Autorun.inf и как с ним бороться |
Здравствуйте, гость ( Вход | Регистрация )
Autorun.inf и как с ним бороться |
Гость_Gera_* |
31.1.2009, 16:13
Сообщение
#1
|
Гости Частич. цитирование |
Вирус autоrun.inf распространяется в основном на твердотельных накопителях, чаше обзываемых флешка, заражение компьютера может носить разнообразный характер, от поселения тела вируса в системную область ОС, так и прекрасной уживчивостью с Главной Файловой Системе, по малу делает всякие малые гадости, в конечном итоге произрастающую в большую неприятность, а именно, по факту нет 100% отрабатывающих его антивирусных программ, всего это можно избежать если сделать так:
Для начала отключим функцию автозапуска для сменных носителей 1) Пуск -> выполнить -> regedit 2) открыть ветку HKLMSOFTWAREMicrosoftWindowsCurrentVersionPol icies 3) Создать новый раздел 4) Переименовать созданный раздел в Explorer 5) В этом разделе создать ключ NoDriveTypeAutoRun Допустимые значения ключа: 0x1 — отключить автозапуск на приводах неизвестных типов 0x4 — отключить автозапуск сьемных устройств наш товарищ, его и отключаем!!!! 0x8 — отключить автозапуск НЕсьемных устройств 0x10 — отключить автозапуск сетевых дисков 0x20 — отключить автозапуск CD-приводов 0x40 — отключить автозапуск RAM-дисков 0x80 — отключить автозапуск на приводах неизвестных типов 0xFF — отключить автозапуск вообще всех дисков. Значения могут комбинироваться суммированием их числовых значений. Значения по умолчанию: 0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков) 0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков) в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто поправьте его. И второй шаг скачиваем Флеш Гвард отсюда http://www.davisr.com/cgi-bin/content/downloads.htm И всё в принципе можно спать спокойно, как студентам, так и преподавателям, равно как и всем пользователем флешек... Добавлено спустя 3 минуты 9 секунд: Да для особо занятых, вот регфайл отключения автозапуска флеши Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer] "NoDriveTypeAutoRun"=dword:000000ff Сохраняем в блокноте с расширением .reg и последующий запуск! Спасибо сказали: |
|
|
1.2.2009, 14:28
Сообщение
#11
|
|
Активный писатель Группа: Продвинутые пользователи Сообщений: 3376 Регистрация: 5.8.2006 Из: Ужгород, Украина Пользователь №: 1891 Спасибо сказали: 1040 раз Вставить ник Частич. цитирование |
(Frocus) Заразила эта гадость ноутбук родственника. И что самое интересное, я только недавно переустановил ему систему. Диск Д: не открывается, выскакивает меню "Открыть с...". Надо будет к нему заглянуть и попробовать вылечить от вируса.
Сегодня вышел на работу чтобы побороться с вирусами, уже вторую неделю нагружен был сервер и вся сеть. Боролся разными способами, но пришел к выводу, что это бесполезно. Антивирусы могли только заблокировать процессы, и никак не могли удалить эту дрянь. Сейчас в сети распространяется модифицированный autorun.inf, так как летом его можно было прибить любой антивируской. Единственный способ который я применил сегодня - это: 1) Запуск ФарМенеджера, перекидка из зараженного диска на незараженный. 2) предварительно удаление всех левых файлов 3) Format <drive>: /q (Moshkin) Загружайте http://www.kaspersky.ru/trials
Каспера нужно запускать порой по 5 раз чтобы отчиститься от гадости. И то проблему Фрокуса он не решает! Проверил лично! По состоянию на сегодня. |
|
|
Гость_Георгий_* |
1.2.2009, 23:17
Сообщение
#12
|
Гости Частич. цитирование |
Др.Вэб- 5,0 -решает в безопасном режиме все вопросы.
Если не удаёться инсталить ( это крайне редкое явление) - то есть Др.веб на Линуксе, -загрузочный диск., или курелт. Пользуюсь уже не первый год- не нарадуюсь, с выходом пятой версии -вообще бомба! Рекомендую всем! :wink: http://www.drweb.com/?lng=ru |
|
|
2.2.2009, 0:34
Сообщение
#13
|
|
Активный писатель Группа: Продвинутые пользователи Сообщений: 3376 Регистрация: 5.8.2006 Из: Ужгород, Украина Пользователь №: 1891 Спасибо сказали: 1040 раз Вставить ник Частич. цитирование |
Георгий
CureIt пользуюсь давно, модифицированную версию сего вируса прибить смог, только все равно диск пришлось форматировать. Сейчас на работе 8 машин нужно переустанавливать, вчера переоснастил сервер, а сегодня начал с юзерами работать. И это только первая подсеть, а есть их еще 2, в первой подсети раньше проблем небыло, но когда все подсети законнектили бесконтрольно пошли вирусы. Оснасил сервер еще одной сетевой картой и создал мост, на него нацепил Керио, теперь порты накрыты так, что бит не пролезет. :wink: А все из-за того, что начальство решило поспешить с установкой сети без проведения мероприятий по защите подсетей и серверов. Долбаюсь уже 9 дней... :? В арсенале: НОД, ДРВЕБ, КАСПЕРСКИЙ |
|
|
Гость_Moshkin_* |
2.2.2009, 11:48
Сообщение
#14
|
Гости Частич. цитирование |
У Касперского есть форум , там много чего есть почитать по борьбе с вирусами , много советов .
http://forum.kaspersky.com/index.php?showforum=18 У Касперского есть тоже интересная штука - Kaspersky Emergency CD/DVD 2008 . Это весьма интересное приложение для быстрого сканирования и очистки компьютера от вирусов. Иногда запущеный трой весьма трудно выключить из процессов, так как он маскируется под системный фаил. Этот загрузочный диск поможет, не используя установленную ОС (а следовательно автозагрузку и все загружаемые процессы) избавиться от вирусов. |
|
|
2.2.2009, 12:49
Сообщение
#15
|
|
Местный Группа: Пользователи Сообщений: 238 Регистрация: 22.3.2006 Из: MD Пользователь №: 1250 Спасибо сказали: 16 раз Вставить ник Частич. цитирование |
http://www.USBVirus.com sau NOD32:)
-------------------- MXIII-G | Xtreamer mXV Pro
|
|
|
3.2.2009, 11:25
Сообщение
#16
|
|
Местный Группа: Пользователи Сообщений: 142 Регистрация: 23.9.2007 Из: Кишинёв Пользователь №: 4088 Спасибо сказали: 59 раз Вставить ник Частич. цитирование |
Лучшая борьба с вирусами - восстановление системной партиции из имеджа. На пять минут делов.
Даже если в реестре не отключен авторан (что я считаю ОБЬЯЗАТЕЛНЫМ), зажатый SHIFT во время вставки диска не даёт автозапуска. |
|
|
Гость_Gera_* |
3.2.2009, 14:43
Сообщение
#17
|
Гости Частич. цитирование |
rebuss
Спору нет такая штука восстановления состояния прекрасная вещь, но только в том случае, если кака не сидит в главной разметочной таблице, МБР, если кака там, то тут уже нужны другие методы борьбы, Александр писал об этом, все просто, fdisk/mbr или утилитой низкоуровневого форматирования жесткого диска.... |
|
|
Гость_Moshkin_* |
3.2.2009, 15:05
Сообщение
#18
|
Гости Частич. цитирование |
Угу , вот есть такое дело ...
...Народ помогите никогда такого не было .Попал ко мне троян какойто навороченый,отфарматировал весь хард а троян остался.Что делать ?..
http://live.cnews.ru/forum/index.php?showt...=49143&st=0 Файловые и загрузочные вирусы http://www.viruslist.com/ru/viruses/encycl...apter=156771301 Для сведения.
Документировано и везде описано : cамый первый сектор жесткого диска содержит Главную Корневую Запись и таблицу разделов, c которой работает Fdisk. Недокументировано но хорошо известно вирусописателям : между ГКЗ и таблицей разделов находится неиспользуемая область, в которой большинство загрузочных вирусов размещают свою голову. Это пространство недоступно никакими срествами DOS/WIN9X, кроме Fdisk/mbr. При пересоздании партиций и форматировании эта область не обновляется ! Кстати, на этом основан интересный глюк - если переформатировать винт, зараженный boot-вирусом, иногда после этого он становится незагрузочным. Происходит сие от того, что тело вируса затирается, а голова остается целой. Спасает только low-level или fdisk/mbr. Что касается Win2K, то он использует эту область для размещения GUID диска. Fdisk/mbr затирает GUID, но он восстанавливается при первой же перезагрузке. |
|
|
Гость_Георгий_* |
4.2.2009, 8:49
Сообщение
#19
|
Гости Частич. цитирование |
[quote=Moshkin]
Кстати, на этом основан интересный глюк - если переформатировать винт, зараженный boot-вирусом, иногда после этого он становится незагрузочным. Происходит сие от того, что тело вируса затирается, а голова остается целой. Спасает только low-level или fdisk/mbr. Что касается Win2K, то он использует эту область для размещения GUID диска. Fdisk/mbr затирает GUID, но он восстанавливается при первой же перезагрузке.[/quote][/quote] Во! Мой случай! Как раз в тему. Принесли знакомые несколько дней назад ноут, -вирусов там всяких немеряно было... Сколько не сканил ДрВебом всякими примочками ,..- вирусы пропали , но смотрю ноут криво работает., дай думаю винду переставлю:- переставил- форматнул и торба.... Винт не распознаёться.... (его ещё кто то на пароль поставил)... Вот теперь отдал ребятам...-может поднимут.... |
|
|
Гость_Gera_* |
4.2.2009, 11:03
Сообщение
#20
|
Гости Частич. цитирование |
Георгий
А что пароль на БИОС поставили? А может сразу надо было форматировать по полной с МБР? Просто часто когда уже в МБР сидит кака, то и диск не распознается, вернее, при попытке форматнуть в нормальном режиме, на диск пароль кака савит ! |
|
|
Текстовая версия | Сейчас: 19.4.2024, 14:36 |