Сегодня принесли флешку, которую я недавно обработал Флешдезинфектором...
сканернул её антивирем... в результате чего был обнаружен авторан.инф в папочке авторан.инф (ну та которая создаётся Флешдезинфектором)... что интересно, файл авторан.иya был только в этой папке... хотя на флешке были и другие каталоги...
что бы это значило? :dont-know

SANIOK_AV, при подключении этой флешки заражения все равно автоматически не произошло бы, т.к. autorun.inf не в корне диска, папка autorun.inf скрытая, поэтому маловероятно, что обычный пользователь зайдет в эту папку проводником. Вероятно зловред не смог создать в корне диска и по какой-то причине записал в папку, сама утилита файл autorun.inf не создает, только папку. Содержимое autorun.inf из одноименной папки выложить можете?

при подключении этой флешки заражения все равно автоматически не произошло бы, »
Pili, Тоже самое после Flash Drive Disinfector на флэшке появился autorun.inf , а также значок корзины - при попытке удаления (после зачистки антивирусом)система ругалась - Это системный файл и удаление невозможно)- флэшку просто отформатировал.
Если снова попадётся такое постараюсь выложить здесь.

после Flash Drive Disinfector на флэшке появился autorun.inf »
Появился каталог или файл? а также значок корзины »
Флешка до этого точно была чистая?
Это системный файл и удаление невозможно) »
Всё правильно, на папке должны стоять атрибуты системный, скрытый, только для чтения, архивный, внутри папки файл "lpt3.This folder was created by Flash_Disinfector", удалить легко - снять атрибуты, стать владельцем папки (посл. не всегда требуется) и удалить, только зачем? :) Пропадает весь смысл использования утилиты :)

Появился каталог или файл? »
Папка и в ней значок корзины .
Флешка до этого точно была чистая? »

Все сто процентов - чистая. удалить легко - снять атрибуты, стать владельцем папки (посл. не всегда требуется) и удалить, только зачем? :) Пропадает весь смысл использования утилиты :) »
Я удалял не файл "lpt3.This folder was created by Flash_Disinfector" , а значок корзины который появился в папке на флэшке и в ней остался после чистки (каспер сам среагировал и зачистил флэшку, оставил только папку и значок) Сам значок корзины из флэшки открывал мою корзину.
Завтра если будет время схожу в фото - салон и если они не зачистили свой комп, то результат выложу куда скажете.

Flash Disinfector работает так: убивает процесс explorer, удаляет по имени файлов зловредные файлы (есть список в скрипте), создает папку autorun.inf на всех локальных и съемных дисках с файлом lpt3.This folder was created by Flash_Disinfector внутри, запускает exlporer, никаких значков корзины не создает. Вероятно у вас была зарежена флешка или сама система, можете сделать логи.
Можете также распаковать flash_disinfector.exe и посмотреть что внутри.

Pili,
Я наверное не так обьяснил. На флэшке обработанной Flash Disinfector после вставки в комп. где есть autorun.inf и появилось все выше перечисленное.

iskander-k, :) ясно, от появления остальных зловредных файлов (кроме файла autorun.inf в корне съемного диска), флеш дезинфектор не спасает, нужно лечить сам зараженный компьютер сначала.

А вот еще вопрос.
Папка autorun.inf из скрытой, бывает, превращается в нескрытую.
Сам я атрибуты при этом не менял. Никто не знает причину?

truvo, бывает, когда флешку переносишь на др. компьютер

Pili, к сожалению каспер его удалил...
мне интересно, почему файл записался только в эту папку...?

Pili,
Я скопировал в архив файл с вирусом который появляется на флэшке(о чем писал выше).Флэшка после дезинфектора. И опять таки появилась "корзина" на флэшке. и папка дезинфектора стала не скрытой.
Выложить для анализа ? И куда ?
Обнаружено
---------- Статус Объект ------
------ удалено: вирус Worm.Win32.AutoRun.qap Файл: J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
Обнаружено и удалено касперским.

iskander-k, если система заражена, то на флешку вирус может писать, только ему будет проблематично создать файл autoun.inf, соответственно при вкл. этой флешки на другом компьютере заражения не произойдет, в этом суть иммунизации утилитой. Выкладывать файл не надо, но логи с зараженного компьютера можно выложить.
почему файл записался только в эту папку...? »
С этим вопросом нужно обратиться к создателю вируса :)

Pili, вот из логов каспера выдернул по поводу того файла:

03.12.2008 10:58:38 Файл f:\autorun.inf\autorun.inf, обнаружено: вирус 'Worm.Win32.AutoRun.ekr'.

С этим вопросом нужно обратиться к создателю вируса »
понял;)

SANIOK_AV,
от появления остальных зловредных файлов (кроме файла autorun.inf в корне съемного диска), флеш дезинфектор не спасает, нужно лечить сам зараженный компьютер сначала »
Вирус не смог создать в корне диска f:\ и по какой-то причине записал в папку, при подключении такой флешки к компьютеру заражения не произойдет, но если пользователь зайдет в эту папку проводником и автозапуск не отключен, то зарежение возможно (если и тело вируса будет находиться в той же папке или пути в файле autorun.inf на тело запускаемый файл отработают как надо)

Pili,
и автозапуск не отключен »
Вы имеете в виду:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

SANIOK_AV,
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

Pili, огромнейшая просьба, прокоментируйте пожалуйста суть ключей:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

и

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

SANIOK_AV,
@SYS:DoesNotExist

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

Подробно Борьба с автозапуском новыми методами (http://forum.kaspersky.com/index.php?showtopic=64046&view=findpost&p=585899) и здесь (http://virusinfo.info/showthread.php?t=20291)

Pili, Спасибо...
и тогда токой вопрос:
какой смысл в ключе:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

если мы ключем:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

и так отключаем автозапуск на всех дисках?