Понедельник, 2024 Декабрь 23, 10:04:32
5mw.ru
Приветствую Вас Гость | RSS
Главная Каталог статей Регистрация Вход
Меню сайта
заходите аналог или тут

Категории каталога
Мои статьи [842]
Уникальный материал
Секреты в контакте [23]
Секреты в контакте
Программы для контакта [15]
Программы для контакта
Секс [494]
sex

Мини-чат

Наш опрос
СЛОВО ГОНДУРАС, ЭТО:
Всего ответов: 58

Мы :)
[Добавь сайт](VIP)
Первая война в Чечне. Форум ветеранов боевых действий в Чечне

Это интересно

Наши баннеры

 

Главная » Статьи » Мои статьи

Как удалить вирус «AUTORUN»? ЧАСТЬ II

2-5. Для нормальной работы после удаления вируса нужно открыть редактор реестра Windows: «ПУСК» -> «Выполнить…» -> regedit -> «OK».

2-6. Найдите раздел:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)] и удалить в нем подраздел Shell. Можно просто удалить раздел MountPoints2, но тогда удалится информация обо всех носителях.

ТРЕТИЙ СПОСОБ.

Для реализации третьего способа найду другой вирус. Пусть это будет «strongkey.exe» (Trojan.Win32.Buzus.asqt).

Опять Касперский среагировал, поработать не дает smile Отключаем всю защиту, форматируем флешку, отключаем интернет, устанавливаем вирус :)

Информация с сайта securelist.com

« Trojan.Win32.Buzus.asqt»

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Содержимое файла «autorun.inf»:

«
[autorun]
shellexecute=strongkey.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey.exe
shell=default
»

Вставляем флешку и удаляем папку «virus» с рабочего стола.

Открываем флешку, ищем (были скрытые, но их можно сделать видимыми):

 

Попробуем удалить их вручную – безрезультатно (снова появились), но это и понятно, так как посмотрите на рисунок ниже. Открываем «msconfig», кто тут у нас?

 

Я знаю, что у меня не было никакого «services.exe», поэтому я стал его подозревать. Вы можете попробовать найти в интернете, что это за элемент, у Вас в автозагрузке. Я нашел, были подобные проблемы у людей.

Далее последовала, знакомая нам уже модификация меню, а вот иконка сохранилась:

 

Фаервол показывает очень активную сетевую активность :)

 

Ладно, я добился чего хотел, вирус есть и работает, Вы это тоже увидели. Теперь я хочу убрать этот вирус с глаз долой :) Так всегда, летом ждешь зиму, зимой мечтаешь о лете.

Только предположим, что с помощью Проводника Windows, я не смог увидеть злостный вирус (просто потому, что такие встречаются очень часто и мне нужно показать Вам, как их можно обнаружить), как быть в этом случае?

3-1. Сейчас нам понадобится программа Total Commander, я работаю с ней, Вы можете воспользоваться любым удобным для Вас. Сначала удалим файлы вируса, для этого открываем программу и на панели инструментов находим кнопку, которая позволяет включать/отключать просмотр скрытых элементов, нажимаем ее. Т.е., если проводник не позволяет нам «прозреть», то «TC» нам в этом точно поможет.

Врезка для тех, у кого нет файлового менеджера:

Если у Вас нет файлового менеджера, тогда придется искать скрытые файлы вируса посредством поиска, через проводник Windows.

1. Откройте «ПУСК» -> «Поиск» (или сверните все программы, чтобы увидеть рабочий стол и нажмите клавишу <F3>).

2. В открывшемся окне «Результаты поиска», в левой части снизу, щелкаем по пункту «Дополнительные параметры» и ставим флажок напротив «Поиск в скрытых файлах и папках». В поле «Часть имени файла или…» вводим «autorun.inf».

3. Ждем результатов поиска. По окончании поиска открываем «autorun.inf» и, руководствуясь его содержимым, находим файл вируса. Вас будут интересовать только те «autorun.inf», которые находятся в корне диска («C», «D») или флешки.

Найти файл вируса можно точно также, с помощью стандартного поиска.

3-2. Теперь, когда мы увидели на флешке (м.б. на дисках «С», «D») скрытый файл «autorun.inf» откроем его, для этого нажмем кнопку <F3> или <F4> (если нашли с помощью поиска, тогда открывайте через «Блокнот»). Мы видим следующее:

«
[autorun]
shellexecute=strongkey.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey.exe
shell=default
»

То есть данный файл сообщает нам, что истинным корнем зла является файл «strongkey.exe», вот кто наш вирус. Теперь без колебаний можно уничтожить и «strongkey.exe», и «autorun.inf» его запускающий.

