{listtext}
Есть такой противный вирус - действие его заключается в том, что при попытке получить доступ к логическим дискам через виндосовский эксплорер, выдается сообщение в невозможности открыть какой-то файл (возможны некоторые вариации, типа того, что нажав правой кнопкой по диску видим в контекстном меню вместо "Открыть" что-то другое)... Более того, зараженный компьютер сам становится источником распространения заразы.
В последнее время стал замечать прямо-таки эпидемию этого вируса. Излюбленный способ распространения - через флешки. Втыкаем зараженную флешку, и если не была включена постоянная защита антивирусника и использовался автозапуск с флешки - то комп инфицировался. Последующая проверка антивирусником особого результата не давала. Сам по неосторожности пару-тройку раз подхватывал такой вирус. Да и тут, на форуме были пострадавшие...
Значит, так... Если вдруг... ну так уж получилось, что подхватили - не отчаиваемся и не паникуем.
Вначале - немного общих сведений. Этот вирус состоит из двух частей, первая является файлом сценария языка Visual Basic Script, а вторая — пакетным командным файлом. После запуска командного файла выполняется включение в сисемный реестр настроек из файла autorun.reg, расположенного в каталоге с источником вируса (например, флешка). Затем извлекается и переносится содержимое файла autorun.bin (находящегося там же либо в папке WINSOWS) в файл autorun.inf, расположенный в корне диска C - c:\autorun.inf и создается C:\WINDIWS\system32\autorun.bin
Если в папке с источником вируса или в папке WINDOWS отсутствуют параметры командной строки файла, то выполняется поиск файла autorun.vbs, он запускается и копирует себя в C:\WIMDOWS\system32\autorun.vbs
Также создается папка C:WINDOWS\system\system. (с точкой) и копируется туда из источника все файлы, соответствующие маске autorun.*
При запуске второй части вируса autorun.vbs выполняется сравнение текущей системной даты с датой, заданной в autorun.vbs. Если они не совпадают, происходит завершение работы. Если совпадают, запускается файл autorun.bat. Читаетс autorun.inf в корне диска C: если такой файл обнаружен и нне нулевого размера, то мы видим его проявление при попытке в експлорере перейти да диск C: нажативм левой кнопки мышки, или правой кнопкой - тогда видим в контекстном меню какую-то ерунду вместо "открыть".
Далее, если текущий год не больше 2030-го, файлы копируются по маске autorun.* на все найденные локальные жесткие и сетевые диски, а также на все подключенные в этот момент флешки (кроме дискет - видимо, автор вируса не пользуется этим архаизмом). Копирование происходит как непосредственно, так и вызовом пакетного файла autorun.bat.
Причем одной из неприятных последствий явлеятся невозможность включить показскрытых системных файлов для удаления вредоносного файла.
Что нужно сделать для удаления вируса? Вначале запускаем редактор реестра, (Пуск>Выполнить, regedit), переходим в ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ищем строку Userinit. Меняем параметр C:\WINDOWS\system32\userinit.exe, autorun.vbs на C:\WINDOWS\system32\userinit.exe.
Далее, запускаем командную строку и там пишем
del c:\autorun.inf
del c:\autorun.bin
del c:\autorun.vbs
del c:\autorun.reg (если есть такой)
повторяем это для кажного логического диска. Это обязательнын для удаления файлы. Не помешает также просмотреть корень логических дисков командой dir :\ и поудалять остальные автораны.
и еще пишем
del c:\WINDOWS\system32\autorun.bin
del c:\WINDOWS\system32\autorun.vbs
перезагружаемся. Всё. Должно помочь. По крайней мере, у меня получилось.
PS. Забыл еще - удаляем папку C:WINDOWS\system\system. (с точкой), если такая создалась. Иначе снова вылезет!
Комментарии 24
Была и у меня эта зараза, что бы избавиться нужно убить один процесс, какой точно не помню, что то типа \vbs\. Далее: Свойства папки, показывать системные файлы и удаляем все файлы AUTORUN с корня всех дисков и windows\\system32 (у меня было везде по 14 файлов )и в реестре правим одну ветку, как описано автором. Далее перегружаем комп и радуемся
Во, у меня такая проблема, заразился через флешку, поудалял эти файлы, теперь через проводник приходится заходить.статья была бы мне очень полезна, если бы мне вчера не скинули файл для лечения.но все равно спасибо
Есть такая прога на комп, называется winpatrol, так вот нада чтоб было PLUS версия, вот она хорошо перехватывает всякие пакости, я как то ставил флешку в ноут, так вот винпатрол сразу выдал, типа добавить файл autorun.bat в автозагрузку, выбрал NO, и вирус непопал на ноут. А вот КIS7 сработал ток спустя 10 секунд, после винпатрола.
smart/uploader/file_91043.html
вот прога, которая удаляет этот вирус. Маленькая, простая в применении. Юзаем, коментируем, благодарим...
0 ответить