[Тёма]

Вирус убил флопик. Точно вирус, приятель воткнул флешку из своего закаканого вирусами компа и у него такая же тема. Вирус убил флоп, точнее не убил, а… Вопщем, флоп щелкает (типа пытается прочитать дискетку, которой на самом деле в флопе нет) с периодичностью раз в 4-5 сек, а поскольку системник стоит рядом со мной то через 10 минут после работы меня это щелканье дико взбесило и я выдрал питание с дисковода. Потом вирус заразил древний ноут, тут я не стал выдирать флоп а просто отключил его в опциях.Касперским проверил весь комп, результата нет.Встречали? Лечится?

[overpro]

cureit, avz4. ну хотя с них можно начать проверять комп.

[CrazyWolf]

Встречал такое с “отечественным решением” для казначейства. В корне поищите файл usb.wsfСкрипт был написан против пенетратора по типу “ищу автозапуск на всех сменных дисках и заменяю его на свой”. Поэтому он и обращается к флопу с завидной регулярностью. Как лечить – в ЛС. [quote name='overpro'] cureit, avz4. ну хотя с них можно начать проверять комп. [/quote]В этом случае не поможет… Воспринимается как обычный скрипт, не способный угрожать системе.

[VaIerik]

[quote name='CrazyWolf'] В корне поищите файл usb.wsf [/quote]Хм, у меня при использовании флешек, винтов через юсби, данный файл вместе с авторуном создаётся на каждой используемой вещи, можете написать про лечение здесь, может и мне поможет. Касперский находит данный файл, но бороться отказывается (КИС 9)

[АРЕФ]

Может просто функцию autorun отключить и всех делов.

[overpro]

[quote name='bogdoma'] Касперский находит данный файл, но бороться отказывается (КИС 9) [/quote] а что с ним бороться? это обычный текстовый файл. прочитайте его содержимое блокнотом. был бы исполняемым. каспер бы удалил давно.

[CrazyWolf]

1. Установить, “наш” ли это зверь2. Загрузиться под “Безопасным режимом”3. Зайти в системный реестр, с помощью команды “regedit”4. Найти и стереть все упоминания о “usb.wsf”5. Найти и стереть все файлы “usb.wsf” с локальных и сменных носителей6. Перезагрузить систему.6. Защитить свои флешки от автозапуска, методом зарезервированных имен, для чего создается *.bat файл (например 1.bat со следующим содержанием:{начало файла}cd /attrib -r -a -s -h autorun.inferase autorun.infmd autorun.infcd autorun.infmd con\{конец файла}Важно! Открывать любые диски через “Дерево папок”. То есть открываешь Проводник, слева увидишь список папок. Ни в коем случае не следует открывать диски через двойной щелчок или через контекстное меню. Это может спровоцировать запуск скрипта и все пойдет по-новой.Далее запускаешь *.bat на всех флешь-накопителях и локальных дисках. То есть копируешь в корень диска и запускаешь.

[VaIerik]

Открываю через тотал командер, файлы «зарезервировал», тока более лёгким способом (создал папки с такими именами), а так большое спасибо на выходных попробую

[overpro]

[quote name='bogdoma'] тока более лёгким способом (создал папки с такими именами) [/quote] правильно. так и надо было. только не забудь сделать их системными и только для чтения.а CrazyWolf любит какие то длинные пути. но тоже рабочие.

[CrazyWolf]

[quote name='bogdoma'] Открываю через тотал командер, файлы «зарезервировал», тока более лёгким способом (создал папки с такими именами), а так большое спасибо на выходных попробую [/quote]Total Commander умеет создавать папки с именами con, lpt4, nul? Удивлен. Просто почти не использовал его. *.bat нужен для почти одновременного удаления старого автозапуска и создания папки. Сталкивался неоднократно когда зверь в системе непрерывно проверял наличие своего автозапуска и если его не обнаруживал то тут же копировал новую копию.[quote name='overpro'] а CrazyWolf любит какие то длинные пути. но тоже рабочие. [/quote]Просто более универсальный способ. Ну, думаю не нужно пояснять что недостаточно просто создать папку с именем autorun.inf, необходима защита в виде вложенной папки с “плохим” именем.[quote name='overpro'] правильно. так и надо было. только не забудь сделать их системными и только для чтения. [/quote]а смысл делать папку “только для чтения”?

[overpro]

[quote name='CrazyWolf'] а смысл делать папку “только для чтения”? [/quote] наверно вот для этого[quote name='CrazyWolf'] что недостаточно просто создать папку с именем autorun.inf, необходима защита [/quote]я делал по статье просто. в глубины не вникал. не зачем.просто “защитил” флэшки свои таким образом.

[АРЕФ]

[quote name='overpro'] а CrazyWolf любит какие то длинные пути. но тоже рабочие.[/quote]Действительно очень мудрено. Интересно а почему открывать системный реестр именно в безопасном режиме?

[АРЕФ]

В дополнение к варианту CrazyWolf советую еще отключить службу “Определение оборудования оболочки”(ShellHWDetection).

[CrazyWolf]

[quote name='overpro'] я делал по статье просто. в глубины не вникал. не зачем.просто “защитил” флэшки свои таким образом. [/quote]В том то и соль, то установка атрибута “только для чтения”, “Системный” не защитит флешку. Алгоритм такой:1. Вирус кидает файл autorun.inf в корень флешки.2а. Система видит что там такое имя уже есть и предлагает перезаписать.2б. Вирус видит что там уже есть такое имя, но содержимое не его.3. Папка удаляется. Ничего не помешает её удалить. Атрибуты заранее известного объекта запросто снимаются командой:attrib -r -a -s -h autorun.inf4. После этого на флешку взамен нашей хорошей папки кидается autorun.inf для зверька.[quote name='АРЕФ'] Действительно очень мудрено. Интересно а почему открывать системный реестр именно в безопасном режиме? [/quote]Операции по вычищению вируса из автозапуска проводят когда этот зверь не запущен – то бишь когда система запускается в безопасном режиме.

[АРЕФ]

[quote name='CrazyWolf'] Операции по вычищению вируса из автозапуска проводят когда этот зверь не запущен – то бишь когда система запускается в безопасном режиме. [/quote]Впервые о таком слышу. Если вирус прописывает свою запись в одном из разделов автозагрузки( run; runonce) в реестра( обычно только в первый раз), то удалять эти записи можно и в обычном режиме.

[Автор]

Сообщения