Чаще всего, при удалении этих двух файлов, они через какое-то время снова восстановятся. Это говорит о том, что вирус работает и следит за состоянием диска. В таком случае попробуем завершить все «подозрительные» процессы в оперативной памяти компьютера.

3-3. Итак, «убиваем» запущенный процесс. Одновременно нажимаем <Ctrl+Alt+Del> на клавиатуре, тем самым открываем «Диспетчер задач» Windows. Переходим на вкладку «Процессы». Начинаем отключение для начала с процессов, которые запускаются от Вашего имени. Об этом сообщит колонка под названием «Имя пользователя». Если значение в ней не равно «SYSTEM», значит данный процесс работает от Вашего имени.

Чтобы отключить «подозрительный» процесс, нажимаем кнопку в нижней части окна «Завершить процесс». Если вирусные файлы перестали восстанавливаться, значит, искомый процесс был отключен, вирус выгружен из памяти и не сможет следить за состоянием дисков и флешек. Можно «грохать» файлы.

На данном этапе я не обнаружил подозрительных процессов.

Что делать, если я уже знаю, что мне надо удалить и где это находится, но не могу это сделать, по причине восстановления файлов, которые я удалил, а просмотр запущенных процессов не увенчался успехом?

3-4. Следующим этапом нашей борьбы с вирусом станет работа с автозагрузкой. Если ваша операционная система расположена на диске «С», то можно открыть следующую утилиту «C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe». Для диска «D» и прочих путь соответственно изменится, ровным счетом, на первую букву.

Есть еще один вариант, через уже знакомую нам командную строку Windows. Нажимаем «ПУСК» -> «Выполнить…» (или комбинация клавиш <Win+R>, последовательно, т.е. сначала <Win> и не отпуская последней <R>. Клавиша <Win> чаще всего находится между <Ctrl> и <Alt> и выглядит, как изображение окна).

До командной строки можно добраться и так: <Ctrl+Alt+Del> (зажмите первые две клавиши и не отпуская их – последнюю), этим самым Вы запустите «Диспетчер задач Windows».

Далее, пункт меню «Файл» -> «Новая задача (Выполнить…)». Результат – командная строка Windows.

Какой бы вариант запуска командной строки Вы не избрали, в результате на экране должно появиться окно «Запуск программы».

Окно «Запуск программы» – это и есть командная строка Windows. Напишем в поле «Открыть:» команду «msconfig». Сейчас у нас в этом поле отображена команда, которую я набирал последней («regedit»). Наберем команду, которая нужна нам сейчас («msconfig») и нажмем кнопку «ОК». Появилось окно «Настройка системы», Вы видите его на рисунке ниже.

Нас будет интересовать закладка «Автозагрузка». Переходим на вкладку «Автозагрузка». Щелкаем по ней левой кнопкой мыши, и перед нами появится список программ, которые загружаются вместе с запуском Windows.

Если в поле «Элемент автозагрузки» установлена галочка – данная программа загружается в момент загрузки операционной системы (автоматически, при каждой загрузке Windows).

Автозагрузка – самое частое «местожительства» большинства вирусов, так как их запуск производится незаметно для пользователя и вместе с запуском ОС, что очень удобно.

Что же мы видим в окне «Настройка системы»: каждый элемент (программа или сервис) автозагрузки включается и отключается (нажатие левой кнопки мыши по квадрату) – если стоит галочка, как отмечалось выше, то элемент загружается, если нет, то соответственно не грузится.

Смотрим внимательно на название элемента («Элемент автозагрузки») и местоположение запускаемого файла («Команда»).

3-5. Отключаем все подозрительные элементы автозагрузки (снимаем галочки).

Отключайте все подозрительные элементы автозапуска безбоязненно, в случае если Вы отключаете какой-то важный элемент системы в автозагрузке, всегда есть возможность включить его обратно.

Не забываем, после выполненных действий нажать кнопку «Применить».

Затем нажмите кнопку «Закрыть», а на вопрос …

… ответьте «Перезагрузка».

