Dlinyj (dlinyj) wrote in x_crew,
Dlinyj
dlinyj
x_crew

Categories:

Новое - хорошо забытое старое. Или вирусня снова атакует.

Обнаружил у себя на флешке вирус, видать поймал на ноут, когда с кем-то обменивался инфой. Вирус назову "Авторан". Т.е. вирус в принципе старой системы, который переносится на носителях, как раньше на дискетках, ныне на влешках. С заражённого компутера попадает на флешку, делается скрыты, при чём сразу выставляет по умолчанию скрывать файлы и папки (у меня всегда всё видно, именно для таких случаев, как вдруг перестал видеть системные файлы - значит заразился). И сразу прописывается автораном. Получается, если вы пихаете флешку в компутер, то винда по дефолту ищет авторан, и найдя его запускает, и таким образом вы заражаетесь.

Последствия вируса серьёзные, при изучении увидел деструктивный код срабатывания в определённый день и час, у нас вся группа им заболела, и у некоторых накрылось файло.

Вирус отлично виден в ФАР-манагере, но удаляя все файлы аторан, прямо на глазах снова появляются. Если найти в памяти процесс (ваще, вирус почти не скрывает своё присутствие), и удалить заразу, то всёравно зараза после ребута востанавливает свои жизненные функции. Пытаясь поймать за хвост вирусню начал изучать его код, в результате, чтобы прекратить его работоспособность (он сука висит в памяти и ничего не помогает, всёравно откуда-то запустится при загрузке, даже если его выгрузить и потереть после этого все автораны на харде).Изучал командные коды, и бейсиковский код. Смотрел какой файл откуда запускается. В результате неглядя стёр какой-то файл в систем32, после чего ноут перестал грузится... Ппц, и КП мой встал... Благо делал бекапы, и намутил другой ноут (некогда ща вынь реинсталить). К сожалению изучал только CMD и визуал бейсиковский код, экзешник не дизасмил, так что там творится хрен знает. Средство борьбы, чтобы зараза не попала к вам на комп - простое, которое описал товарищ sfrolov в своём посте: http://sfrolov.livejournal.com/29762.html:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
"NoDriveTypeAutoRun"=dword:000000FF

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF



Указанный выше кусок текста можно выделить, открыть в Блокноте новый файл, вставить из буфера текст и сохранить под именем, скажем, 123.reg и этот файл запустить. Кому сложно, вот ссылка на готовый файл: http://www.leningrad.su/jj/123.reg
Этот файл надо запустить и разрешить компьютеру обновить данные реестра, после чего перезагрузить компьютер. После этого функция автоматического запуска будет запрещена.


Более подробно рассмотренно тут: http://forum.ixbt.com/topic.cgi?id=22:63213 .

От себя хочу отметить, что если вы подхватили таки заразу, и не можете жить без выключения компа, то выбейти из памяти этот процесс (методом исключения), и заводите компутер в спящий режим. Лучше конечно поставить антивирус, хотя лично я не люблю антивирусы. Да, конечно вирус примитивен, но неприятно. Особо страждущим могу выслать на мыло код для изучения.

UPD

1) Убить процесс "wscript.exe", чтобы удаляемые файлы не восстанавливались.
2) Стереть файлы autorun.* в корневых каталогах всех дисков и каталоге Windows\System (Или System32 -- пишу по памяти)
3) запустить regedit.
4) В ключе "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" оставить только userinit.exe, убрать autorun.exe.
5) Запустить поиск "autorun.vbs" и удалять все ключи, где встречается эта строка. Должно находиться что-то вроде "wscript autorun.vbs".

Все.

З.Ы. А грохнул я именно файл:userinit.exe
Subscribe

  • Книга Исповедь Кардера.

    Есть у меня хороший знакомый, даже друг наверное. Никто никогда не знал ни его имени, ни фамилии, для всех он всегда был просто Изя. Откуда пошло это…

  • Вечинка десятилетия "Хакера" и пятилетия "Железа"

    Она конечно была сделанна не с таким разамахом, как xPaty100, и не такая атмосферная. На сотый номер выложились все по полной, я впрочем тоже.…

  • Xakep CD Data Saver

    Скажите сообщники\создатели журнала. Что случилось с дисками? Почему некоторые из них отказываются добавляться в базу данных? Например, диск от…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 20 comments

  • Книга Исповедь Кардера.

    Есть у меня хороший знакомый, даже друг наверное. Никто никогда не знал ни его имени, ни фамилии, для всех он всегда был просто Изя. Откуда пошло это…

  • Вечинка десятилетия "Хакера" и пятилетия "Железа"

    Она конечно была сделанна не с таким разамахом, как xPaty100, и не такая атмосферная. На сотый номер выложились все по полной, я впрочем тоже.…

  • Xakep CD Data Saver

    Скажите сообщники\создатели журнала. Что случилось с дисками? Почему некоторые из них отказываются добавляться в базу данных? Например, диск от…