Форум: "Прочее";
Текущий архив: 2007.09.16;
Скачать: [xml.tar.bz2];
Вниз
Как отключить autorun и как удалить вирус? Найти похожие ветки
← →
AlexanderMS © (2007-08-15 15:42) [0]1) На флешку проник вирус, который заражает компьютер через autorun (файлик autorun.inf есть на флешке). И, естесственно, после подключения флешки к компьютеру последний автоматически заражается. Как сделать так, чтобы Windows не запускала автоматически флешки (и диски тоже)?
2) Этот вирус проник с флешки на компьютер. Заражает флешки. Понял, как называется процесс. Снимаю - снова возвращается в список. Его файл только через WinRAR увидеть можно. Удалить файл, естесственно, не получается - занят процессом. С помощью Winrar его даже просмотреть можно. Как можно удалить вирус с компьютера?
← →
Ega23 © (2007-08-15 15:44) [1]
> Как сделать так, чтобы Windows не запускала автоматически
> флешки (и диски тоже)?
Запускаться под Линуксом?
← →
Steep © (2007-08-15 15:46) [2]Антивирусом не пробывал?
← →
AlexanderMS © (2007-08-15 15:45) [3]
> Запускаться под Линуксом?
Неплохая идея! Только Линукса нет.
← →
Nic © (2007-08-15 15:52) [4]1. подрубить флешку до загрузки системы
2. поставить антивирь
← →
@!!ex © (2007-08-15 15:54) [5]> [3] AlexanderMS © (15.08.07 15:45)
DSL
LiveCD. Весит 50 метров, мона из инета скачать.
Сразу идет клвая утилита для разбиения диска.
Ссылку дать?
← →
isasa © (2007-08-15 15:59) [6]:)
Вообще то не проверял, но можно по аналогии.
Для CD есть ключик
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Autorun"=dword:00000000
Поискать подобную фигню для служды данной флешки
← →
tesseract © (2007-08-15 16:04) [7]Боролся с таким. Просто открываешь окно с explorer и через listview выбираем - тогда autorun не срабатывает.
← →
Вася Правильный (2007-08-15 16:06) [8]а флэшку почистить мозгов не хватает?
← →
AlexanderMS © (2007-08-15 16:14) [9]
> Весит 50 метров
50 КБит/с.
Стоит avast и молчит.
Качаю DrWeb CureIt. 7 мегабайт, правда, но это ещё терпимо.
> а флэшку почистить мозгов не хватает?
На заражённом компьютере?
← →
umbra © (2007-08-15 16:16) [10]
> ак отключить autorun
gpedit.msc
Конфигурация компьютера\Административные шаблоны\Система. Параметр "Отключить автозапуск".
> как удалить вирус?
установить антивирус будет проще всего.
← →
AlexanderMS © (2007-08-15 16:31) [11]
> umbra © (15.08.07 16:16) [10].
Спасибо большое.
Вот CureIt скачаю...
← →
@!!ex © (2007-08-15 16:58) [12]> 50 КБит/с.
кБ или кб?
Ибо это разные вещи..
У меня 10кБ, DSL скачался примерно за час.
← →
tesseract © (2007-08-15 17:26) [13]
> Качаю DrWeb CureIt. 7 мегабайт, правда, но это ещё терпимо.
главное в explorer не заходи а то всё по новому.
← →
12333333333 (2007-08-16 13:47) [14]зажми Shift когда флешку вставляешь и подрежи пока она полностью не определится...
← →
БарЛог © (2007-08-16 13:53) [15]> Его файл только через WinRAR увидеть можно.
Это как?
← →
oldman © (2007-08-16 14:32) [16]
> Удалить файл, естесственно, не получается - занят процессом.
Системная дискета спасет отца русской демократии?
← →
_xxx_ (2007-08-16 16:18) [17]можно еще форматнуть флешку в ntfs, создать на ней autorun.inf и выставить на него запрет. Изврат конечно, но действенно.
← →
Карелин Артем © (2007-08-16 18:14) [18]_xxx_ (16.08.07 16:18) [17]
Может сделать файл просто скрытым системны readonly?
← →
_xxx_ (2007-08-16 19:20) [19]
> Карелин Артем © (16.08.07 18:14) [18]
Можно, но факт ли, что вирус создающий autorun.inf с аттрибутами r-a-h-s не умеет эти аттрибуты снимать?
← →
Prohodil Mimo © (2007-08-16 22:21) [20]может лучше антизвирь и не ползать по заразным машинам? не уверен в машине, включи на флешке РО, если таковой имеется.
