Sysinternals Autoruns
    2) Качаем скрипты из аттача
    3) Кладем скрипт RUDel.bat куда нить на рабочий стол
    4) пускаем Autoruns (вирус, кста, его иногда видит и закрывает, сука... но повторно можно запустить всегда) и ищем закладку Image Hijacks. В ней будет несколько галок. Нас интересует cmd.exe. Нужно выбрать эту строку, навести курсор мыши на RUDel.bat, не кликая по нему, чтобы фокус остался на окне Autoruns. Нажать на клаве Del и согласиться на удаление ентером, СРАЗУ ЖЕ даблкликая по RUDel. Если успел - скрипт запускается и выносит западло. Если нет - отказ в запуске, что значит, что реакция не супер :-) Повторяем, тренируемся. Как RUdel отработает, можно удалить в Autoruns все хайджеки, кроме того, что подписан Майкрософт - он там должен быть.

    Вариант с прибоем сервиса kknc не всегда проходит... Он бывает, что тут же перезапускается.

    Дальше. Чтобы не занести заразу вновь можно
    а) Убрать автозапуск на всех типах устройств и не пользовать даблклик, а, опять же, привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню.б) Убрать автозапуск на всех типах устройств и взять за правило сразу после вставки прогонять по флэшке антивирусом вручную
    в) Убрать автозапуск на всех типах устройств и после вставки прогонять скрипт Fldel.bat - он трет файло autorun.inf и остальное по всем найденным логическим дискам, после чего флэшку можно открывать хоть дабл-кликом, но если будет ошибка открытия, то это значит, что на ней был вирус :-) Тогда перевтыкаем и пользуемся.


    UPD. Опа, а где аттач?
    Ладна... качаем это тогда с http://ifolder.ru/4221693

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • аааа, я тож поймала. симптомы абсолютно те же, Симантек Нортон не спасает. папка не удаляется, не переименовывается...

    Nervous fingers, anxious smile...

  • сдается мне, что дрянь эта сугубо азиатская (читай русско-китайская) и никто акромя азиатов про нее не слышал (или не хочет слышать) в т.ч. и евре.... тьфу... европейско-американские антивирусы :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • Это как в кино:
    "Не думай, что ты в безопасности..."
    :улыб:

    "...Я Родину люблю..."

    Исправлено пользователем maxxx (21.11.07 16:44)

  • Не знаю, об одном и том же речь или нет, но гугл выда это:

    http://www.uninstall-spyware.com/uninstallRunAutoTrojan.html

    http://www.spywaredb.com/remove-runauto-trojan/

    Нельзя понять непонятное.
    Пузьма Кротков.

  • не знаю, то или нет, но сегодня мне на флешке в контору опять такую хрень принесли. Доктор Веб выдает вот такое в лог файле:
    21-11-2007 11:20:33 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:20:44 [CR] \\Autorun.inf - ошибка удаления
    21-11-2007 11:20:44 [CR] \\Autorun.inf - доступ к файлу запрещен
    21-11-2007 11:21:13 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:22:20 [CR] E:\Autorun.inf - исцелен

    интересно, он его убил или нет? и что значит исцелен?

    "...Я Родину люблю..."

  • Вот мля! Еще одна флешка!!!!! :шок:

    две из трех! это круто! :eek:


    :respect: писакам вируса! :улыб:

    "...Я Родину люблю..."

  • у меня флэшку тоже подобной заразили, вроде вэбом пролечил, даже флэшка пустая была, только имя флэшки поменять не мог, потом принес флэшку в другое место, ее вставили и касперский начал ругаться, попросил не лечить, принес на свой комп прогнал вэбом молчит вэб, грит все чисто, это было 16 ноября, сейчас еще прогоню версией от воскресенья, а папка появилась

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

    Исправлено пользователем wall1609 (22.11.07 08:22)

  • поздарвляю :live:
    ваш др.ВЕБ подружился с троянцем :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • у меня такая картина наблюдается уже с полгода где-то... просто раньше была примерно одна из трёх, а последние 2 недели: 3 из 4х. Делаю вывод что ботнет заметно расширился:улыб:

    ЗЫ: прошу не считать рекламой, но с тех машин, где я сам лично, при составлениии конфигурации для домашнего компа, включал стороку расходов на покупку хотябы KAV - флешки несут чистые...

