?> Осторожно! Вирус! - стр. 12 - Компьютерная и другая техника - Нефтекумск Форум

Автор Тема: Осторожно! Вирус!  (Прочитано 103826 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн MagIsTr

  • Мы, МагИсТры, вообще-то добрые...
  • Завсегдатай
  • *****
  • Сообщений: 1983
  • Репутация: 237
  • Пол: Мужской
  • ...это я так злюсь...
    • Нефтекумск онлайн
Re: Осторожно! Вирус!
« Ответ #110 : 08.04.2009 04:51 »
   На днях шел по городу вместе со знакомым админом, и в разговоре промелькнула фраза о том, что, наверное, практически каждый имеющий флэшку, сталкивался с заражением ее вирями. Один из таких вирей я недавно обнаружил на компе клиента. Правда, после того, как вставил в его комп свой флэш-девайс. Вирусяка оказался червем. Не самым безобидный, тупо швырял свое файло в корневые папки разделов, не особенно маскируясь, но при этом способный любого довести до бешенства постоянной выдачей на экран сообщенией об ошибке. Простым убиванием такой гад не лечится - толку-то, если он сидит в мемори и после, к примеру, входа-выхода в подпапку, снова копирует себя в корневые (многие черви построены по принципу "матрешки").
   К чему я это говорю? К тому, что не все в этом мире просиживают за компом сутками, есть люди, которые незнакомы с функциями Форточек, позволяющими осуществлять первичную, примитивную, но эффективную защиту от вирусяки, напавшего на комп со вставленной флэшки. Для таких людей и объясняю. Можно, конечно, просто и тупо вставлять каждую флэшку, перед этим нажимая и удерживая Shift, но эта фишка срабатывает не всегда. Кроме того, надо же становиться продвинутыми юзерами :).
   Принесли вам флэшку. Вы ее вставляете, и ваша Винда с ходу начинает процедуру определения оборудования и автозапуска. Первое вы не видите, второе появляется в виде окошка с бегущей линией. Вот именно в этот момент вирь и прыгает к вам на комп. Хохма в том, что не позволить ему прыгнуть - довольно просто. Надо сделать так, чтобы при вставке флэшки в USB-порт Винда не начинала автозапуск. Но флэшка - съемный носитель, это не привод DVD/CD, который постоянно находится в системе. Поэтому для флэшки не так просто вырубить автозапуск. Как это сделать? Элементарно. Жмем кнопку "Пуск", затем "Выполнить" и пишем руками команду: gpedit.msc - появляется окно "Групповая политика". Кликаем по следующим пунктам: "Административные шаблоны" - "Система". В веточке "Система" ищем строку "Отключить автозапуск". Кликаем дважды. Появилось окно параметров. По умолчанию эта функция выставлена в режиме "Отключен". То есть - автозапуск РАБОТАЕТ! Выбираем "Включен" и в поле "Отключить автозапуск на" выбираем пункт "всех дисководах". Затем "Ок", закрываем окно "Групповой политики". Чтобы не перезагружаться, ожидая, пока Винда применит новые настройки, жмем снова "Пуск", "Выполнить", запускаем командную строку (команда cmd), пишем в появившемся окне: gpupdate, жмем Enter. Все, настройки политики обновлены в текущем сеансе, можно не перезагружаться, а сразу вставлять флэшку. Теперь можно и открывать содержимое зараженной флэшки, но, чтобы не свести ваши усилия к нулю, не открывайте ее средствами Винды. Запустите Far Manager или Total Commander.
   Все описанное позволяет избежать попадания с зараженной флэшки на ваш компьютер вируса Win32.Worm.GameSpy (и его модификаций). Информацию по вирусу (качественная статья!) можно посмотреть по ссылке: Ссылка скрыта от гостей Зарегистрироваться или Войти.
   Именно с этим вирем (с одной из модификаций) мой клиент и столкнулся. Вирь, как я уже говорил, не сильно маскировался. Да это и не входит в его задачу. Конкретно: в корневые папки разделов бросает два файла - autorun.inf, и ylr.exe, оба с атрибутом "скрытый". Увидеть их через Проводник нельзя - от этого вирь страхуется. Меняет определенные значения в реестре, в результате любая попытка пользователя включить параметр "Показывать скрытые файлы и папки" в свойствах просмотра папок через Проводник заканчивается тем, что система автоматически сбрасывает параметр к исходному значению.
   Вопреки распространенным в инете методам лечения с помощью активации скриптов, ковыряния реестра, скачивания и последующего запуска не всегда надежных утилит, автор угрохал вирус очень просто. Тупо установил на комп клиента лицензионного Касперского (пробную версию!), и Каспер, не напрягаясь, аккуратно снес вирь ко всем чертям.
   Кстати, ни в коем случае не хочу спорить по поводу "какой антивирь круче", но в описанной ситуации я, прикола ради, попытался, перед Каспером, убить вирь другими антивирусами. Использовались: лицензионный Avast, вирусные базы свеженькие. Avast легко запустился и не менее легко полностью проигнорировал наличие виря. Касперский, повторюсь еще раз, обнаружил с ходу, предложил зловредное файлы уничтожить и, получив согласие, тут же их и грохнул. Попутно нашел и расстрелял еще два червя. Эти изначально были фактически безвредны, но "порядок есть порядок", как считает Антивирус Касперского. Вывод, дабы не обидеть фанатов других антивирей, таков: в любом случае нет ничего лучше и надежней лицензионного антивирусника и регулярных к нему обновлений.
aka Master Corwin, aka Призрак
Все мухи - бляхи...
Фиг догонишь!!!Да пребудет с тобой Великое Пиво...

