IPB
www.Frocus.net :: www.Frosat.net :: Upload


Здравствуйте, гость ( Вход | Регистрация )

> Autorun.inf и как с ним бороться
Гость_Gera_*
сообщение 31.1.2009, 16:13
Сообщение #1





Гости





Частич. цитирование



Вирус autоrun.inf распространяется в основном на твердотельных накопителях, чаше обзываемых флешка, заражение компьютера может носить разнообразный характер, от поселения тела вируса в системную область ОС, так и прекрасной уживчивостью с Главной Файловой Системе, по малу делает всякие малые гадости, в конечном итоге произрастающую в большую неприятность, а именно, по факту нет 100% отрабатывающих его антивирусных программ, всего это можно избежать если сделать так:

Для начала отключим функцию автозапуска для сменных носителей
1) Пуск -> выполнить -> regedit
2) открыть ветку HKLMSOFTWAREMicrosoftWindowsCurrentVersionPol icies
3) Создать новый раздел
4) Переименовать созданный раздел в Explorer
5) В этом разделе создать ключ NoDriveTypeAutoRun
Допустимые значения ключа:
0x1 — отключить автозапуск на приводах неизвестных типов

0x4 — отключить автозапуск сьемных устройств наш товарищ, его и отключаем!!!!

0x8 — отключить автозапуск НЕсьемных устройств
0x10 — отключить автозапуск сетевых дисков
0x20 — отключить автозапуск CD-приводов
0x40 — отключить автозапуск RAM-дисков
0x80 — отключить автозапуск на приводах неизвестных типов
0xFF — отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:
0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)
в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто поправьте его.

И второй шаг скачиваем Флеш Гвард отсюда http://www.davisr.com/cgi-bin/content/downloads.htm

И всё в принципе можно спать спокойно, как студентам, так и преподавателям, равно как и всем пользователем флешек...

Добавлено спустя 3 минуты 9 секунд:

Да для особо занятых, вот регфайл отключения автозапуска флеши

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff

Сохраняем в блокноте с расширением .reg и последующий запуск!


Спасибо сказали:
Перейти в начало страницы
 
+Цитировать сообщение
3 страниц V  < 1 2 3 >  
Начать новую тему
Ответов (10 - 19)
Alexander
сообщение 1.2.2009, 14:28
Сообщение #11


Активный писатель
****

Группа: Продвинутые пользователи
Сообщений: 3376
Регистрация: 5.8.2006
Из: Ужгород, Украина
Пользователь №: 1891
Спасибо сказали: 1040 раз

Вставить ник
Частич. цитирование



(Frocus)
Заразила эта гадость ноутбук родственника. И что самое интересное, я только недавно переустановил ему систему. Диск Д: не открывается, выскакивает меню "Открыть с...". Надо будет к нему заглянуть и попробовать вылечить от вируса.


Сегодня вышел на работу чтобы побороться с вирусами, уже вторую неделю нагружен был сервер и вся сеть. Боролся разными способами, но пришел к выводу, что это бесполезно. Антивирусы могли только заблокировать процессы, и никак не могли удалить эту дрянь. Сейчас в сети распространяется модифицированный autorun.inf, так как летом его можно было прибить любой антивируской. Единственный способ который я применил сегодня - это:

1) Запуск ФарМенеджера, перекидка из зараженного диска на незараженный.
2) предварительно удаление всех левых файлов


3) Format <drive>: /q

(Moshkin)
Загружайте http://www.kaspersky.ru/trials


Каспера нужно запускать порой по 5 раз чтобы отчиститься от гадости.
И то проблему Фрокуса он не решает!
Проверил лично! По состоянию на сегодня.
Перейти в начало страницы
 
+Цитировать сообщение
Гость_Георгий_*
сообщение 1.2.2009, 23:17
Сообщение #12





Гости





Частич. цитирование



Др.Вэб- 5,0 -решает в безопасном режиме все вопросы.
Если не удаёться инсталить ( это крайне редкое явление) - то есть Др.веб на Линуксе, -загрузочный диск., или курелт.
Пользуюсь уже не первый год- не нарадуюсь, с выходом пятой версии -вообще бомба!
Рекомендую всем! :wink:
http://www.drweb.com/?lng=ru
Перейти в начало страницы
 
+Цитировать сообщение
Alexander
сообщение 2.2.2009, 0:34
Сообщение #13


Активный писатель
****

Группа: Продвинутые пользователи
Сообщений: 3376
Регистрация: 5.8.2006
Из: Ужгород, Украина
Пользователь №: 1891
Спасибо сказали: 1040 раз

Вставить ник
Частич. цитирование



Георгий

CureIt пользуюсь давно, модифицированную версию сего вируса прибить смог, только все равно диск пришлось форматировать.

Сейчас на работе 8 машин нужно переустанавливать, вчера переоснастил сервер, а сегодня начал с юзерами работать.

И это только первая подсеть, а есть их еще 2, в первой подсети раньше проблем небыло, но когда все подсети законнектили бесконтрольно пошли вирусы.

Оснасил сервер еще одной сетевой картой и создал мост, на него нацепил Керио, теперь порты накрыты так, что бит не пролезет. :wink:

А все из-за того, что начальство решило поспешить с установкой сети без проведения мероприятий по защите подсетей и серверов.
Долбаюсь уже 9 дней... :?


