Погода: 16 °C
10.0514...22пасмурно, небольшие дожди
11.0511...16пасмурно, без осадков
Пробки: 1 балл
НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /

RUNAUTO.. Че за дрянь такая?

ПечатьRSSДеревом

  • Не знал куда писать, нигде не нашел...
    Хрень передается через флешки! В корне диска появляется папка runauto..
    Весит 0 байт, удалиль нельзя, переименовать нельзя, замочил мне DR.Web'а (мож не он, но веб сканер не работает) (при удалении пишет, что нет такой папки) :eek:

    Вставляю мобильник, так и там на флешке папка уже болтается!!!
    Даже из загрузочного диска пробовал удалить, не какнает!!!! Опять пишет, что нет файла! :шок:

    Может кто уже убиват такого? Чего делать?

    PS
    Вместо regedit.exe у меня теперь regedit.exe.exe :зло:

    "...Я Родину люблю..."

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Это вирус, сталкивался как-то, вычистил вручную (убил в процессах, в автозагрузке, прошёлся касперским). Если касперский его не увидит, обновите базы.
    Чьи-то мучения в жж.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя RealWega

    самое интересное, что такая (подобная) дрянь уже на каждой третьей (если не второй) флешке из тех, которые мне приносят. "Касперский" даже уже не матерится и не визжит - просто молча трёт эти файлы с заразой и всё. А ни про какую эпидемию никто из антивирусных компаний не заикается даже :зло:

    Продам микроволновую печь с запасом микроволновых дров.

    Исправлено пользователем Alexis2k (20.11.07 17:11)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Alexis2k

    В жж прям какие то ужасы написаны! Я так понял, что никто не смог его до конца убить! все равно эта дрянь гдето оставляет свой мусор. Убил вчера пол реестра, а папка как висела, так и висит! Доктор Веб удалил из нее какой то файл runauto.pif, назвал вирусом и все... папка как была так и есть. Ох, не нравится мне эта штука....

    И никто не знает, что этот вирус делает! Может это зародышь искуственного интелекта? Такое ощущение, как будто эта дрянь мутирует (перестраивается, подстраивается). Потому что болезнь вроде у всех одиа, а симптому разные.... :help.gif:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Ну, в принципе, методы борьбы там написаны вполне правильно. ВЫвести его полностью - можно, а вот противостоять повторному внесению, полагаясь на автоматику - нет. Все дело в том, что запуск вируса происходит не запуском некоего exe, что любой авирь отловит, а через shellexecute, что ведет к обману любого антивируса. По крайней мере, распространенные в новейших версиях и с актуальнейшими базами на раз пропускают дрянь, если даблкликнуть по флэшке. И "NoDriveTypeAutorun" не поможет... Он отключает только автозапуск по вставке, а даблклик в проводнике все равно вызывает авторан-скрипт. Выход - не пользовать даблклик, а привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню. В этом случае нормальный антивирь увидит западло и почистит. Проблема в том, что у винды нет документированного механизма нотификации о подключении съемного диска, что не позволяет антивирусам иметь функцию "Автосканирование подключенного съемного диска".

    Если вирус уже есть, вывести его можно при помощи быстрой реакции. Щас расскажу.

    1) Качаем Sysinternals Autoruns
    2) Качаем скрипты из аттача
    3) Кладем скрипт RUDel.bat куда нить на рабочий стол
    4) пускаем Autoruns (вирус, кста, его иногда видит и закрывает, сука... но повторно можно запустить всегда) и ищем закладку Image Hijacks. В ней будет несколько галок. Нас интересует cmd.exe. Нужно выбрать эту строку, навести курсор мыши на RUDel.bat, не кликая по нему, чтобы фокус остался на окне Autoruns. Нажать на клаве Del и согласиться на удаление ентером, СРАЗУ ЖЕ даблкликая по RUDel. Если успел - скрипт запускается и выносит западло. Если нет - отказ в запуске, что значит, что реакция не супер :-) Повторяем, тренируемся. Как RUdel отработает, можно удалить в Autoruns все хайджеки, кроме того, что подписан Майкрософт - он там должен быть.

