|
|
|
|
ФОРУМ /
КОМПЬЮТЕРЫ И МОБИЛЬНЫЕ ТЕХНОЛОГИИ /
Вирус-антифлоп
|
|
|
|
|
|
создать новую тему
написать сообщение
|
|
18:33 30 октября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
Вирус убил флопик. Точно вирус, приятель воткнул флешку из своего закаканого вирусами компа и у него такая же тема. Вирус убил флоп, точнее не убил, а... Вопщем, флоп щелкает (типа пытается прочитать дискетку, которой на самом деле в флопе нет) с периодичностью раз в 4-5 сек, а поскольку системник стоит рядом со мной то через 10 минут после работы меня это щелканье дико взбесило и я выдрал питание с дисковода. Потом вирус заразил древний ноут, тут я не стал выдирать флоп а просто отключил его в опциях. Касперским проверил весь комп, результата нет. Встречали? Лечится?
|
|
20:00 30 октября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
cureit, avz4. ну хотя с них можно начать проверять комп.
|
|
21:22 30 октября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
Встречал такое с "отечественным решением" для казначейства. В корне поищите файл usb.wsf Скрипт был написан против пенетратора по типу "ищу автозапуск на всех сменных дисках и заменяю его на свой". Поэтому он и обращается к флопу с завидной регулярностью. Как лечить - в ЛС.
|
overpro
писал:
cureit, avz4. ну хотя с них можно начать проверять комп.
|
|
В этом случае не поможет... Воспринимается как обычный скрипт, не способный угрожать системе.
|
|
22:37 31 октября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
CrazyWolf
писал:
В корне поищите файл usb.wsf
|
|
Хм, у меня при использовании флешек, винтов через юсби, данный файл вместе с авторуном создаётся на каждой используемой вещи, можете написать про лечение здесь, может и мне поможет. Касперский находит данный файл, но бороться отказывается (КИС 9)
|
|
22:57 31 октября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
АРЕФ
|
сообщений: 2107
|
|
|
Может просто функцию autorun отключить и всех делов.
|
|
23:00 31 октября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
bogdoma
писал:
Касперский находит данный файл, но бороться отказывается (КИС 9)
|
|
а что с ним бороться? это обычный текстовый файл. прочитайте его содержимое блокнотом. был бы исполняемым. каспер бы удалил давно.
|
|
00:15 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
1. Установить, "наш" ли это зверь 2. Загрузиться под "Безопасным режимом" 3. Зайти в системный реестр, с помощью команды "regedit" 4. Найти и стереть все упоминания о "usb.wsf" 5. Найти и стереть все файлы "usb.wsf" с локальных и сменных носителей 6. Перезагрузить систему. 6. Защитить свои флешки от автозапуска, методом зарезервированных имен, для чего создается *.bat файл (например 1.bat со следующим содержанием: {начало файла} cd / attrib -r -a -s -h autorun.inf erase autorun.inf md autorun.inf cd autorun.inf md con\ {конец файла} Важно! Открывать любые диски через "Дерево папок". То есть открываешь Проводник, слева увидишь список папок. Ни в коем случае не следует открывать диски через двойной щелчок или через контекстное меню. Это может спровоцировать запуск скрипта и все пойдет по-новой. Далее запускаешь *.bat на всех флешь-накопителях и локальных дисках. То есть копируешь в корень диска и запускаешь.
|
|
13:12 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
Открываю через тотал командер, файлы «зарезервировал», тока более лёгким способом (создал папки с такими именами), а так большое спасибо на выходных попробую
|
|
13:15 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
bogdoma
писал:
тока более лёгким способом (создал папки с такими именами)
|
|
правильно. так и надо было. только не забудь сделать их системными и только для чтения. а CrazyWolf любит какие то длинные пути. но тоже рабочие.
|
|
13:47 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
bogdoma
писал:
Открываю через тотал командер, файлы «зарезервировал», тока более лёгким способом (создал папки с такими именами), а так большое спасибо на выходных попробую
|
|
Total Commander умеет создавать папки с именами con, lpt4, nul? Удивлен. Просто почти не использовал его. *.bat нужен для почти одновременного удаления старого автозапуска и создания папки. Сталкивался неоднократно когда зверь в системе непрерывно проверял наличие своего автозапуска и если его не обнаруживал то тут же копировал новую копию.
|
overpro
писал:
а CrazyWolf любит какие то длинные пути. но тоже рабочие.
|
|
Просто более универсальный способ. Ну, думаю не нужно пояснять что недостаточно просто создать папку с именем autorun.inf, необходима защита в виде вложенной папки с "плохим" именем.
|
overpro
писал:
правильно. так и надо было. только не забудь сделать их системными и только для чтения.