В арсенале: НОД, ДРВЕБ, КАСПЕРСКИЙ
Перейти в начало страницы
 
+Цитировать сообщение
Гость_Moshkin_*
сообщение 2.2.2009, 11:48
Сообщение #14





Гости





Частич. цитирование



У Касперского есть форум , там много чего есть почитать по борьбе с вирусами , много советов .
http://forum.kaspersky.com/index.php?showforum=18

У Касперского есть тоже интересная штука - Kaspersky Emergency CD/DVD 2008 . Это весьма интересное приложение для быстрого сканирования и очистки компьютера от вирусов. Иногда запущеный трой весьма трудно выключить из процессов, так как он маскируется под системный фаил. Этот загрузочный диск поможет, не используя установленную ОС (а следовательно автозагрузку и все загружаемые процессы) избавиться от вирусов.
Перейти в начало страницы
 
+Цитировать сообщение
Adrian
сообщение 2.2.2009, 12:49
Сообщение #15


Местный
**

Группа: Пользователи
Сообщений: 238
Регистрация: 22.3.2006
Из: MD
Пользователь №: 1250
Спасибо сказали: 16 раз

Вставить ник
Частич. цитирование



http://www.USBVirus.com sau NOD32:)


--------------------
MXIII-G | Xtreamer mXV Pro
Перейти в начало страницы
 
+Цитировать сообщение
rebuss
сообщение 3.2.2009, 11:25
Сообщение #16


Местный
**

Группа: Пользователи
Сообщений: 142
Регистрация: 23.9.2007
Из: Кишинёв
Пользователь №: 4088
Спасибо сказали: 59 раз

Вставить ник
Частич. цитирование



Лучшая борьба с вирусами - восстановление системной партиции из имеджа. На пять минут делов.

Даже если в реестре не отключен авторан (что я считаю ОБЬЯЗАТЕЛНЫМ), зажатый SHIFT во время вставки диска не даёт автозапуска.
Перейти в начало страницы
 
+Цитировать сообщение
Гость_Gera_*
сообщение 3.2.2009, 14:43
Сообщение #17





Гости





Частич. цитирование



rebuss

Спору нет такая штука восстановления состояния прекрасная вещь, но только в том случае, если кака не сидит в главной разметочной таблице, МБР, если кака там, то тут уже нужны другие методы борьбы, Александр писал об этом, все просто, fdisk/mbr или утилитой низкоуровневого форматирования жесткого диска....
Перейти в начало страницы
 
+Цитировать сообщение
Гость_Moshkin_*
сообщение 3.2.2009, 15:05
Сообщение #18





Гости





Частич. цитирование



Угу , вот есть такое дело ...
...Народ помогите никогда такого не было .Попал ко мне троян какойто навороченый,отфарматировал весь хард а троян остался.Что делать ?..


http://live.cnews.ru/forum/index.php?showt...=49143&st=0

Файловые и загрузочные вирусы http://www.viruslist.com/ru/viruses/encycl...apter=156771301

Для сведения.
Документировано и везде описано : cамый первый сектор жесткого диска содержит Главную Корневую Запись и таблицу разделов, c которой работает Fdisk.
Недокументировано но хорошо известно вирусописателям : между ГКЗ и таблицей разделов находится неиспользуемая область, в которой большинство загрузочных вирусов размещают свою голову. Это пространство недоступно никакими срествами DOS/WIN9X, кроме Fdisk/mbr. При пересоздании партиций и форматировании эта область не обновляется !
Кстати, на этом основан интересный глюк - если переформатировать винт, зараженный boot-вирусом, иногда после этого он становится незагрузочным. Происходит сие от того, что тело вируса затирается, а голова остается целой. Спасает только low-level или fdisk/mbr.
Что касается Win2K, то он использует эту область для размещения GUID диска. Fdisk/mbr затирает GUID, но он восстанавливается при первой же перезагрузке.
Перейти в начало страницы
 
+Цитировать сообщение
Гость_Георгий_*
сообщение 4.2.2009, 8:49
Сообщение #19





Гости





Частич. цитирование



[quote=Moshkin]
Кстати, на этом основан интересный глюк - если переформатировать винт, зараженный boot-вирусом, иногда после этого он становится незагрузочным. Происходит сие от того, что тело вируса затирается, а голова остается целой. Спасает только low-level или fdisk/mbr.
Что касается Win2K, то он использует эту область для размещения GUID диска. Fdisk/mbr затирает GUID, но он восстанавливается при первой же перезагрузке.[/quote][/quote]
Во!
Мой случай! Как раз в тему.
Принесли знакомые несколько дней назад ноут, -вирусов там всяких немеряно было... Сколько не сканил ДрВебом всякими примочками ,..- вирусы пропали , но смотрю ноут криво работает., дай думаю винду переставлю:- переставил- форматнул и торба.... Винт не распознаёться.... (его ещё кто то на пароль поставил)...
Вот теперь отдал ребятам...-может поднимут....
Перейти в начало страницы
 
+Цитировать сообщение
Гость_Gera_*
сообщение 4.2.2009, 11:03
Сообщение #20





Гости





Частич. цитирование



Георгий
А что пароль на БИОС поставили? А может сразу надо было форматировать по полной с МБР? Просто часто когда уже в МБР сидит кака, то и диск не распознается, вернее, при попытке форматнуть в нормальном режиме, на диск пароль кака савит sad.gif !
Перейти в начало страницы
 
+Цитировать сообщение

3 страниц V  < 1 2 3 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 28.3.2024, 17:17