Что делать с вирусом “Virus.VBS.Small.a”?

Просмотр 15 сообщений - с 1 по 15 (из 31 всего)
  • Автор
    Сообщения
  • #1969563
    MC VIT
    Участник

    Народ у меня такая проблема, в компе поселился вирус Virus.VBS.Small.aФайл: E:\WINDOWS\system32\autorun.batМожет кто знает как с ним бороться, а то когда касперский удаляет его и доступ к файлах на винте блокируется и нельзя ничего открыть, а винду в облом переставлять.P.S. этот вирус был подхвачен мной и ещё несколькими лицами в Политехническом техникуме, так что будьте аккуратнее.

    #1969571
    overpro
    Участник

    ну либо с винтом прийти к другу и вылечить.либо воспользоваться альтернативным загрузчиком. к примеру win xp live cd.в общем надо из другой винды лечить.ps^ где именно подхватил, а то мало ли.

    #1969573
    Данилка
    Участник

    Зачем из другой винды… Каспер если доступа не может получить к файлу, назначает перезагрузку компьютера и лечит во время перезагрузки.А в данном случае VBS говорит о том, что это – примитивный скриптовый вирус, написанный в блокноте и переименованный в VBS. Такой даже руками вычистить не проблема.

    #1969720
    MC VIT
    Участник

    Спасибо всем, буду пробовать!!!

    #1969730
    ndg3
    Участник

    этат вирус в лабаратории касперского обнаружили вроде еще в дикабре 2006. так что если базы старее, то обнови их! 🙂 а вообще советую поставить еще один антивирь NOD32 на данный момент является лучшим эвристиком, что позваляет ему определять даже неизвестные вирусы. [smile ;)]

    #1969739
    Данилка
    Участник

    [quote name='Пёса'] так что если базы старее, то обнови их! [/quote]Раз уж человек назвал имя вируса в терминологии Касперского, то видимо он определил его.[quote name='Пёса'] а вообще советую поставить еще один антивирь NOD32 [/quote]Ты что, действительно [b]советуешь[/b] человеку поставить два антивируса на одну тачку?! Что бы они вдвоем эту тачку вообще убили?[quote name='Пёса'] на данный момент является лучшим эвристиком, что позваляет ему определять даже неизвестные вирусы [/quote]Ну а каспер имеет в своем арсенале проактивную защиту, которая еще лучше, чем любой эвристик.В данном случае, думаю, этот “вирус” вообще не проблема. Во-первых, антивирь должен сделать корректное лечение. Во-вторых, его можно и руками убить – выключить из автозагрузки и убить процесс из таск менеджера.Ну и под рукой следует держать образ готовой настроенной системы, сделанный в Norton Ghost или подобной программе – тогда вообще переустановка системы будет занимать 3 минуты.

    #1969751
    redrum
    Участник

    NOD32 стал с недавних пор таким “хорошим” потому что касперский начал свои ключи в “черный список” вносить …

    #1969994
    ndg3
    Участник

    [u]”Раз уж человек назвал имя вируса в терминологии Касперского, то видимо он определил его.” [/u]гы. каким дурачком меня выставляют. 🙂 определить, то определил, но ток вылечит ли?? может у него база ток с сигнатурой вируса, по которой каспер определяет что это вирус такой то. а способ лечения может появиться в следующих обновлениях (если конечно код вируса не простой, а какой нидь полиморфный, да исчо с какой нить криптографией, то лечение будет скорее всего не возможно). и если лечение не возвожно предлагает удалить его. [u]”Ты что, действительно советуешь человеку поставить два антивируса на одну тачку?! Что бы они вдвоем эту тачку вообще убили?”[/u]во первых, да советую поставить!!, а вот про, запускать их паралелльно я не говорил. во вторых, нод32 совсем не весит систему, работа его совершенно не заметна![u]”Ну а каспер имеет в своем арсенале проактивную защиту, которая еще лучше, чем любой эвристик.”[/u]тольк в случае если этот счастливый обладатель проактивной защиты имеет в своем распоряжении постоянный выход в инет, а если нет???[u]”его можно и руками убить – выключить из автозагрузки и убить процесс из таск менеджера.”[/u]видимо вы, Данилка, не внимательно читали проблему. вернемся чуть назад:[u]”когда касперский удаляет его и доступ к файлах на винте блокируется и нельзя ничего открыть, а винду в облом переставлять.”[/u]можно предположить что тоже самое будет и при ручном удалении и при отключении его загрузки.видимо при загрузки винды передается управление вирусу, который выполняет код разблокировки доступа к файлам. а если вируса нет, то что?? правильно! ничего разблокировано не будет! есть два способа решения проблемы:1ый и самый геморный, запустить вирус под дебугером и разбираться в процессе расшифровки доступа. потом написать собственную программу расшифровки, удалить вирус, и запустить свою программу. однако этим способом вряд ли кто то будет пользоваться, если конечно, вы не хотите написать именной антивирус, заточенный под удаление данного вируса.2ой способ, все таки переустановить винду [smile ;)]

