autorun.inf не даёт спокоино жить! [Версия для КПК]

Показать полную графическую версию : autorun.inf не даёт спокоино жить!

СЫС_admin

16-06-2008, 14:47

Уж сколько с ним мы боролись, то он Recycled собою подменит, то ctfmon.exe, но антивир пока вроде-бы справлялся, а вот сейчас такая напасть:
поимал на фпешку очередной autorun.inf, и не подозревал, что мой NOD с ним не справится, однако он его даже не увидел!!!, при этом в корнях всех дисков появились папки System_Cash (с атрибутами скрытый, системный, только чтение) а в них файл local.exe с теми-же атрибутами, при этом тутже был заблокирован редактор реестра, и доступ через проводник к свойствам папок. AVZ 4.3 высказывала свои подозрения на скрытый автозапуск, и исправляла обозначенные ошибки типа реестра и свойств папки, но после перезагрузки всё повторяется и удалить эту дрянь не представляется возможным :-( флешку лечил под LINUX-ом, а как быть с Виндой??? Люди помогите!!!

Pili

16-06-2008, 15:10

СЫС_admin, сделайте логи по правилам (http://forum.oszone.net/thread-98169.html), перед формировании логов включите флешку.

Drongo

16-06-2008, 17:31

СЫС_admin, Посмотрите, если конечно поможет... Моя подобная тема с вирусом autorun.inf (http://www.forum.oszone.net/thread-106702.html)

Severny

16-06-2008, 18:12

Drongo,
... и ко всем участникам форума. Пожалуйста, не давайте ссылки на решенные темы по лечению вирусов.
Выполнение "чужих" скриптов может привести к неработоспособности системы.

Baw17

16-06-2008, 19:00

Severny, в курсе, самый действенный способ с помощью Anti_Autorun (http://www.bombina.com/php/link_2008.php?link=anti_autorun.exe)

Severny

16-06-2008, 19:24

Baw17, Я тоже раньше использовал AntiAutorun, только он не до конца лечит сейчас многочисленные модификации вируса. Им удаляются файлы autoran.inf из корня дисков, восстанавливаются ассоциации, но сами тела все время меняются, прикрываются руткитами и программа их все знать, а в некоторых случаях и зная достать не может. Вот у Drongo были Amvo.dll и Amvo.exe, у СЫС_admin уже local.exe, да еще системные подменяет. Так что самый действенный -- логи.

Drongo

16-06-2008, 19:57

Severny, Спасибо за подсказку, понял. Хотя там нет скриптов.

Pili

16-06-2008, 21:14

Хотя там нет скриптов. »
Чтобы были скрипты или вердикт "чисто", надо логи в этом разделе выкладывать, а не где-то в "Хочу все знать" :)
зафлудили... давайте дождемся лог файлов и тогда будем советовать.

DVDshnik

17-06-2008, 07:18

Хм, а замена autorun.inf на безобидный не прокатит?

Pili

17-06-2008, 09:10

DVDshnik, нет, если зловред поселился в системе, то он независимо от autorun.inf может работать. Сначала надо почистить зловреды, потом уже меры защиты от автозапуска можно настраивать.

Drongo

17-06-2008, 12:10

DVDshnik, Хм, а замена autorun.inf на безобидный не прокатит? »Не-не-не, не поможет. Я уже всё опробовал, когда у кореша прибивали его.

DVDshnik

17-06-2008, 12:12

Эт надо до того делать, в смысле до заражения.

Pili

17-06-2008, 12:26

до заражения »
Об этом тут (http://forum.oszone.net/post-825101-59.html)