 Автор |
Сообщение |
Aprelle
Гуру
 |
|
Vladnsk
не надо флуда
1)скачал скрипт
2)запустил
3)сказал спасибо
 |
|
 |
|
 |
Genbor
Крокодил Гена
 Предупреждений : 1
|
|
ProFfeSsoRr
| ProFfeSsoRr писал(а): |
| Windows Registry Editor Version 5.00 |
хм. Я прописываю REGEDIT4. Это принципиально? |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
Aprelle
Дал своей "зараженной" подружке этот скрипт. У нее от него компутер сразу в перегруз идет.
В чем косяк? |
|
| |
|
|
JASJAS
Гуру
 |
|
По-моему, папка runauto к вирусам отношения не имеет. Покупал как-то несколько флешек, на всех была эта папка и какая-то фирменная программка(производителя не помню, к сожалению,год прошел).
А autorun, конечно, вылавливается легко. Любой коммандер плюс отключенный автозапуск. У меня 20 бухгалтеров женского полу, возраст от 20 до 50, после легкого обучения сами справляются. Без скриптов. |
|
| |
|
|
Zidane
Продвинутый форумчанин
 |
|
| Удалять папку не получается из-за того, что там стоят "..", я с этим справился используя winhex, в котором исправил имя папки, прямиком в файловой системе, после этого смог спокойно удалить папку. |
|
| |
|
|
Smile
Форумчанин
|
|
| Aprelle писал(а): |
| Кстати, far "нормальную" папку runauto.. удалить не может, так как она скрытая, системная и не пустая, так что удалить ее можно только методом, который в данном скрипте используется |
кстати помойму может..только команду удаления вроде как прописывать надо, предварительно уничтожив сам вирус |
|
| |
|
|
blackschool
Продвинутый форумчанин
 |
|
удаляется так: (внимание, опечаток нет)
rmdir runauto.../
либо
rmdir runaut~1 /S |
|
| |
|
|
Mayskii
Форумчанин
 |
|
Хм интересно, тысячу раз этот runauto и autorun.inf видел, который фиг удалишь. У меня на флэшке такой живёт...
Спасибо за советы.
(Вставляет флэшку)"Ну всё п...ц тебе, молись" |
|
| |
|
|
xATM
Продвинутый форумчанин
 |
|
Встречался с несколькими разновидностями этого вируса, самые первые версии НОД32 убивает сразу, но есть вариация этого вируса использующая толи бреш в системе толи просто НОД32 с новыми базами его не чувствует. К симтомам в Windows\system32\ появляется файл amvo.exe и amvosys.dll, запускается 2-3 непонятных процесса, вирус закрывает возможность показывать скрытые файлы и папки. Но папка runauto не появляется. База НОД32 пропустившая этот вирус 3096, на более поздних базах желания запускать и тестить этот вирус нет 
PS: отправил по требованию НОД32 dll-ку на исследование в Eset думаю скоро можно и его не опасаться. |
|
| |
|
|
Richard Ferlow
Гуру
 Предупреждений : 2
|
|
xATM
Несколько раз встречался, как у клиентов с нодом просто переставал из-за нода комп грузиться - драйвер коцался и хана - BSOD =) |
|
| |
|
|
nethello
Гуру
 |
|
| А я удаляю всё неудаляемое при помощи проги unlocker1.8.5 |
|
| |
|
|
alexcom
Медвед-шатун
 Предупреждений : 2
|
|
| Richard Ferlow писал(а): |
| из-за нода комп грузиться - драйвер коцался и хана - BSOD =) |
NOD - BSOD, чувствуеш аналогию?  |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
| nethello писал(а): |
| А я удаляю всё неудаляемое при помощи проги unlocker1.8.5 |
 кто о чем, а nethello об анлокере...
--
анлокер тут не поможет |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
alexcom
)) |
|
| |
|
|
nethello
Гуру
|
|
| Genbor писал(а): |
анлокер тут не поможет
|
Верю, но мне помогал (на флэшках) |
|
| |
|
|
Санька
Форумчанин
 |
|
1) Анлокер тут правда не поможет, даже версия 1.8.6))
2) К Amvo.exe runauto.. отношения, как правило, не имеет. Хоть они оба и создают в корнях дисков файл Autorun.inf, это 2 разных вируса, которые сами по себе имеют кучу разнообразных модификаций. Хотя, не исключаю, что кто-то их и скрестить мог.))
3) а я как-то, придя от очередного клиента со второй работы, воткнул свою флешку в сервак на первой работе... и узнал, что такое runauto..
А ведь на том компе, куда я втыкал флеху, стоял так многими любимый NOD32)) ...всегда к нему предвзято относился, а после этого и подавно...
4) runauto.. создает службу "Kerberos Key Distribution Centers". можете ее отключить перед лечением на всякий случай.
5) Лекарство от runauto.. давно придумали наши китайские братья.
Оно в архиве, который я нашел после вышеизложенных событий на каком-то уже нашем форуме. там же инструкция на всякий случай, доведенная мной до удобоваримости, ибо родной вообще внутри не было, описалово шло в соседнем посте. Архив тут: http://file.sibnet.ru/get/file/?id=279828
6) я лечил вирусь сначала отключив службу "Kerberos Key Distribution Centers", потом переехал систему AVZ'шкой и еще до кучи CureIT!. Бяку удалил, но папки runauto.. остались, пока не нашел это лекарство, что в архиве и не поудалял их. |
|
| |
|
|
Dimanist
Эксперт
 |
|
| ненужен никакой анлокер, папки ранавто прекрасно удаляются доснавигатором, правда мало кто помнит что это такое |
|
| |
|
|
AlexRock
Гуру
 |
|
| Dimanist писал(а): |
| ненужен никакой анлокер, папки ранавто прекрасно удаляются доснавигатором |
| Genbor писал(а): |
| кто о чем |
Похоже, этот "вирус" и подобные ему уже "поднимался" на этом форуме много раз. Сам парился с этим раньше. И напишите, наконец, как корректно отключить автозапуск? А то у меня где только не отключен, а всё равно окно "Что делать?" всплывает, когда чего-нибудь вставляешь в комп. Правда, если там есть автозамускаемая программа, то она не запускается, а вот окно с выбором предлагаемого действия запускается. Кстати, у меня нету такой ветки
| Wadia писал(а): |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5 |
смотрите:
 |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
AlexRock
Пуск - Выполнить - gpedit.msc
Конфигурация компьютера - Административные шаблоны - Система - "Отключить автозапуск"
Жмешь свойства и ставишь крыжик "включить"
Нет ничего проще. |
|
| |
|
|
Aprelle
Гуру
|
|
Genbor
>Дал своей "зараженной" подружке этот скрипт. У нее от него компутер сразу в перегруз идет.
В чем косяк?
Значит поздно дал. Не может запуститься виндовый обработчик скриптов. Короче, этот вирус перехватывает запуск исполняемых файлов, и многие полезные команды типа досовских Dir, rmdir и т.п. перестают работать, поскольку их вызовы перехватываются вирусом. Чтобы от этого избавиться нужно еще дополнительные ветки в реестре править, я с этим еще до конца не разобрался, как разберусь -- переделаю програмку. Мне самому это актуально, точнее я на компах и ноутах друзей за последний месяц увидел уже туеву хучу разных вирусов, распространяющихся через autorun.inf
На конкретно моих машинах все пучком, пользуюсь NOD32 |
|
| |
|
|
|