    Вариант с прибоем сервиса kknc не всегда проходит... Он бывает, что тут же перезапускается.

    Дальше. Чтобы не занести заразу вновь можно
    а) Убрать автозапуск на всех типах устройств и не пользовать даблклик, а, опять же, привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню.б) Убрать автозапуск на всех типах устройств и взять за правило сразу после вставки прогонять по флэшке антивирусом вручную
    в) Убрать автозапуск на всех типах устройств и после вставки прогонять скрипт Fldel.bat - он трет файло autorun.inf и остальное по всем найденным логическим дискам, после чего флэшку можно открывать хоть дабл-кликом, но если будет ошибка открытия, то это значит, что на ней был вирус :-) Тогда перевтыкаем и пользуемся.


    UPD. Опа, а где аттач?
    Ладна... качаем это тогда с http://ifolder.ru/4221693

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    аааа, я тож поймала. симптомы абсолютно те же, Симантек Нортон не спасает. папка не удаляется, не переименовывается...

    Nervous fingers, anxious smile...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Molks

    сдается мне, что дрянь эта сугубо азиатская (читай русско-китайская) и никто акромя азиатов про нее не слышал (или не хочет слышать) в т.ч. и евре.... тьфу... европейско-американские антивирусы :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Alexis2k

    Это как в кино:
    "Не думай, что ты в безопасности..."
    :улыб:

    "...Я Родину люблю..."

    Исправлено пользователем maxxx (21.11.07 16:44)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Alexis2k

    Не знаю, об одном и том же речь или нет, но гугл выда это:

    http://www.uninstall-spyware.com/uninstallRunAutoTrojan.html

    http://www.spywaredb.com/remove-runauto-trojan/

    Нельзя понять непонятное.
    Пузьма Кротков.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Aлексей

    не знаю, то или нет, но сегодня мне на флешке в контору опять такую хрень принесли. Доктор Веб выдает вот такое в лог файле:
    21-11-2007 11:20:33 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:20:44 [CR] \\Autorun.inf - ошибка удаления
    21-11-2007 11:20:44 [CR] \\Autorun.inf - доступ к файлу запрещен
    21-11-2007 11:21:13 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    21-11-2007 11:22:20 [CR] E:\Autorun.inf - исцелен

    интересно, он его убил или нет? и что значит исцелен?

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Вот мля! Еще одна флешка!!!!! :шок:

    две из трех! это круто! :eek:


    :respect: писакам вируса! :улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    у меня флэшку тоже подобной заразили, вроде вэбом пролечил, даже флэшка пустая была, только имя флэшки поменять не мог, потом принес флэшку в другое место, ее вставили и касперский начал ругаться, попросил не лечить, принес на свой комп прогнал вэбом молчит вэб, грит все чисто, это было 16 ноября, сейчас еще прогоню версией от воскресенья, а папка появилась

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

    Исправлено пользователем wall1609 (22.11.07 08:22)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя wall1609

    поздарвляю :live:
    ваш др.ВЕБ подружился с троянцем :улыб:

    Продам микроволновую печь с запасом микроволновых дров.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    у меня такая картина наблюдается уже с полгода где-то... просто раньше была примерно одна из трёх, а последние 2 недели: 3 из 4х. Делаю вывод что ботнет заметно расширился:улыб:

    ЗЫ: прошу не считать рекламой, но с тех машин, где я сам лично, при составлениии конфигурации для домашнего компа, включал стороку расходов на покупку хотябы KAV - флешки несут чистые...

    Продам микроволновую печь с запасом микроволновых дров.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    PN, спасибо! Помогло! Ни папок хреновых ни файлов! Скрипт удалил все за нех. делать!:улыб::respect:

    Только вот не уверен я ни в одном антивире....

