категории | RSS

{listtext}

Есть такой противный вирус - действие его заключается в том, что при попытке получить доступ к логическим дискам через виндосовский эксплорер, выдается сообщение в невозможности открыть какой-то файл (возможны некоторые вариации, типа того, что нажав правой кнопкой по диску видим в контекстном меню вместо "Открыть" что-то другое)... Более того, зараженный компьютер сам становится источником распространения заразы.
В последнее время стал замечать прямо-таки эпидемию этого вируса. Излюбленный способ распространения - через флешки. Втыкаем зараженную флешку, и если не была включена постоянная защита антивирусника и использовался автозапуск с флешки - то комп инфицировался. Последующая проверка антивирусником особого результата не давала. Сам по неосторожности пару-тройку раз подхватывал такой вирус. Да и тут, на форуме были пострадавшие...
Значит, так... Если вдруг... ну так уж получилось, что подхватили - не отчаиваемся и не паникуем.

Вначале - немного общих сведений. Этот вирус состоит из двух частей, первая является файлом сценария языка Visual Basic Script, а вторая — пакетным командным файлом. После запуска командного файла выполняется включение в сисемный реестр настроек из файла autorun.reg, расположенного в каталоге с источником вируса (например, флешка). Затем извлекается и переносится содержимое файла autorun.bin (находящегося там же либо в папке WINSOWS) в файл autorun.inf, расположенный в корне диска C - c:\autorun.inf и создается C:\WINDIWS\system32\autorun.bin
Если в папке с источником вируса или в папке WINDOWS отсутствуют параметры командной строки файла, то выполняется поиск файла autorun.vbs, он запускается и копирует себя в C:\WIMDOWS\system32\autorun.vbs
Также создается папка C:WINDOWS\system\system. (с точкой) и копируется туда из источника все файлы, соответствующие маске autorun.*
При запуске второй части вируса autorun.vbs выполняется сравнение текущей системной даты с датой, заданной в autorun.vbs. Если они не совпадают, происходит завершение работы. Если совпадают, запускается файл autorun.bat. Читаетс autorun.inf в корне диска C: если такой файл обнаружен и нне нулевого размера, то мы видим его проявление при попытке в експлорере перейти да диск C: нажативм левой кнопки мышки, или правой кнопкой - тогда видим в контекстном меню какую-то ерунду вместо "открыть".
Далее, если текущий год не больше 2030-го, файлы копируются по маске autorun.* на все найденные локальные жесткие и сетевые диски, а также на все подключенные в этот момент флешки (кроме дискет - видимо, автор вируса не пользуется этим архаизмом). Копирование происходит как непосредственно, так и вызовом пакетного файла autorun.bat.
Причем одной из неприятных последствий явлеятся невозможность включить показскрытых системных файлов для удаления вредоносного файла.

Что нужно сделать для удаления вируса? Вначале запускаем редактор реестра, (Пуск>Выполнить, regedit), переходим в ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ищем строку Userinit. Меняем параметр C:\WINDOWS\system32\userinit.exe, autorun.vbs на C:\WINDOWS\system32\userinit.exe.
Далее, запускаем командную строку и там пишем
del c:\autorun.inf
del c:\autorun.bin
del c:\autorun.vbs
del c:\autorun.reg (если есть такой)
повторяем это для кажного логического диска. Это обязательнын для удаления файлы. Не помешает также просмотреть корень логических дисков командой dir :\ и поудалять остальные автораны.
и еще пишем
del c:\WINDOWS\system32\autorun.bin
del c:\WINDOWS\system32\autorun.vbs
перезагружаемся. Всё. Должно помочь. По крайней мере, у меня получилось.
PS. Забыл еще - удаляем папку C:WINDOWS\system\system. (с точкой), если такая создалась. Иначе снова вылезет!

controller_atc
2007-09-18T15:21:32Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 24

#24   SuperPILGRIM    

а мне удавалось не позволять авторанам запускаться и копировать себя с зараженного компа на флешку созданной в корне каждого диска папкой \"autorun.inf\" laughing и всё. хотя до этого приходилось чистить реестр для восстановления отображения скрытых файлов, ну и CureIt помог разчистить винт.


0 ответить

#24   NALSUR    

удивила строчка : \это обязательнын *** удаления файлы \.статья серьезная и полезная, но смеялся долго winked))


0 ответить

#24   RomAndrei    

Этот вирус удаляется программой AVG (антивирусом) причем даже ее бесплатной версией, нужно только ее обновить тоже бестлатно, а вот измененияя которые этот вирус вносит в систему поправить очень трудно востановление не поможет, откат тоже сто процентно только перестановка.


0 ответить

#24   Yamore    

Что то как то поздновато статья писаннаsmile шучу. Просто живу на ДВ, и этот вирус взял из магазина с мп3яхой еще в начале января этого годаsmile сразу не заметил и теперь голова моя пухнет...До сих пор знакомые-товарищи таскают больные флехи;))) зы: кста, однажды пришлось обратится в тот же магаз, где брал плеер. Я их мило предупредил так мол и так: проверяйте товар из китая. На что мне показали: ФАК:(


0 ответить

#24   atrant    

but that\s not enough, man!


0 ответить

#24   Shavkat89    

Just use TotalCmd to delete autorun.inf from any disk!
It\s easy, fast and working too! smile)


0 ответить

#24   red-x    

Антивирус AVAST HOME тоже с этой дрянью справляется.


0 ответить

#24   viktorsalo    

С помощью программы это слишком просто, от таких программ ума не прибавится, а вот когда своими кривыми ручками что нибудь сделаешь winked


0 ответить

#24   Artem_2087    

Хорошая статья, но все это можно сделать в течении 1секунды с помощью проги anti_autorun, которую я выкладывал в обменник уже очень давно.


0 ответить

#24   nikola500    

Было, было, но давно


0 ответить

Яндекс.Метрика