После того, как Windows XP загрузится, появится окно с информацией о том, что был изменен способ запуска Windows. Поставьте галочку в свободном квадратике (он там один, не промахнетесь) и нажмите кнопку «ОК» (если не поставить галочку и закрыть окно, как есть, то это окно Вы будет лицезреть каждый раз после перезагрузки компьютера, до тех пор, пока не поставите назойливую галочку).

3-6. После перезагрузки находите на локальном диске уже известные Вам вирусные файлы и удаляете их.

Внимание! Не открывайте диски с помощью ярлыка «Мой компьютер», а делайте это с помощью Проводника, который запускается комбинацией клавиш <Win+E>.

Если вирус на флешке, тогда надо действовать через пункт 3-7.

3-7. После того как Вы отключили подозрительный элемент автозагрузки и перезагрузили компьютер, не торопитесь вставлять флешку для удаления с нее вируса, т.к. вирус у Вас, скорее всего, снова будет загружен в память. Т.о. предварительно нужно отключить автозагрузку для флешек. Делается это так:

3-7-1. Самый простой вариант, скачайте программы Autorun Guard v1.0 beta 1 и/или Autorun Guard 1.1 (в добавок, программа отслеживает появление нового съемного диска и проверяет его на наличие «autorun.inf»), которые отключат автозапуск за Вас, Вам нужно только убрать галочку или выбрать соответствующий пункт меню. Описание второй программы можно прочитать здесь. 

www.siliks.org/STUFF/autorunguard/autorunguard.htm

3-7-2. Через групповую политику. «ПУСК» -> «Выполнить…» -> в поле «Открыть:» набрать «gpedit.msc».

В окне «Групповая политика»: 
Конфигурация компьютера -> Административные шаблоны -> Система -> Отключить автозапуск

Правой кнопкой мыши -> Свойства -> Всех дисководах -> ВКЛЮЧЕНА -> Применить -> Перезагрузить компьютер.

3-7-3. Автозагрузка флешки также снимается и в реестре. Вручную это делается так: 
Нажимаем <Win>+<R> - пишем «regedit» ищем нижеперечисленное и ставим значение что в ( ).

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=( 0)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
"NoDriveTypeAutoRun"=(FF)


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=(FF)

Также перезагружаем компьютер.

Теперь автозагрузка на флешках не работает и вирусы не смогут распространиться без Вашей помощи, а помогать Вы им не станете.

3-8. После перезагрузки компьютера вставляете флешку и удаляете на ней вирус.

Внимание! Не открывайте диски с помощью ярлыка «Мой компьютер», а делайте это с помощью Проводника, который запускается комбинацией клавиш <Win+E>.

Я своего удалил, клонов не появилось.

Запускаю фаервол, запускаю Касперского и все проверяю.

Вот Касперский «нарыл» кусок от нашего вируса: «c:\windows\system32\drivers\sysdrv32.sys».

Дополнительно:

Рекомендую воспользоваться программой Autoruns (Архив WinRAR: 473 КБ (485 282 байт))
Язык: Английский.

Программа настройки системы (msconfig.exe) позволяет просмотреть и отключить некоторые файлы и службы, но есть еще большое количество элементов, которые она игнорирует: панели инструментов, объекты модулей поддержки обозревателя, расширения оболочки Windows Explorer. Кроме того, msconfig дает не слишком обширную информацию об объектах, загружаемых автоматически. Гораздо более удобным способом просмотра и управления ими является программа Autoruns от Sysinternals.

Программа Autoruns – это бесплатная служебная программа, обнаруживающая все элементы списка автозагрузки компьютера под управлением Windows. Она позволяет увидеть все автоматически загружаемые элементы, скрывающиеся в папках автозагрузки, в реестре и где бы то ни было еще.

Autoruns позволяет быстро – одним кликом – перейти в то место, откуда запускается интересующее приложение/сервис. Наконец, есть у этой программы и такая замечательная опция, как получение дополнительной (кроме той, что показывается в окне программы) информации о приложении или сервисе, для чего достаточно выделить интересующее приложение и нажать <Ctrl+G> (или выбрать в меню «Entry –> Google). Autoruns сформирует запрос и отправит его на поисковую систему Google; результаты запроса будут показаны в веб-браузере. Работает без инсталляции во всех версиях Windows, включая 64-битные.

По работе с программой «Autoruns» читайте следующую статью «Обзор утилиты Autoruns от Sysinternals.com».

Кроме того Вы можете воспользоваться еще одной бесплатной программой для борьбы с «Autorun»:

1. «USB_Tool» (версия 1.3)

USB_Tool – бесплатная, но мощная программа для борьбы с вирусами и троянами на флешках, картах памяти и жестких дисках, которые заражают ПК через autorun.inf.