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    А зараза, кста, запросто может быть китайской.. Уже года два наблюдаю, что дешевые плееры, флэшки, карты памяти от производителей, входящих в китайский холдинг "Дядя Сяо и Тетя Ляо чердакс энд подвалс ману[censored]туринг" будучи новыми несут на себе разного рода гадость, запускающуюся авторан-скриптом. Так что вспомним старые времена, когда каждую дискету, принесенную извне, надо было сначала прогонять аидстестом, а уже потом открывать :-)

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    спокойно удалила вирус с обеих флэшек НОД32 с последнией базой

    Nervous fingers, anxious smile...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Molks

    cmd.exe запускается?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Ну я уже к заразе этой приноровился.......
    Др. Веб сразу удаляет с флешки плохие файлы, а потом макросом стираю все остальное......

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Меня интересует автоматическая чистка реестра...

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    запускается, а что?

    Nervous fingers, anxious smile...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    cmd запускается свободно....
    а что значит автоматическая чистка реестра?

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Дело в том, что этот (и не только) вирус оставляет в реестре следы своей жизнедеятельности. Что не радует. Какие именно следы - в ссылке на блог выше

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Есть вот такой батовский файл


    taskkill /fi "services eq kkdc" /f
    taskkill /im regedit.exe.exe /f
    taskkill /im r.exe /f
    sc stop kkdc
    net stop kkdc
    sc delete kkdc
    attrib -s -h -r c:\windows\lsass.exe
    attrib -s -h -r c:\windows\setuprs1.pif
    attrib -s -h -r c:\autorun.inf
    attrib -s -h -r c:\autorun.pif
    attrib -s -h -r c:\r.exe
    attrib -s -h -r c:\regedit.exe.exe
    attrib -s -h -r c:\cmd.exe.exe

    rd c:\runauto...\ /s /q
    del c:\windows\lsass.exe /q
    del c:\windows\setuprs1.pif /q
    del c:\autorun.inf /q
    del c:\autorun.pif /q
    del c:\windows\r.exe /q

    del c:\windows\regedit.exe.exe
    del c:\windows\regedt32.exe.exe
    del c:\windows\cmd.exe.exe
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v Debugger /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /v Debugger /f
    reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
    chkdsk c: /f



    И вот такой:

    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
    for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
    for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
    for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
    for /d %%i in (c d) do del %%i:\autorun.* /q

    Вроде все стирают...... Хотя это никому не известно.... Но после них все работает замечательно и дряни ни какой нет...

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    С этим как раз всё понятно.... Это адаптация китайского скрипта... Я об антивирусах говорил... Антивирусы вычищают али нет?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    реестр вроде нет....
    19-12-2007 13:42:38 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
    19-12-2007 13:43:00 [CR] E:\Autorun.inf - удален
    19-12-2007 13:44:34 [CR] E:\runauto..\autorun.pif - инфицирован BackDoor.Kais
    19-12-2007 13:44:39 [CR] E:\runauto..\autorun.pif - удален
    Это все что он делает когда вставляешь инфецированую флешку.... а дальше скриптом...

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Дык если антивирус его ещё на флешке вылавливает - скрипт-то зачем запускать?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Потому что антивирус папку runauto.. не удаляет. она так и остается на флешке.. а после запуска скрипта, все чисто....

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    rd /q /s "c:\runauto...\"
    не проще сделать?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Для меня не проще....
    Для меня проще запустить коммандный файл и думать что все хорошо....:улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Дело привычки, конечно... Я привык к консоли. Быстрее напечатать команду, чем искать батник по все файлухе.