    Продам микроволновую печь с запасом микроволновых дров.

  • PN, спасибо! Помогло! Ни папок хреновых ни файлов! Скрипт удалил все за нех. делать!:улыб::respect:

    Только вот не уверен я ни в одном антивире....

    "...Я Родину люблю..."

  • А зараза, кста, запросто может быть китайской.. Уже года два наблюдаю, что дешевые плееры, флэшки, карты памяти от производителей, входящих в китайский холдинг "Дядя Сяо и Тетя Ляо чердакс энд подвалс ману[censored]туринг" будучи новыми несут на себе разного рода гадость, запускающуюся авторан-скриптом. Так что вспомним старые времена, когда каждую дискету, принесенную извне, надо было сначала прогонять аидстестом, а уже потом открывать :-)

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • спокойно удалила вирус с обеих флэшек НОД32 с последнией базой

    Nervous fingers, anxious smile...

  • cmd.exe запускается?

    Wir werden alle sterben

  • Ну я уже к заразе этой приноровился.......
    Др. Веб сразу удаляет с флешки плохие файлы, а потом макросом стираю все остальное......

    "...Я Родину люблю..."

  • Меня интересует автоматическая чистка реестра...

    Wir werden alle sterben

  • запускается, а что?

    Nervous fingers, anxious smile...

  • cmd запускается свободно....
    а что значит автоматическая чистка реестра?

    "...Я Родину люблю..."

  • Дело в том, что этот (и не только) вирус оставляет в реестре следы своей жизнедеятельности. Что не радует. Какие именно следы - в ссылке на блог выше

    Wir werden alle sterben

  • Есть вот такой батовский файл


    taskkill /fi "services eq kkdc" /f
    taskkill /im regedit.exe.exe /f
    taskkill /im r.exe /f
    sc stop kkdc
    net stop kkdc
    sc delete kkdc
    attrib -s -h -r c:\windows\lsass.exe
    attrib -s -h -r c:\windows\setuprs1.pif
    attrib -s -h -r c:\autorun.inf
    attrib -s -h -r c:\autorun.pif
    attrib -s -h -r c:\r.exe
    attrib -s -h -r c:\regedit.exe.exe
    attrib -s -h -r c:\cmd.exe.exe

    rd c:\runauto...\ /s /q
    del c:\windows\lsass.exe /q
    del c:\windows\setuprs1.pif /q
    del c:\autorun.inf /q
    del c:\autorun.pif /q
    del c:\windows\r.exe /q

    del c:\windows\regedit.exe.exe
    del c:\windows\regedt32.exe.exe
    del c:\windows\cmd.exe.exe
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /v Debugger /f
    reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    chkdsk c: /f



    И вот такой:

    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q

    Вроде все стирают...... Хотя это никому не известно.... Но после них все работает замечательно и дряни ни какой нет...

    "...Я Родину люблю..."

  • С этим как раз всё понятно.... Это адаптация китайского скрипта... Я об антивирусах говорил... Антивирусы вычищают али нет?

    Wir werden alle sterben

  • реестр вроде нет....
    19-12-2007 13:42:38 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    19-12-2007 13:43:00 [CR] E:\Autorun.inf - удален
    19-12-2007 13:44:34 [CR] E:\runauto..\autorun.pif - инфицирован BackDoor.Kais
    19-12-2007 13:44:39 [CR] E:\runauto..\autorun.pif - удален
    Это все что он делает когда вставляешь инфецированую флешку.... а дальше скриптом...

    "...Я Родину люблю..."

  • Дык если антивирус его ещё на флешке вылавливает - скрипт-то зачем запускать?

    Wir werden alle sterben

  • Потому что антивирус папку runauto.. не удаляет. она так и остается на флешке.. а после запуска скрипта, все чисто....

    "...Я Родину люблю..."

  • rd /q /s "c:\runauto...\"
    не проще сделать?

    Wir werden alle sterben

  • Для меня не проще....
    Для меня проще запустить коммандный файл и думать что все хорошо....:улыб:

    "...Я Родину люблю..."

  • Дело привычки, конечно... Я привык к консоли. Быстрее напечатать команду, чем искать батник по все файлухе.

    Wir werden alle sterben

  • Я бы сказал, что это дело понимания происходящего... Если не понимаешь, что же происходит, то и привычка не поможет... :улыб:

    "...Я Родину люблю..."