Функции USB_Tool: 
Моментальная блокировка скрытого автозапуска
Возможность выбора дисков для сканирования
Три режима работы – ручной и автоматический + режим «Иммунизация», при котором USB_Tool поможет ОС предотвратить проникновение вируса/трояна в систему
Удаление ошибочных AUTORUN.INF
Автоматическое удаление из процессов и автозапуска уже запущенного вируса
Функция скрытой работы USB_Tool
Ведение логов
Автоматическое создание архивных копий удаленных файлов
Управление USB_Tool через системный трей
Функция автоматической иммунизации
Режим карантин

Язык интерфейса: Русский
Операционная система: Windows XP, Windows Vista

Версию 1.3 Вы можете скачать у нас (672 КБ) или проверить новую на сайте разработчика. www.soft01.moy.su/

Почитайте дополнительные статьи в интернете:

1. Удаление вируса autorun.inf forum.k0d.cc/showthread.php?t=374
2. Лечение вируса Autorun.inf attachment://2/attachment2.htm
3. AUTOSTOP – скрипт для защиты флешки от autorun-вирусов attachment://41/attachment41.htm
4. Защита флешки от записи новых файлов habrahabr.ru/blogs/infosecurity/55524/

Еще раз напомню, что для решения проблем рассказанных в этой статье, Вам поможет прочтение статей «Что делать без антивируса, когда он так необходим?» и «Как избавиться от вирусов с помощью одноразовых антивирусов».

Думаю, что на этом пора поставить точку, мыслей много, т.к. много различных вариантов развития событий. Одна мысль цепляется за другую, ее перебивает третья, вспоминаешь, что был такой случай, и такой и…, и чем дальше, тем сильнее понимаешь, что описать все, что возможно в борьбе с вирусами, просто не реально. Как минимум нужно будет книгу писать, а не статью.

Тем не менее все сводится к тому, что чтобы постараться победить вирус, Вам нужно уметь работать с командной строкой, автозагрузкой, знать список основных служб, которые должны быть запущены на Вашем компьютере и т.д. Научитесь пользоваться файловыми менеджерами, программой «Autoruns» и пр. Дальше все будет зависеть от Вас.

И напоследок, как бы там ни было, но более менее полноценную защиту Вашего компьютера от назойливых вирусов сможет обеспечить только антивирус. А еще лучше антивирус и фаервол.

«Чистых» Вам флешек! http://www.pcservice24.ru/view_articles.php?id=27

Категория: Мои статьи | Добавил: admin (2011 Январь 17) news
Просмотров: 3037 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
 
Форма входа

Поиск

Друзья сайта

  • Наши партнеры
  • Рекомендуем посетить: заходим! :)

    Статистика
     
    Привет,Прохожий !
    10:04:32 || 2024 Декабрь 23
    Онлайн всего: 2
    Гостей: 2
    Пользователей: 0

    Интересная загагулина
    Ух ты..... Девушки красотки
    VKPicture
    РОЖАЙТЕ СНОВА ЧЕРЕЗ 18 МЕСЯЦЕВ!
    Важен ли мой внешний вид?
    Условно-бесплатный хостинг - оплата размещением ссылок на сайте. Регистрируют домен и хостинг бесплатно.
    Как сделать так, чтобы девушка сама за вами бегала?
    Как получить доступ к управлению доменами .NET.RU, .ORG.RU и .PP.RU
    Небольшой обзор серверов провайдеров электронной бесплатной почты - Самые популярные бесплатные почтовые ящики .com .ru (free e-mail box)
    ajax окна и т.д для ucoz ещё скины :)
    Как включить показ расширений у файлов?
    Прикольные статусы (статусы аськи) :: Лучшие статусы :: За сегодня
    Программа для печати визиток: как выбрать лучшую
    Вечные ссылки как говорит SAPE
    Как выбрать транспортную компанию?
    Такси – как выбрать?
    Выбираем игру на Android
    Почему после 2 августа нельзя купаться
    Как я попал на Мальдивы за 2000 рублей
    Срочная печать визиток это просто
    Выбрал правильно кондиционер?
    Доступная недвижимость в Европе

    Ваша реклама
    Здесь может находиться ваша реклама. Ссылка или банер. Обращаться в ICQ 310-481-985

    Copyright MyCorp © 2024