← →
Vendict © (2007-08-17 00:14) [21]_xxx_ (16.08.07 16:18) [17]
можно еще форматнуть флешку в ntfs, создать на ней autorun.inf и выставить на него запрет. Изврат конечно, но действенно.
лучше у данного файла поменять владельца на что-нибудь существующее только на одном компе.
хотя тут появятся одни грабли. винда не хочет форматировать флешку в ntfs кроме как через командную строку вроде. она ругается, что данная файловая сиситема несовместима с быстрым извлечением флешки.
← →
_XXX_ (2007-08-17 00:29) [22]
> Prohodil Mimo © (16.08.07 22:21) [20]
>
> может лучше антизвирь и не ползать по заразным машинам?
> не уверен в машине, включи на флешке РО, если таковой имеется.
>
я у себя дома где-то за год накопил в в спец. папке "зверинец" штук 20 подхваченных троянцев. Просто складывал их туда, как трофеи :) Какие-то я подхватил через IE (сидел без антивируса в нете) , какие-то жена с работы на флешке понатаскала, дык вот, снес я всё это дело на работу как-то и прогнал эту папку след. антивирусами:
NOD
Kaspersky
Symantec
Avast
AVZ
DrWeb
В общем, результат не порадовал - точно уже не скажу, но все троянцы выщемить не получилось ни одним из перечисленных инструментов, максимум был у Symantec"a - штук 10-12.
Во вторых, не все флешки с РО. Ну в третьих - человеческий фактор.... Не все знают что такое антивирь. Не на всех компах отключен autorun. (Не все даже знают что это такое). А флешки гуляют из порта в порт)))) Да и антивирь далеко не всегда спасает. Особенно если троянчик свежий :)
← →
_XXX_ (2007-08-17 00:43) [23]
> Vendict © (17.08.07 00:14) [21]
Ну да, я ж говорю что моя идея - изврат))) Хотя, я вот использую, на 2 флешках и одном внешнем(usb) 2.5" винте. Да, заметил, не всегда с первого раза извлекается оборудование, есть такое дело - со второго тыка срабатывает. Но пока ничего, работает... История покажет :))
А в ntfs - это через cmd ->
convert [диск]: /FS:NTFS
← →
SerJaNT © (2007-08-17 02:19) [24]Качаешь Unicorn Task Manager, ставишь его, загружаешся в безопасном режиме по F8 и...
1. Запускаешь Unicorn TaskMan и смотришь каждый процесс. Там внизу есть список модулей которые использует данный процесс. Так вот, смотри первую строчку - это путь к файлу. По имени уже должно быть понятно вирус это или нет. И если он тебе показался подозрительным - убиешь этот процесс.
2. Пуск -> Выполнить... пишешь msconfig
3. На вкладке Автозагрузка вырубаешь всё лишнее т.е. вирусы
4. Запускаешь поиск файлов по всему компьютеру по следующим именам: autorun.ini, xcopy.exe, copy.exe, copy2.exe, jarah*.exe. Все что найдет - удаляй (только смотри внимательно файлы autorun.ini, могут попасться и нормальные файлы, не относящиеся к вирусам).
5. Перезагружаешься
Так я очистил не один комп... Просто антивируса под рукой не было, да если и был, обновить негде было.
← →
Vendict © (2007-08-17 11:21) [25]я всё-таки процитирую текстик:
Riply © (17.05.07 15:13)
Вот. Может кому интересно...
NoDriveTypeAutoRun
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Data type Range Default value
REG_DWORD 0x0–0xFF 0x95
Description
Disables the Autoplay feature on all drives of the type specified.
Autoplay begins reading from a drive as soon as media is inserted in the drive.
As a result, the setup file of programs and the sound on audio media starts immediately.
This entry stores the setting of the Disable Autoplay Group Policy. Group Policy adds this
entry to the registry when you enable the Disable Autoplay policy. If you disable the policy
or set it to Not configured, Group Policy deletes this entry from the registry, and the system
behaves as though the value is 0x95.
This entry is a bitmapped value. To disable Autoplay on a particular type of drive,
set the bit representing that drive type to 1. To disable more than one type of drive,
set the bits representing each type to 1, or sum the hexadecimal values of the representative bits.
Value Meaning
0x1 Disables Autoplay on drives of unknown type.
0x4 Disables Autoplay on removable drives.
0x8 Disables Autoplay on fixed drives.
0x10 Disables Autoplay on network drives.
0x20 Disables Autoplay on CD-ROM drives.
0x40 Disables Autoplay on RAM disks.
0x80 Disables Autoplay on drives of unknown type.
0xFF Disables Autoplay on all types of drives.