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    Я бы сказал, что это дело понимания происходящего... Если не понимаешь, что же происходит, то и привычка не поможет... :улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Я на всех своих компах всегда давлю автозапуск. Может поэтому эта бяка на винтах живёт, а на флэшки не перелазит.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    не факт... хотя....
    у меня сейчас тоже автозапуск отключен, но когда вставляешь чужую флэш и открываешь ее в проводнике, то dr.web орет как потерпевший и удаляет файлы-вирусы.

    ЗЫ
    Этот вирус был бы сущим адом, если мог бы записываться не только на флэш и локальные диски, но и на сетевые.... :шок:
    :улыб:

    ЗЗЫ
    командой subst можно создать еще один логический диск. Вопрос: А его эта дрянь сможет заразить? просто интересно....

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    У меня каспер старый-5 в упор не видит :хммм:С флэшек переписываю всё (если он там есть) и форматирую.
    Кстати товарищ шарящий говорит что из под Линуха стереть можно.

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    В ответ на: Кстати товарищ шарящий говорит что из под Линуха стереть можно.
    Можно. Проверял.

    ЗЫ: Из-под винды тоже можно - я выше команду давал.

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    п.9
    Вот это?
    rd /q /s "c:\runauto...\"
    я конечно не совсем чайник, но непонятно что с этим делать...

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

    Исправлено пользователем Barlog (19.01.08 10:05)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    запустить в командной строке

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    в командной строке:

    del c{d|z}:\runaut~1\*.* /y
    rd c{d|z}:\runaut~1

    реестр чистить согласно скрипта.

    Non solum oportet, sed etiam necessese est

    Исправлено пользователем Mad_Dollar (19.01.08 03:41)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Mad_Dollar

    У меня
    Пуск->Выполнить->regedit
    и
    Пуск->Выполнить->cmd
    не хочут выполняться...
    :umnik:

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    это потому что они теперь называются cmd.exe.exe
    этот вирус заменяет файлы cmd и regedit на свои.....

    посмотрите в windows/system32 должен быть нормальный файл cmd.exe
    вот его и запустите и удалите тот который с двойным

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    файлов *.exe.exe нету.
    есть обычный cmd.exe в windows/system32. там же есть regedt32.exe, причём дата создания 2001, а у меня комп с 2005 :dnknow:
    regedit.exe в c:\windows
    давлю на любой - "файл не найден".

    плохой купил ты телевизор
    в нем лишь убийства и разврат
    верни наш старый черно белый
    где мир гагарин и мосфильм

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    Сделай то, что я описывал в начале топика (Sysinternal Autoruns, тренировка на быстроту запуска скрипта и пр.). Вирус ставит в реестре перхват на запуск цмд.ехе и регедит.ехе. Пока его сервис не прибьешь, не запустишь :-)

    Дата создания - нормально. При установке винды системные файлы с диска копируются с оригинальной датой. Дату установки имеет то, что создается непосредственно в ее процессе - папки, логи, файлы реестра и т.п.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

    Исправлено пользователем PN (20.01.08 02:34)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    AVZ тебе в руки!!! причем срочно.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя kenny2007

    в авз настоятельно рекомендую обратить внимание на пункт - файл - восстановление системы, отметить все галки кроме последней и нажать выполнить, но до ребута после авз протрите еще cureit последним... и имхо щастье настанет, а то изза тривиального триппера стока стону...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Злыдь

    В ответ на: Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe
    Для этого есть стандартная функция, восстановления системных
    файлов с установочного диска. Зачем огород-городить с *живыми машинками*?

