Flynet005,

Цитата:

убиения вирусов и прочей нечисти имею такую проблемку...

А вы уверянны,что все вирусы "убили"?

[Flynet005]

Если верить KISу 2009 то да.... Трижбы проверял... Хотя сомнения берут....
Куда залезть посмотреть или что надо исправить чтобы решить проблему?

Flynet005, Если Каспер находил вирусы на вашем компьютере,то хотелось бы узнать в каких директориях и как он охарактеризвал эти вирусы.

[Flynet005]

dimon7707 вирусы и трояны... всего штукЧег 50.... а вот где и как охарактеризовал.... это отчет надо смотреть....
ОКи закину отчет, но это скорей всего завтра (18.09.2008 в 08:00 по серверу) Я просто на работе, а тачка дома.

[Petya V4sechkin]

Flynet005, сделайте полную проверку и логи.

Flynet005, есть подозрения на вирус

читать дальше »

Код:

WScript.exe .\autorun.vbs

%windir%\System32\WScript.exe является комплектным модулем ОС Windows, который представляет собой специальный отладчик, под которым производится запуск и отладка программных сценариев, написанных на скрипт-языках. Используя эту программы, вирус получает возможность скрытно загружаться на выполнение и даже резидентно оставаться в памяти компьютера вплоть до завершения работы Windows. Однако в результате некой ошибки в коде основного компонента вируса, последний далеко не всегда остается резидентно в памяти, а проходит один полный цикл (инсталляция + процесс заражения дисков) и завершает свою работу.
При запуске autorun.vbs копирует все свои компоненты в системный каталог Windows. Тут проявляется следующий недочет его автора: вирус считает своими компонентами абсолютно все файлы в текущем каталоге, имена которых соответствуют "autorun", т.е. расширения файлов не проверяются. В результате этого, если в корне носителя имеют место компоненты какого-либо автозагрузочного диска, ранее скопированного пользователем на носитель, у которых имена также соответствуют "autorun", то они тоже будут скопированы в системный каталог, а в дальнейшем и на все заражаемые вирусом диски. Например, среди образцов таких "компонентов" вируса мне попадались файлы-картинки (autorun.bmp), конфигурационные файлы от игр и системных программ (autorun.ini), компоненты загрузочного меню CD-дисков (autorun.exe) и многие др. совершенно безобидные файлы, не имеющие к вирусу никакого отношения:

%windir%\System32\autorun.*

Далее, используя системный интерпретатор командной строки %windir%\System32\cmd.exe, вирус запускает на выполнение свой компонент autorun.bat. В свою очередь, используя системную утилиту %windir%\System32\regedit.exe, этот компонент запускает на выполнение файл autorun.reg, который импортирует в нижеприведенные ветки ключей реестра следующие модифицированные под потребности вируса значения:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000

[Flynet005]

dimon7707 Что так все плохо? А если удалить эти ключи?

Flynet005,Можно если точно знать где они обнаружены и если это точно вирус. Просто если он уже пустил в системе корни, то лучший способ это форматировать диск,во избежании дальнейших промблем.

[Flynet005]

dimon7707 Да не хотелось так сразу крайними мерами.... Думал дело плевое.... При загрузке Оси запускается программа, которая ну никак не должна запускаться.... Может думаю есть пути запретить ее запуск?
Я этот wscript.exe удалял нафиг и что только не крутил с ним.... он все равно появляется. В автозапуске ее нету. Единственное что в реестре не смотрел в RUNe....