    #1969996
    ndg3
    Участник

    *** “тольк в случае если этот счастливый обладатель проактивной защиты имеет в своем распоряжении постоянный выход в инет, а если нет???”извиняюсь немного не про то написал. [smile :(] хотя и проактивную защиту можно заброковать, [smile =)] если ею будет пользоваться нервный геймер, то наверняка будет разрешать выполняться всему на своем компьютере, я и сам бывает при выползании окошка, по инерции нажимаю разрешить, а потом думаю, что ж я там разрешил. 🙂 ну и темболее проактивная защита появилась в последних версиях. так что если и ставить каспер, то последнии версии с последними обновлениями.пы.сы. если задацца целью написать особо мудренный вирус, то можно и эту защиту (проактивную) обойти!! согласитесь. [smile ;)]

    #1970002
    Данилка
    Участник

    2 ПёсаУ меня нет желания спорить на эту тему с человеком, имеющим весьма приблизительное представление о работе операционной системы и компьютерных вирусов.Я уже обращал внимание на то, что данный вирус имеет в своем названии “VBS”, что означает “Visual Basic Script”, а это в свою очередь означает, что написан он в простом блокноте и ограничен возможностями скрипта. Не знаю, как кто, а я не представляю как это возможно так “заблокировать” доступ. Как правило, дело в кривизне рук пользователя, а не антивируса. Возможно у него в корне дисков лежит файл “autorun.inf”, который работает как автозапуск, подобно компакт-диску. Открываешь диск D, и autorun.inf запускает скрипт vbs. Если скрипт был удален, вылезет ошибка и диск не откроется. Открыть его можно будет правой кнопкой мыши – пункт открыть, а не двойным щелчком.Это в качестве примера. Если руки у пользователя прямые и растут, как положено, из плеч, то никаких проблем с блокировками быть не должно.Пролечил от скрипт комп, вычистил систему от посторонних файлов, при необходимости, выдал себе нужные права NTFS и все. Какие проблемы. А так как вирус этот скриптовый, даже не EXE, то он по определению очень простой. Это тебе не хитрый полиморфик, написанный на ассемблере. Это просто скрипт!!!ЗЫ. О приемуществах и недостатках разных антивирусов – есть отдельная тема.

    #1970005
    ndg3
    Участник

    пока ниче не буду вам, Данилка, отвечать.2 mc vit,пожалуйста предоставьте, содержимое зараженного bat файла?? (если конечно он у вас остался), откройте его через блокнот и напишите здесь (или отправтье мне на мыло) содержимое