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    Обращаюсь с просьбой вылечить за отдельную плату от этого autorun ноутбук и флешку.
    Сама я полный ноль (т.е. все здесь описанное для меня - китайская грамота)
    При открытии флешку (4 ГБ-там у меня вся жизнь и работа) компьютер теперь воспринимает как файл,
    спрашивает с помошью какой программы открыть файл F
    в ноутбуке через поиск обнаруживается 50 файлов с именем autorun, в т.ч. в базах 1С
    + какой-то троян есть.
    Или подскажите пожалуйста, куда обратиться, чтобы 100% результат был.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    autorun, это не RUNAUTO

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Ну простите, я ж говорю - ничего в этом не понимаю
    мои вирусы назывались
    Worm.Win32.AutoRun.bdl
    Worm.Win32.AutoRun.bur
    Вопрос снят

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    п.9
    В новосибирске, даже не знаю, кого посоветовать. некого.
    Разве, что пригласите мальчика, который 1С ставил...
    Набор операций по лечению, не сложный,
    инструментарий стандартный. Не дурак - разберется)
    А вот если, кто базу случайно повредит от 1С..
    во всяком случае, я не возьмусь,...я жить хочу))))
    Только подсказать могу, чем, как... общие рекомендации..
    там ничего сложного нет...

    Исправлено пользователем Barlog (24.01.08 09:54)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    да не подумайте, я ни в чем не упрекаю....
    я с этой заразой сам ничего не понимал.... спасибо добрым людям....

    вы уж не сердитесь....:улыб:
    просто написал, почему у вас много auturan`ов....
    :улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя serleg

    В новосибирске, даже не знаю, кого посоветовать. некого. :ухмылка:
    по моему слова "не знаю" и "некого" немного различны по смыслу....
    :ухмылка:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    В ответ на: да не подумайте, я ни в чем не упрекаю....
    я с этой заразой сам ничего не понимал.... спасибо добрым людям....
    Я не в претензии.
    В топике "Вирус", последнего человека вы перенаправили в соседний (сюда?).
    Вот почему и я сюда обратилась.
    Насколько я поняла, Worm.Win32.AutoRun это совсем свежий вирус
    Касперский его видит, удаляет, но он восстанавливается,
    на их сайте описания этого вируса нет,
    на форуме нашла похожее что-то.
    Куда же мне с моим вирусом податься...

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    В ответ на: это совсем свежий вирус
    Стая бакланов за этими двумя ссылками сидит, однако, ни одного толкового поста...

    В ответ на: Куда же мне с моим вирусом податься
    Ну, а сами-то чо?
    На касперском же вполне нормально расписано, как прибить... Будете сами пробовать или нет?

    1. Качаем AVZ4 http://z-oleg.com/avz4.zip (3.3 Мб) и куда-нить распаковываем. Пока качается, кликаем правой кнопкой по "Мой компьютер", затем "Свойства - Восстановление системы". Там ставим галку "Отключить восстановление системы на всех дисках".

    2. Запускаем avz.exe и в меню выбираем "Файл - Обновить базы"

    3. Затем "Файл - Стандартные скрипты", отмечаем галкой скрипт 3 и запускаем. Ждем, пока отработает. Может быть довольно долго. После того, как отработал, можно почитать, чего он нашел и чего сделал.

    4. Идем в "Файл - Выполнить скрипт" и с той страницы на форуме Касперского копируем сюда сначала скрипт (это вот то, похожее на программу в рамке "CODE") за номером 1 в первом посте Maxim_VInfo и нажимаем "Выполнить". ПОсле того как скрипт отработает, находим второй пост этого человека в ветке и точно также выполняем скрипт оттуда. Если у вас действительно этот вирус - все подотрется. Как проверка - перезагружайтесь и прогоняйте AVZ стандартный скрипт номер 3 еще раз. Не должно быть никаких негативных сообщений кроме предепреждений о стандартных службах, возможно уязвимых.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    Спасибо за ответ.
    Вечером попробую по рекомендованному алгоритму

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    Пришел к выводу:
    - что самое простое систему преустановить.
    и потом удалить эти runauto..
    когда заработает ---cmd.exe и т.д.
    А так, для простого смертного невозможно выполнить все эти монипуляции.
    тем более у меня regedit не работает.
    AntiVir - не удаляет этот вирус.

    Нэ так всё это было.... совсэм нэ так........

