{listtext}
Есть такой противный вирус - действие его заключается в том, что при попытке получить доступ к логическим дискам через виндосовский эксплорер, выдается сообщение в невозможности открыть какой-то файл (возможны некоторые вариации, типа того, что нажав правой кнопкой по диску видим в контекстном меню вместо "Открыть" что-то другое)... Более того, зараженный компьютер сам становится источником распространения заразы.
В последнее время стал замечать прямо-таки эпидемию этого вируса. Излюбленный способ распространения - через флешки. Втыкаем зараженную флешку, и если не была включена постоянная защита антивирусника и использовался автозапуск с флешки - то комп инфицировался. Последующая проверка антивирусником особого результата не давала. Сам по неосторожности пару-тройку раз подхватывал такой вирус. Да и тут, на форуме были пострадавшие...
Значит, так... Если вдруг... ну так уж получилось, что подхватили - не отчаиваемся и не паникуем.
Вначале - немного общих сведений. Этот вирус состоит из двух частей, первая является файлом сценария языка Visual Basic Script, а вторая — пакетным командным файлом. После запуска командного файла выполняется включение в сисемный реестр настроек из файла autorun.reg, расположенного в каталоге с источником вируса (например, флешка). Затем извлекается и переносится содержимое файла autorun.bin (находящегося там же либо в папке WINSOWS) в файл autorun.inf, расположенный в корне диска C - c:\autorun.inf и создается C:\WINDIWS\system32\autorun.bin
Если в папке с источником вируса или в папке WINDOWS отсутствуют параметры командной строки файла, то выполняется поиск файла autorun.vbs, он запускается и копирует себя в C:\WIMDOWS\system32\autorun.vbs
Также создается папка C:WINDOWS\system\system. (с точкой) и копируется туда из источника все файлы, соответствующие маске autorun.*
При запуске второй части вируса autorun.vbs выполняется сравнение текущей системной даты с датой, заданной в autorun.vbs. Если они не совпадают, происходит завершение работы. Если совпадают, запускается файл autorun.bat. Читаетс autorun.inf в корне диска C: если такой файл обнаружен и нне нулевого размера, то мы видим его проявление при попытке в експлорере перейти да диск C: нажативм левой кнопки мышки, или правой кнопкой - тогда видим в контекстном меню какую-то ерунду вместо "открыть".
Далее, если текущий год не больше 2030-го, файлы копируются по маске autorun.* на все найденные локальные жесткие и сетевые диски, а также на все подключенные в этот момент флешки (кроме дискет - видимо, автор вируса не пользуется этим архаизмом). Копирование происходит как непосредственно, так и вызовом пакетного файла autorun.bat.
Причем одной из неприятных последствий явлеятся невозможность включить показскрытых системных файлов для удаления вредоносного файла.
Что нужно сделать для удаления вируса? Вначале запускаем редактор реестра, (Пуск>Выполнить, regedit), переходим в ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ищем строку Userinit. Меняем параметр C:\WINDOWS\system32\userinit.exe, autorun.vbs на C:\WINDOWS\system32\userinit.exe.
Далее, запускаем командную строку и там пишем
del c:\autorun.inf
del c:\autorun.bin
del c:\autorun.vbs
del c:\autorun.reg (если есть такой)
повторяем это для кажного логического диска. Это обязательнын для удаления файлы. Не помешает также просмотреть корень логических дисков командой dir :\ и поудалять остальные автораны.
и еще пишем
del c:\WINDOWS\system32\autorun.bin
del c:\WINDOWS\system32\autorun.vbs
перезагружаемся. Всё. Должно помочь. По крайней мере, у меня получилось.
PS. Забыл еще - удаляем папку C:WINDOWS\system\system. (с точкой), если такая создалась. Иначе снова вылезет!
Комментарии 24
Этот вирус удаляется программой AVG (антивирусом) причем даже ее бесплатной версией, нужно только ее обновить тоже бестлатно, а вот измененияя которые этот вирус вносит в систему поправить очень трудно востановление не поможет, откат тоже сто процентно только перестановка.
Что то как то поздновато статья писанна шучу. Просто живу на ДВ, и этот вирус взял из магазина с мп3яхой еще в начале января этого года
сразу не заметил и теперь голова моя пухнет...До сих пор знакомые-товарищи таскают больные флехи;))) зы: кста, однажды пришлось обратится в тот же магаз, где брал плеер. Я их мило предупредил так мол и так: проверяйте товар из китая. На что мне показали: ФАК:(
С помощью программы это слишком просто, от таких программ ума не прибавится, а вот когда своими кривыми ручками что нибудь сделаешь
Хорошая статья, но все это можно сделать в течении 1секунды с помощью проги anti_autorun, которую я выкладывал в обменник уже очень давно.
а мне удавалось не позволять авторанам запускаться и копировать себя с зараженного компа на флешку созданной в корне каждого диска папкой \"autorun.inf\"
и всё. хотя до этого приходилось чистить реестр для восстановления отображения скрытых файлов, ну и CureIt помог разчистить винт.
0 ответить