|
|
а смысл делать папку "только для чтения"?
|
|
13:56 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
CrazyWolf
писал:
а смысл делать папку "только для чтения"?
|
|
наверно вот для этого
|
CrazyWolf
писал:
что недостаточно просто создать папку с именем autorun.inf, необходима защита
|
|
я делал по статье просто. в глубины не вникал. не зачем. просто "защитил" флэшки свои таким образом.
|
|
18:11 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
АРЕФ
|
сообщений: 2107
|
|
|
|
overpro
писал:
а CrazyWolf любит какие то длинные пути. но тоже рабочие.
|
|
Действительно очень мудрено. Интересно а почему открывать системный реестр именно в безопасном режиме?
|
|
19:05 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
АРЕФ
|
сообщений: 2107
|
|
|
В дополнение к варианту CrazyWolf советую еще отключить службу "Определение оборудования оболочки"(ShellHWDetection).
|
|
19:30 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
overpro
писал:
я делал по статье просто. в глубины не вникал. не зачем. просто "защитил" флэшки свои таким образом.
|
|
В том то и соль, то установка атрибута "только для чтения", "Системный" не защитит флешку. Алгоритм такой: 1. Вирус кидает файл autorun.inf в корень флешки. 2а. Система видит что там такое имя уже есть и предлагает перезаписать. 2б. Вирус видит что там уже есть такое имя, но содержимое не его. 3. Папка удаляется. Ничего не помешает её удалить. Атрибуты заранее известного объекта запросто снимаются командой: attrib -r -a -s -h autorun.inf 4. После этого на флешку взамен нашей хорошей папки кидается autorun.inf для зверька.
|
АРЕФ
писал:
Действительно очень мудрено. Интересно а почему открывать системный реестр именно в безопасном режиме?
|
|
Операции по вычищению вируса из автозапуска проводят когда этот зверь не запущен - то бишь когда система запускается в безопасном режиме.
|
|
21:59 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
АРЕФ
|
сообщений: 2107
|
|
|
|
CrazyWolf
писал:
Операции по вычищению вируса из автозапуска проводят когда этот зверь не запущен - то бишь когда система запускается в безопасном режиме.
|
|
Впервые о таком слышу. Если вирус прописывает свою запись в одном из разделов автозагрузки( run; runonce) в реестра( обычно только в первый раз), то удалять эти записи можно и в обычном режиме.
|
|
22:33 1 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
АРЕФ
писал:
обычно только в первый раз)
|
|
Моё обычно - другое. Людям помогли, один даже поблагодарил. Решение выкладывать не хотел, но попросили. Кто хочет - тот последует. Никого ни в чем убеждать не буду. Пишу универсальные решения. Предлагаю закрыть обсуждение.
|
|
15:11 4 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
Вот так проще всего можно избавиться от этой штуки – запустите Диспетчер задач – в окне Диспетчера Задач откройте вкладку Процессы; – выделите wscript.exe, нажмите кнопку Завершить процесс; – санкционируйте завершение процесса; – закройте Диспетчер задач; – удалите папку \Program Files\usb_anti_autorun; – нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK; – удалите раздел [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];
|
|
15:40 4 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
|
bogdoma
писал:
Вот так проще всего можно избавиться от этой штуки
|
|
как правильно заметил CrazyWolf, такой метод давно уже не работает. как года 3 наверно точно. вирусы поумнели. щас тупо закрытием процесса уже не обойтись к сожалению (хотя если зараза старая откудото взялась, то может и поможет)
|
|
19:42 4 ноября 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
АРЕФ
|
сообщений: 2107
|
|
|
|
overpro
писал:
такой метод давно уже не работает. как года 3 наверно точно. вирусы поумнели. щас тупо закрытием процесса уже не обойтись к сожалению (хотя если зараза старая откудото взялась, то может и поможет)
|
|
Самое главное что
bogdoma
после закрытия процесса указал на ключ в реестре, который и запускает процесс при старте системы. Правда помимо раздела HKLM нужно просмотреть и другие разделы, где есть подобные ключи "run"( обычно в HKU) и их тоже удалить.
|
|
19:43 24 декабря 2010
|
тема
Вирус-антифлоп
|
|
|
|
|
|
АРЕФ
|
сообщений: 2107
|
|
|
Разбираясь со своей проблемой в компе, нашел интересное решение по этой теме. Можно запретить запуск msi-файлов(установочных) со сменных носителей создав соответствующий ключ в реестре - hkcu\software\policies\microsoft\windows\installer\ параметр dword - "DisableMedia". После создания ключа изменить можно на 0-по умолчанию, на 1-разрешена установка только с правами админа, 2-запрет установки.
|
|
|
|
|
создать новую тему
написать сообщение
|
|
|
|
|
|
|
|