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя selivan

    Читай выше посты от PN. Там всё рассказано. Я вчера вылечил буквально за пару минут. Теперь и cmd и regedit, всё работает.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя selivan

    Да нет там ничего страшного....Все оч просто. если разобраться в сути. Так что читайте, правда, предыдущие посты и все пойдет как по маслу..... :respect::улыб:

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Получилось! Вначале у меня Autoruns никак не запускался. Вирус не давал запустить.
    А потом Autoruns запустился и согласно инструкции PN :live: :live: –справился!

    Нэ так всё это было.... совсэм нэ так........

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Вот только не понял. Можно ли с помощью Autoruns и этих RUDel.bat и Fldel.bat полностью избавится от вируса. Или нужно еще Касперского прогнать (у меня его нет).

    Нэ так всё это было.... совсэм нэ так........

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя selivan

    Конкретно от этого - да. Как минимум, до следующего неосторожного открытия флэшки с таким вирусом:улыб:

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя PN

    Может ли флэшечный вирус поразить цифровой фотоаппарат при подключении его к компьютеру ч/з порт USB?
    Или глюк фотоаппарата - случайное совпадение?

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    В ответ на: при подключении его к компьютеру ч/з порт USB?
    Если подключён в режиме Mass Storage (создаётся новый диск) - запросто. Но фотоаппарату, в принципе, должно быть глубоко фиолетово наличие вируса на флешке.

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    У нас принос этой херни постоянно на фотиках практикуется:улыб:Ему-то канешна пофик, но компы хватают. Хорошо, хоть юзеров научил проверку делать...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    Может не так сформулировала
    Если ранее комп схватил с флэшки, потом к нему подключили фотик.
    Фотик после этого заглючил, фотографии теперь получаются дрожащие-трясущиеся,
    в мелкую полоску, сделанные до этого снимки нормальные.
    Т.е. причина не в вирусе, даже если он попал на фотик, то сбоя в работе вызвать не мог.
    Я правильно понимаю?
    Конечно повезу его в сервис (по гарантии), про вирус там не надо упоминать, чтоб не посмеялись?

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя selivan

    Вот тоже пришлось поборотсья.
    Принесли ноут с вирусами, вставил флешку со свежими базами от др.вэба. Соответсвенно флэшка была сразу заражена, после обновления ее вытащил, прогнал на другом компе как всегда был какой-то авторан его доктор удалил, но вот другой подозрительный файл оставил, проверил его на сайте вэба, чисто, на касперском вирус, отправил этот файл разработчикам вэба, через некоторое время они мне ответели спасибо, вирус в базы добавлен.
    Продолжил чистить комп. 1-ый проход сканер типа все удалил надо перегружаться, перегрузился снова запустил, все чисто но есть один файл зараженный deflib.sys, удалил надо перегружаться, на 3-ем проходе то же самое.
    Попробовал рецепт отсюда
    В безопасном режиме сканер вообще ничего не нашел а файлов maptun.dll и mpcsvc.exe в помине не было.
    Поставил по совету с этой ветки AVZ. Что странно AVZ говорил что в папке c:\temp\ есть файл winlogon.exe но его там не было.
    Закончилось тем что в безопасном режиме наконец то увидел кучу файлов в c:\temp\ вместе с winlogon.exe и благодоря авз который увидел в папке по воостановлению системы файлы с вирусами, при этом права на эту папку были изменены и видимо поэтому сканер на видел что там вирусы, я все это грохнул и вирус перестал появляться.
    Но остался заблокирован вызов диспетчера задач, как его разблокировать?

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя wall1609

    В AVZ есть пункт в меню - восстановление системы.

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    В ответ на: Фотик после этого заглючил, фотографии теперь получаются дрожащие-трясущиеся,
    Может просто на фотике настроечки кто-то сбил?