  • Я на всех своих компах всегда давлю автозапуск. Может поэтому эта бяка на винтах живёт, а на флэшки не перелазит.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • не факт... хотя....
    у меня сейчас тоже автозапуск отключен, но когда вставляешь чужую флэш и открываешь ее в проводнике, то dr.web орет как потерпевший и удаляет файлы-вирусы.

    ЗЫ
    Этот вирус был бы сущим адом, если мог бы записываться не только на флэш и локальные диски, но и на сетевые.... :шок:
    :улыб:

    ЗЗЫ
    командой subst можно создать еще один логический диск. Вопрос: А его эта дрянь сможет заразить? просто интересно....

    "...Я Родину люблю..."

  • У меня каспер старый-5 в упор не видит :хммм:С флэшек переписываю всё (если он там есть) и форматирую.
    Кстати товарищ шарящий говорит что из под Линуха стереть можно.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • В ответ на: Кстати товарищ шарящий говорит что из под Линуха стереть можно.
    Можно. Проверял.

    ЗЫ: Из-под винды тоже можно - я выше команду давал.

    Wir werden alle sterben

  • п.9
    Вот это?
    rd /q /s "c:\runauto...\"
    я конечно не совсем чайник, но непонятно что с этим делать...

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

    Исправлено пользователем Barlog (19.01.08 10:05)

  • запустить в командной строке

    "...Я Родину люблю..."

  • в командной строке:

    del c{d|z}:\runaut~1\*.* /y
    rd c{d|z}:\runaut~1

    реестр чистить согласно скрипта.

    Non solum oportet, sed etiam necessese est

    Исправлено пользователем Mad_Dollar (19.01.08 03:41)

  • У меня
    Пуск->Выполнить->regedit
    и
    Пуск->Выполнить->cmd
    не хочут выполняться...
    :umnik:

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • это потому что они теперь называются cmd.exe.exe
    этот вирус заменяет файлы cmd и regedit на свои.....

    посмотрите в windows/system32 должен быть нормальный файл cmd.exe
    вот его и запустите и удалите тот который с двойным

    "...Я Родину люблю..."

  • файлов *.exe.exe нету.
    есть обычный cmd.exe в windows/system32. там же есть regedt32.exe, причём дата создания 2001, а у меня комп с 2005 :dnknow:
    regedit.exe в c:\windows
    давлю на любой - "файл не найден".

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Сделай то, что я описывал в начале топика (Sysinternal Autoruns, тренировка на быстроту запуска скрипта и пр.). Вирус ставит в реестре перхват на запуск цмд.ехе и регедит.ехе. Пока его сервис не прибьешь, не запустишь :-)

    Дата создания - нормально. При установке винды системные файлы с диска копируются с оригинальной датой. Дату установки имеет то, что создается непосредственно в ее процессе - папки, логи, файлы реестра и т.п.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

    Исправлено пользователем PN (20.01.08 02:34)

  • AVZ тебе в руки!!! причем срочно.

  • в авз настоятельно рекомендую обратить внимание на пункт - файл - восстановление системы, отметить все галки кроме последней и нажать выполнить, но до ребута после авз протрите еще cureit последним... и имхо щастье настанет, а то изза тривиального триппера стока стону...

  • Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • В ответ на: Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe
    Для этого есть стандартная функция, восстановления системных
    файлов с установочного диска. Зачем огород-городить с *живыми машинками*?

  • Обращаюсь с просьбой вылечить за отдельную плату от этого autorun ноутбук и флешку.
    Сама я полный ноль (т.е. все здесь описанное для меня - китайская грамота)
    При открытии флешку (4 ГБ-там у меня вся жизнь и работа) компьютер теперь воспринимает как файл,
    спрашивает с помошью какой программы открыть файл F
    в ноутбуке через поиск обнаруживается 50 файлов с именем autorun, в т.ч. в базах 1С
    + какой-то троян есть.
    Или подскажите пожалуйста, куда обратиться, чтобы 100% результат был.

  • autorun, это не RUNAUTO

    "...Я Родину люблю..."

  • Ну простите, я ж говорю - ничего в этом не понимаю
    мои вирусы назывались
    Worm.Win32.AutoRun.bdl
    Worm.Win32.AutoRun.bur
    Вопрос снят

Записей на странице:

Перейти в форум

Модераторы: