 Автор |
Сообщение |
Genbor
Крокодил Гена
 Предупреждений : 1
|
|
Это я понял потому, что вижу его практически на каждом втором компьютере и флешке моих товарищей/товарок...
У меня возникло два связанных с ним вопроса.
Первый. Все-таки есть такая программа, которая его убивает полностью? Я тут прогнался по старым темам - ни один предложенный антивирусник не справился. Удается его лечить только руками.
А как понимаете мне не в кайф ездить к каждому и лечить (сплошные чайники меня окружают...)
И второй вопрос. Мне была дана в кратковременное пользование флешка, зараженная данным вирусом. Поскольку я уже давно отключил автозапуск у себя, у меня он не установился.
Удалил я файлик inf, а вот с папкой runauto никак не могу справиться...
Он не скопировался никуда в мои диски, никакие процессы не запустил.
А папку удалить не могу... Она вообще какая-то странная - вот такое у нее меню контекстное:
Как догадываетесь - позицию "удалить" я нажимал - никакой реакции.
Че с ней делать-то?
Вариант формата не предлагать. Мне надо знать как его убить более "мирным" способом. На такие брутальные меры не всегда есть время. |
|
 |
|
 |
Wadia
Гуру
 |
|
Насчет
| Genbor писал(а): |
| отключил автозапуск |
верно говоришь!
Корректное отключение автозапуска:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5
Очистка "мусора" в реестре после этой и аналогичных программ:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices]
[HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices]
К вирусам эта дрянь отношения не имеет, просто гадит по-маленькому.
Что касается удаление папки без форматирования, удалось только один раз, и то из под виртуальной машины. Темой этой особо не занимался, поэтому вроде бы добавить нечего.Последний раз редактировалось: Wadia (Вт 1-04-08 : 23-00), всего редактировалось 1 раз |
|
| |
|
|
DrJohn
Продвинутый форумчанин
 |
|
| А я через Far папку удалил |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
| Wadia писал(а): |
Корректное отключение автозапуска:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5 |
А я через настройки групповой политики отключал. Так лучшее что ли?
| Wadia писал(а): |
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices]
[HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices]
|
| DrJohn писал(а): |
| А я через Far папку удалил |
ха! а ведь точно замочил эту папку!  |
|
| |
|
|
Wadia
Гуру
|
|
| Genbor писал(а): |
| Wadia писал(а): |
Корректное отключение автозапуска:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5 |
А я через настройки групповой политики отключал. Так лучшее что ли? |
Так быстрее... Плюс где-то 8 вариантов... А вообще один и тот же х.., только в другой руке.
| Genbor писал(а): |
| DrJohn писал(а): |
| А я через Far папку удалил |
ха! а ведь точно замочил эту папку! |
Приму на вооружение! Последний раз редактировалось: Wadia (Вт 1-04-08 : 23-20), всего редактировалось 1 раз |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
| Wadia писал(а): |
| Так быстрее... |
Ну как сказать  Тут ведь еще и путь помнить надо до этого ключа
| Wadia писал(а): |
| А вообще один и тот же х.., только в другой руке. |
Ясно
А вот у меня тогда вопрос по ходу. Как сделать файлик с расширением .reg - в котором были бы заданы необходимые изменения в реестре? Или только добавление ключей таким макаром возможно? |
|
| |
|
|
Aprelle
Гуру
 |
|
>К вирусам эта дрянь отношения не имеет, просто гадит по-маленькому.
Вроде как есть несколько модификаций этого вируса. И сперва действительно ничего не происходит, а вот со временем...
Просто лечил ноуты и компы знакомым, кое-какая статистика
Перестают работать многие exe-программы, перестает работать windows scripting, перестают работать стандартные dos-команды типа path, cmd и т.д. Становится невозможна инсталляция новых программ, Nero вроде запускался, но при попытках записи или при открытии некоторых папок -- вис. Ну и т.д.
>ха! а ведь точно замочил эту папку!
Опа. Расскажи как. У меня Far эти папки не удаляет. Как-то по-хитрому удалял??? |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
| Aprelle писал(а): |
| Опа. Расскажи как. У меня Far эти папки не удаляет. Как-то по-хитрому удалял??? |
вообще тупо. Кнопка "делит" и все
Ну я говорю - у меня простой случай сейчас был. Этот вирус ничего не смог запустить и скопировать. |
|
| |
|
|
Wadia
Гуру
|
|
Genbor
Ну вот ты сам к этому и пришел . Быстрее, потому что щелчок по файлу/файлам реестра и система настроена. Много времени уходит на написание, зато потом временные затраты окупаются.
| Genbor писал(а): |
| Как сделать файлик с расширением .reg |
Например копируешь красный текст (выше), вставляешь в текстовый редактор, сохраняешь с расширением .reg, щелкаешь по нему и... готово. Ты это имел ввиду? |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
| Wadia писал(а): |
| Например копируешь красный текст (выше), вставляешь в текстовый редактор, сохраняешь с расширением .reg, щелкаешь по нему и... готово. Ты это имел ввиду? |
Так просто? Да, про это говорил.
А если что-то удалить надо? То тогда таким образом, например?
| Wadia писал(а): |
| [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] |
| Genbor писал(а): |
| Все-таки есть такая программа, которая его убивает полностью? |
Вопрос не закрыт. |
|
| |
|
|
Wadia
Гуру
|
|
| Genbor писал(а): |
А если что-то удалить надо? То тогда таким образом, например?
| Wadia писал(а): |
| [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] |
|
Совершенно верно! Если раздел, ставишь минус после открывающей скобки (очень внимательно, чтобы не грохнуть лишнего), а если какие-либо значения, то минус после знака "=" |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
Wadia
Спасибо  |
|
| |
|
|
Aprelle
Гуру
|
|
>Все-таки есть такая программа, которая его убивает полностью?
Есть!
Подожди, сейчас я ее напишу... |
|
| |
|
|
Wadia
Гуру
|
|
| |
|
|
Aprelle
Гуру
|
|
В общем, сам вирус состоит из нескольких частей:
1)файл автозапуска autorun.inf в корнях диска
2)папка runauto.. в которой живет вирус
3)не могу быть уверен, но может еще одна активная часть прописывается в папку windows под разными именами (а может это были другие не связанные с runauto вирусы на тех компах, что мне приходилось лечить), все антивирусы эту часть гасят, так что не будем на ней задерживаться.
Короче, мой скрипт расправляется с 1) и 2) пунктом на всех подцепленных жестких дисках, флэшках, плеерах, фотоаппаратах и т.д.
Просто запустить.
Иногда не запускается -- сигнализирует о том что винде кирдык.
действия скрипта к системе абсолютно не деструктивны,
абсолютно безопасны, размер 400байт
скачать можно отсюда
http://orient.gorodok.net/utils/remove_runauto.vbs
для тех у кого злые фаерволы, качаем архив
http://orient.gorodok.net/utils/remove_runauto.rar
Скачиваем и запускаем. Видимый результат работы -- на мгновение (иногда вообще незаметно) появляются и исчезают куча черных окошек. Могут каскадом, а могут друг поверх друга, так что кажется, что окошко только одно. |
|
| |
|
|
Aprelle
Гуру
|
|
| Кстати, far "нормальную" папку runauto.. удалить не может, так как она скрытая, системная и не пустая, так что удалить ее можно только методом, который в данном скрипте используется |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
| Aprelle писал(а): |
| Короче, мой скрипт расправляется с 1) и 2) пунктом на всех подцепленных жестких дисках, флэшках, плеерах, фотоаппаратах и т.д. |
Гуд. У меня осталась еще одна "жертва" этого вируса, до которой никак не доберусь. Кину ей этот скрипт. Оценим
| Aprelle писал(а): |
| для тех у кого злые фаерволы |
улыбнуло |
|
| |
|
|
Aprelle
Гуру
|
|
>для тех у кого злые фаерволы
ну, например, zonealarm даже zip-архивы не пропускает, а уж скрипты так вообще много кто (и, кстати, правильно) считает опасным ПО, которое пользователь скачать и сохранить не сможет (а вот это как раз неправильно) |
|
| |
|
|
ProFfeSsoRr
Гуру
 |
|
| Насчет файлика реестра - там еще первой строчкой должно быть Windows Registry Editor Version 5.00 |
|
| |
|
|
Vladnsk
Форумчанин
|
|
| Я правильно понял что вы говорите про вирус который не пускает на логические диски двойным щелчком? Если да то у меня эта фигня ни какими скриптами не исправляется(( Уже привык в вручную D:/ и F:/ вводить))) |
|
| |
|
|
|