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Stalker

    4.29 AVZ при восстановлении системы regedit вернул на круги своя, а вот cmd чота ниасилил... :зло:

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Baal

    кстате, всякие пакостные папки и файлы от этой дряни грохаются на 123 софтинкой unlocker

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Baal

    Можно зайцеву отписать по этому поводу. Похоже, он снимает дебаггеры у конкретных программ

    Wir werden alle sterben

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Соня

    Правильно понимаете.
    Можете не говорить там об этом.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Jerals

    Спасибо. Вам и всем, кто откликнулся

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Всем привет. Я тут почитал как бороться с этим runauto, но с трудом понимаю как это сделать конкретно. У меня ни cmd, ни regedit не запускается, скачал fldel тоже не запускается, пишет чтобы убедился в правильности имени файла. Что делать, помогите уже третий день с ним парюсь

    Исправлено пользователем zbnm (01.02.08 22:11)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя zbnm

    Копируй avz он поможет и инструкции там есть, а еще можно воспользоваться как я понял такой поддержкой, в программе авз формируете отчет о сканировании компа, помещаете на форуме (в специальном разделе) отчет, для вас пишут скрипт, который вылечит ваш комп, вы его загрузите и исполните и все должно быть нормуль после этого. Если охота разобраться, то читайте мое сообщение выше.

    Срочно! Куплю оберег от злых людей. Желательно огнестрельный.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя zbnm

    можно и руами бороться. у меня такая же хрень получилась..

    1)заходишь в проводник или мой компутер...

    2)затем сервис -> свойства папки-> (вкладка) вид- > (и там ) переключаете на "показывать скрытые файлы и папки", убираете галочку "скрывать защищенные системные файлы", убираете галочку "скрывать расширения для зарегистрированных типов файлов"

    3)находишь мерзкие файлы cmd.exe.exe и regedit.exe.exe
    их искать в папках c:\windows и C:\WINDOWS\system32

    ЗЫ
    при запуске cmd.exe его имя вместе с рассширением должно отображаться в заголовке окна. например как на фотке.

    если открылся такой файл - удаляй его нах......


    потом, после того как заработает cmd.exe нужно запустить скрипт rudel.bat и все что там предлагают... (смотри выше)


    ЗЗЫ
    я бы прогнал хотя бы курьеткой доктора веба после всего..........:улыб:(курьетка - бесплатная прога веба... так же см. выше.... ;))

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    можно и руами бороться. у меня такая же хрень получилась..

    1)заходишь в проводник или мой компутер...

    2)затем сервис -> свойства папки-> (вкладка) вид- > (и там ) переключаете на "показывать скрытые файлы и папки", убираете галочку "скрывать защищенные системные файлы", убираете галочку "скрывать расширения для зарегистрированных типов файлов"

    3)находишь мерзкие файлы cmd.exe.exe и regedit.exe.exe
    их искать в папках c:\windows и C:\WINDOWS\system32

    ЗЫ
    при запуске cmd.exe его имя вместе с рассширением должно отображаться в заголовке окна. например как на фотке.

    если открылся такой файл - удаляй его нах......


    потом, после того как заработает cmd.exe нужно запустить скрипт rudel.bat и все что там предлагают... (смотри выше)


    ЗЗЫ
    я бы прогнал хотя бы курьеткой доктора веба после всего.......... (курьетка - бесплатная прога веба... так же см. выше.... )

    --------------------
    "...Я Родину люблю..."



    Сделал так, получилось. Теперь Ничего нет. Спасибо:улыб:

  • Ответ на сообщение RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Чтобы дрянь эта не водилась - работайте люди под пользователем с неадминистративными правами! (актуально до ХР включительно).
    Просто заведите себе 2 пользователя: с админскими правами и с ограниченными - и работайте всегда под вторым (с ограниченными). Админа использовать только для админских дел, установки/удаления программ и т.п. А обычному пользователю можно и еще везде в "нехороших местах" вроде папки винды и авторанов в реестре права на запись пообрезать. Тогда даже если вирус и прорвется - много где засесть не успеет, да и стартануть толком скорее всего не сможет. Вычистить его будет всяко проще.