By default, Autoplay is disabled on removable drives,
such as the floppy disk drive (but not the CD-ROM drive),
and on network drives. The default value 0x95 (149) is the sum of 0x1,
0x81 (unknown types), 0x4 (floppy drives), and 0x10 (network drives).
Change method
To change the value of this entry, use Group Policy. This entry corresponds to the
Disable Autoplay Group Policy (Computer Configuration\Administrative Templates\System).
For detailed information about particular Group Policy settings, see the Windows 2000
Resource Kit Group Policy Reference.
For general information about Group Policy, see Windows 2000 Server Help or Windows 2000 Professional Help.
To see a table associating policies with their corresponding registry entries,
see the Group Policy Registry Table .
← →
Vendict © (2007-08-17 11:25) [26]_XXX_ (17.08.07 0:43) [23]
есть такое дело - со второго тыка срабатывает.
при файловой системе fat32 можно флешку извлекать без "безопасного извлечения", т.е. просто вытаскивая, зная что винда всё скинула из кеша. на ntfs же так делать нельзя. специфика её.
смотреть сюда: Диспетчер_устройств->Дисковые устройства->Kingston...->Вкладка "Политика"
там выбор: оптимизировать для быстрого удаления/выполнения.
← →
tesseract © (2007-08-17 11:27) [27]лучший антивирус autoruns + process explorer.
← →
_XXX_ (2007-08-17 13:08) [28]
> Vendict © (17.08.07 11:25) [26]
> смотреть сюда: Диспетчер_устройств->Дисковые устройства-
> >Kingston...->Вкладка "Политика"
Спасибо, буду знать.
> tesseract © (17.08.07 11:27) [27]
> лучший антивирус autoruns + process explorer.
Во! Еще для комплекта я бы добавил AVZ и RkUnhooker.
Ну и естесна, моск :)
← →
l_v (2007-08-17 16:10) [29]
> @!!ex © (15.08.07 16:58) [12]
> > 50 КБит/с.
> кБ или кб?Ибо это разные вещи..
чем отличается Бит от бит???
← →
Virgo_Style © (2007-08-17 17:02) [30]l_v (17.08.07 16:10) [29]
байт от бит
← →
ANTPro © (2007-08-17 17:25) [31]> [9] AlexanderMS © (15.08.07 16:14)
> Стоит avast и молчит.
Обновлял?
ЗачОтный такой вирь, надоедливый :)
После запуска копируется в C:\WINDOWS\ (copy.exe и еще какой-то *.exe)
на всех винтах в корне появляется autorun.*, все скрытые. И копирует себя в %disk%:\RECYCLER\ctfmon.exe (его должен видеть антивирь)
Оно?
← →
tesseract © (2007-08-17 20:47) [32]
> Оно?
Я старую версию гонял, вырубалась только моим любимым струментом. Главное заглушить основной процесс - и не дать ему стартовать с винта - жалко, что не сохранил. Там были файлы js, dll и ещё какие-то.
← →
AlexanderMS © (2007-08-20 05:28) [33]Короче, все антивирусы молчат. Вирус, как я понял, только размножается, поэтому и не вызывает подозрений.
> ANTPro © (17.08.07 17:25) [31]
ctfmon в процессах у меня есть :), но меня интересует soundmix.exe. При его снятии он вновь возвращается в список процессов! Соответственно когда, я пытался в реестре его убрать из автозапуска, а его процесс снова вносил изменения в реестр, и ничего не получается!
Как-нибудь можно самому снять этот процесс, но так, чтобы он больше не появлялся?
А что, ctfmon - тоже вирус?
← →
tesseract © (2007-08-20 10:04) [34]
> А что, ctfmon - тоже вирус?
Ага, он выводить в трее панель переключателя раскладки. SoundMix - это вроде часть драйвера аудиокарты встроенной.
← →
ZMRaven © (2007-08-20 10:27) [35]я обычно делал проще :)...берёшь и перекидываешь документы старым добрым фаром :)
а потом резво форматишь флэшку :) и никаких проблем
← →
имя (2007-08-20 22:33) [36]Удалено модератором
← →
ANTPro © (2007-08-22 14:40) [37]> [33] AlexanderMS © (20.08.07 05:28)
> А что, ctfmon - тоже вирус?
Да он пытается маскироваться под
> [34] tesseract © (20.08.07 10:04)
> панель переключателя раскладки
← →
AlexanderMS © (2007-08-22 17:56) [38]Удалил с компьютера. Вручную. Могу написать как, если кому интересно.
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2007.09.16;
Скачать: [xml.tar.bz2];
Память: 0.55 MB
Время: 0.06 c
