Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   autorun.inf не даёт спокоино жить! (http://forum.oszone.net/showthread.php?t=109277)

СЫС_admin 16-06-2008 14:47 827239
autorun.inf не даёт спокоино жить!
 
Уж сколько с ним мы боролись, то он Recycled собою подменит, то ctfmon.exe, но антивир пока вроде-бы справлялся, а вот сейчас такая напасть:
поимал на фпешку очередной autorun.inf, и не подозревал, что мой NOD с ним не справится, однако он его даже не увидел!!!, при этом в корнях всех дисков появились папки System_Cash (с атрибутами скрытый, системный, только чтение) а в них файл local.exe с теми-же атрибутами, при этом тутже был заблокирован редактор реестра, и доступ через проводник к свойствам папок. AVZ 4.3 высказывала свои подозрения на скрытый автозапуск, и исправляла обозначенные ошибки типа реестра и свойств папки, но после перезагрузки всё повторяется и удалить эту дрянь не представляется возможным :-( флешку лечил под LINUX-ом, а как быть с Виндой??? Люди помогите!!!

Pili 16-06-2008 15:10 827263
СЫС_admin, сделайте логи по правилам, перед формировании логов включите флешку.

Drongo 16-06-2008 17:31 827393
СЫС_admin, Посмотрите, если конечно поможет... Моя подобная тема с вирусом autorun.inf

Severny 16-06-2008 18:12 827427
Drongo,
... и ко всем участникам форума. Пожалуйста, не давайте ссылки на решенные темы по лечению вирусов.
Выполнение "чужих" скриптов может привести к неработоспособности системы.

Baw17 16-06-2008 19:00 827466
Severny, в курсе, самый действенный способ с помощью Anti_Autorun

Severny 16-06-2008 19:24 827485
Baw17, Я тоже раньше использовал AntiAutorun, только он не до конца лечит сейчас многочисленные модификации вируса. Им удаляются файлы autoran.inf из корня дисков, восстанавливаются ассоциации, но сами тела все время меняются, прикрываются руткитами и программа их все знать, а в некоторых случаях и зная достать не может. Вот у Drongo были Amvo.dll и Amvo.exe, у СЫС_admin уже local.exe, да еще системные подменяет. Так что самый действенный -- логи.

Drongo 16-06-2008 19:57 827507
Severny, Спасибо за подсказку, понял. Хотя там нет скриптов.

Pili 16-06-2008 21:14 827557
Цитата:
Цитата Drongo
Хотя там нет скриптов. »
Чтобы были скрипты или вердикт "чисто", надо логи в этом разделе выкладывать, а не где-то в "Хочу все знать" :)
зафлудили... давайте дождемся лог файлов и тогда будем советовать.

DVDshnik 17-06-2008 07:18 827805
Хм, а замена autorun.inf на безобидный не прокатит?

Pili 17-06-2008 09:10 827845
DVDshnik, нет, если зловред поселился в системе, то он независимо от autorun.inf может работать. Сначала надо почистить зловреды, потом уже меры защиты от автозапуска можно настраивать.

Drongo 17-06-2008 12:10 827999
DVDshnik,
Цитата:
Цитата DVDshnik
Хм, а замена autorun.inf на безобидный не прокатит? »
Не-не-не, не поможет. Я уже всё опробовал, когда у кореша прибивали его.

DVDshnik 17-06-2008 12:12 828001
Эт надо до того делать, в смысле до заражения.

Pili 17-06-2008 12:26 828021
Цитата:
Цитата DVDshnik
до заражения »
Об этом тут


Время: 06:31.

Время: 06:31.
© OSzone.net 2001-