    Исправлено пользователем KSergey (08.02.08 22:08)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя KSergey

    А что делать если для работы необходим статус "Опытный пользователь"?

    "...Я Родину люблю..."

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя KSergey

    в принципе это мысль. надо попробовать дома себе права подобрезать.:улыб:довольно забавно и безусловно - добавляет безопасности.

    IT crowd. старый добрый троллинг.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя maxxx

    Всегда можно выяснить для чего конкретного нужен этот статус и дать эти права обыкновенному пользователю. Вот у нас проектировщики кричали, что автокаду необходимы админские права... Но после того, как один из них меня достал играми на компе, у него автокад почему-то стал работать под обыкновенным пользователем. Правда пришлось поменять доступ к некоторым веткам реестра... Но чего не сделаешь, ради любви к исскуству. :ха-ха!:

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Barlog

    Именно так.
    Спасибо, что написали, мне меньше пальцы ломать:улыб:

    К тому же это не просто "забавно", а стандартные рекомендации от MS.

    Исправлено пользователем KSergey (11.02.08 18:38)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя KSergey

    тут недавно новую(или старую, хз) подобную пакость на флешке домой притащил... без папки runauto и блокировки cmd... флешка даже по правой кнопке - открыть не открываеццо... пришлось start <букова_флэшки> набирать... :зло: жуть. обновил кошмарского, он сразу захрюкал и угробил ее :eek:
    правда после перезагрузки на флешке снова появилась... а проверка %SystemRoot% ничо не показала... теперь открываю флэшку стартом :хммм:

    как победить сие творение злобных умишек человеческих? :help.gif: (авз не пробовал еще)

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Baal

    avz и логи на вирусинфо.инфо.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Baal

    У нас на работе на флэшки переходит пакость autorun.inf и juok3st.bat
    1) Мы приноровились открывать флэшку не в Проводнике, а в каком-нибудь Коммандере, типа Тотал. Он их видит, стираем.
    2) Я мучительно больно, но оценил-таки преимущество Линукса. Дома открываю флэшку только в нём и выкашиваю гадость.

  • Ответ на сообщение Re: RUNAUTO.. Че за дрянь такая? пользователя Бимс

    С auturun.inf ещё ходит nt-чегоТоТам
    Ща поискал через Линукс в c/windows/system32 файлы с двойным ехе, нету. :-)

Записей на странице:

НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /
Перейти в форум

Модераторы:
Наверх
SHKULEV MEDIA HOLDING
Подробности...
Сетевое издание «НГС.НОВОСТИ» (18+)
Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации СМИ ЭЛ № ФС 77—84683
Учредитель: Общество с ограниченной ответственностью «ИНТЕРНЕТ ТЕХНОЛОГИИ»
Главный редактор: Малкова Марина Андреевна
Адрес редакции: 630099, Россия, Новосибирск, ул. Ленина, д. 12, 6 этаж, телефон 8 (383) 212-52-52, 8 (923) 157-00-00 (круглосуточно)
Электронный адрес редакции: ngs@sholding.ru
Контактные данные для Роскомнадзора и государственных органов: juristnsk@sholding.ru
Техподдержка: help@sholding.ru, 8 (800) 200-03-83 (доб.3)
Связаться с отделом продаж: 8 (383) 212-52-52, 8 (800) 200-03-83 (звонок с сотового бесплатный), reklama@ngs.ru
Публикации с пометкой «На правах рекламы», «Партнёрский проект», «Новости телекома», «Открытая трибуна», «Выборы-2019» и «Выборы-2020» оплачены рекламодателем. Редакция сайта не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях.

Информация об ограничениях

Политика использования cookies
Политика конфиденциальности и обработки персональных данных и правила использования сайта