    #1970102
    ndg3
    Участник

    звените Данилка, мой недочет, незнание абривеатуры VBS, не снимает атветственности 🙂 нашел в нете вирус, запустил.когда давишь на икону жесткого диска, вылитаит сообщение “Не найден файл сценария [имя диска]:\autorun.vbs” а каспер его лечит, нужно ток запустить ф безопасном режиме. а вообще в нете есть спец прога, заточенная для этого вируса, удаляет его зараженные файлики + кой какие значения в реестре, оставленные вирусом(вроде бы autorun.vbs).а можно просто после удаления KAVом вируса создаеть батник со следующим содержимим, и запустить канечна его:@echo onrem Unlock attrib -s -h -r C:\autorun.binattrib -s -h -r C:\WINDOWS\system32\autorun.binattrib -s -h -r C:\autorun.regattrib -s -h -r C:\WINDOWS\system32\autorun.regattrib -s -h -r C:\AUTORUN.FCBattrib -s -h -r C:\WINDOWS\system32\autorun.FCBattrib -s -h -r C:\autorun.srmattrib -s -h -r C:\WINDOWS\system32\autorun.srmattrib -s -h -r C:\autorun.txtattrib -s -h -r C:\WINDOWS\system32\autorun.txtattrib -s -h -r C:\autorun.wshattrib -s -h -r C:\WINDOWS\system32\autorun.wshattrib -s -h -r C:\Autorun.~exattrib -s -h -r C:\WINDOWS\system32\Autorun.~exattrib -s -h -r C:\Autorun.exeattrib -s -h -r C:\WINDOWS\system32\Autorun.exeattrib -s -h -r C:\autorun.inf_?????attrib -s -h -r C:\WINDOWS\system32\autorun.inf_?????attrib -s -h -r C:\autorun.infattrib -s -h -r C:\WINDOWS\system32\autorun.infrem UdalitNAHdel C:\autorun.bindel C:\WINDOWS\system32\autorun.bindel C:\autorun.regdel C:\WINDOWS\system32\autorun.regdel C:\AUTORUN.FCBdel C:\WINDOWS\system32\autorun.FCBdel C:\autorun.srmdel C:\WINDOWS\system32\autorun.srmdel C:\autorun.txtdel C:\WINDOWS\system32\autorun.txtdel C:\autorun.wshdel C:\WINDOWS\system32\autorun.wshdel C:\Autorun.~exdel C:\WINDOWS\system32\Autorun.~exdel C:\Autorun.exedel C:\WINDOWS\system32\Autorun.exedel C:\autorun.inf_?????del C:\WINDOWS\system32\autorun.inf_?????del C:\autorun.infdel C:\WINDOWS\system32\autorun.inf

    #1970131
    Данилка
    Участник

    [quote name='Пёса'] звените Данилка, мой недочет, незнание абривеатуры VBS, не снимает атветственности нашел в нете вирус, запустил. [/quote]А ко мне сегодня на работу, где я админю, принесли гостьи из Хабаровска этот вирус на зараженной флешке.Собственно, на флешке, как я и предполагал, лежит файл autorun.inf – этот файл является файлом автозапуска, как на компакт-дисках. Вставили флэшку они, попытались открыть и тут же вылезает антивирус. При попытке открыть флэшку авторан попытался запустить вирус.Почистил флэшку антивирусом. Да, действительно, после удаления собственно вредоносного скрипта, антивирус оставляет в живых файлик автозапуска, что не позволяет открыть диск двойным щелчком.Здесь поступаем так:1) Открываем любое окно Проводника.2) Пишем в адресной строке букву диска (например, F:\ ), переходим на диск3) Чистим от всякой гадости корневой каталог (от всех файликов авторанов и вообще всего, чего не надо)4) Если заражена флэшка, то ее надо просто вытащить и вставить, после того как диск заново появится, он уже будет подключен без авторанов. Если чистим винт – то после удаления лишних файлов перезагружаем комп.Важно. Если чистите от заразы диск C: – то имейте ввиду, что там много файликов, но далеко не все они подлежат удалению. Не трогайте например такие файлы как boot.ini и что еще важнее – ntldr (этот файлик используется для загрузки системы). Hiperfile – файл спящего режима, файл pagefile – файл подкачки.Аккуратнее в борьбе с нечистью 🙂

    #1971827
    AlexeySPb
    Участник

    Здравствуйте!Увидел, что у вас тут хоть что-то толково написано об этом вирусе. У меня такая проблема:Друг пришел с ноутом и предложил перелить ко мне кой-какую инфу, нужную. Переливали по сцепке карт-ридер+SD карта на 4 Гб. После подключения карт-ридера ко мне КАВ начал ругаться и проверять карту. Удалить вирус не смог сославшись на заблокированность карты от записи. Теперь я не могу ничего сделать с картой, но терять ее жутко жаль – она из наладонника – посоветйте что-нибудь.Пробовал форматировать виндой и в безопасном режиме – защищена… Пытался загрузить хоть что-нибудь Live (Ubuntu; Hiren’s.BootCD) – толку 0…

    #1971954
    overpro
    Участник

    я вообще такие вирусы, ну которые через autorun включаются, удаляю без проблем из Тотала командера… так как при его использовании и при открытие буквы флэшки, этот autorun не запускается. спокойно беру и удаляю… постоянно кто-то принесет.а если через мой компьютер открыть, то там сразу без проблем заразишься.так что можно с флэхой к соседу спокойно и все… когда вставите флэху и вылезет автозапуск, там просто закройте его.. и через тотал бомбите.

Просмотр 15 сообщений - с 1 по 15 (из 31 всего)
  • Для ответа в этой теме необходимо авторизоваться.