Оффлайн kilohare

  • Administrator
  • Завсегдатай
  • *****
  • Сообщений: 3566
  • Репутация: 252
  • Пол: Мужской
    • Нефтекумск.Ру
Re: Осторожно! Вирус!
« Ответ #111 : 08.04.2009 08:29 »
Я уже больше года пользуюсь антивирусом Avira Antivir - он пока что бесплатный, ловит все известные у нас вирусы. Чего и вам советую.
С наилучшими пожеланиями

Оффлайн Alex

  • Советник
  • ****
  • Сообщений: 936
  • Репутация: 12
  • Пол: Мужской
Re: Осторожно! Вирус!
« Ответ #112 : 08.04.2009 10:22 »
сори за флуд, я тож пользуюсь авирой с недавних пор, хорошая вещь, только с батом подружить не смог и вопросик, он лечить умеет или только удаляет?
Don't try to teach a pig to sing. It wastes your time and annoys the pig.

Оффлайн MagIsTr

  • Мы, МагИсТры, вообще-то добрые...
  • Завсегдатай
  • *****
  • Сообщений: 1983
  • Репутация: 237
  • Пол: Мужской
  • ...это я так злюсь...
    • Нефтекумск онлайн
Re: Осторожно! Вирус!
« Ответ #113 : 08.04.2009 12:41 »
   По-моему, нет. Насколько мне известно, только удаляет. Однако черви типа вышеописанного не заражают файловую среду, так что и лечить нечего. А само тело вируса проще, естественно, удалить.
aka Master Corwin, aka Призрак
Все мухи - бляхи...
Фиг догонишь!!!Да пребудет с тобой Великое Пиво...

Оффлайн Mix

  • Global Moderator
  • Завсегдатай
  • *****
  • Сообщений: 4411
  • Репутация: 428
  • Пол: Мужской
  • ... Просто я фсякий!
Re: Осторожно! Вирус!
« Ответ #114 : 27.04.2009 01:38 »
За последнюю неделю мне трижды довелось быть свидетелем того, как ложатся компы от зловреда типа "Trojan.Winlock"
в случае пражения машины, винда виснет, пользователь ребутит комп и получает подобную картинку

Иногда тоже самое, но в красных тонах, суть от этого не меняется.
Сам зловред прописывается по адресу c:\Documents and Settings\Администратор.ВАСЯ(или как там вы обозвали свою машину)\Local Settings\temp, где можно обнаружить пару файликов с именами типа "don2" или "don22", или с любым другим цифровым индексом. Dr.Web находит их, но ничего не делает. Avast и Kaspersky пропускают. Попытка тупо удалить эти файлы приведёт к "вечному ребуту" коммпьютера и скорее всего позволит вам ещё раз насладиться понтами от Microsoft©, которыми сопровождается процесс установки OS Windows. Однако решение есть, оно бесплатно и подробно описано на Ссылка скрыта от гостей Зарегистрироваться или Войти

 Желаю удачи! :privet:
« Последнее редактирование: 27.04.2009 02:10 от Mix »
Як диты, чесслово :)

Оффлайн kilohare

  • Administrator
  • Завсегдатай
  • *****
  • Сообщений: 3566
  • Репутация: 252
  • Пол: Мужской
    • Нефтекумск.Ру
Re: Осторожно! Вирус!
« Ответ #115 : 27.04.2009 07:55 »
Мы уже столкнулись с новой версией этого вируса (окно не синее а красное) , на него решение от дрвеба не действует.
С наилучшими пожеланиями

Оффлайн rus1

  • Пользователь
  • **
  • Сообщений: 78
  • Репутация: 4
  • Пол: Мужской
Re: Осторожно! Вирус!
« Ответ #116 : 27.04.2009 08:42 »
на днях друг обратился с помощью по данной проблеме. порыскал и-нет, нашел форум на эту тему где среди многочисленных ответов предлагали ввести  коды разблокировки (кто и как их нашел не знаю, видемо кто-то все-таки додумался отправить смс (интерестно, скока стоит? =) )). отправил ему ссыль, и как не странно код подошол - блокировка исчезла..  только на долго ли??....
Ссылка скрыта от гостей Зарегистрироваться или Войти

Оффлайн Mix

  • Global Moderator
  • Завсегдатай
  • *****
  • Сообщений: 4411
  • Репутация: 428
  • Пол: Мужской
  • ... Просто я фсякий!
Re: Осторожно! Вирус!
« Ответ #117 : 27.04.2009 08:48 »
У меня на работе стоит машина с такой версией, сегодня попробуем её лечить. О результатах сообщу.
Ссылка скрыта от гостей Зарегистрироваться или Войти
на днях друг обратился с помощью по данной проблеме. порыскал и-нет, нашел форум на эту тему где среди многочисленных ответов предлагали ввести  коды разблокировки (кто и как их нашел не знаю, видемо кто-то все-таки додумался отправить смс (интерестно, скока стоит? =) )). отправил ему ссыль, и как не странно код подошол - блокировка исчезла..  только на долго ли??....
Слышал, что кто-то пытался отправить смс, результат - баланс -400 рублей и предложение прислать ещё одно смс :(
Як диты, чесслово :)

Оффлайн kilohare

  • Administrator
  • Завсегдатай
  • *****
  • Сообщений: 3566
  • Репутация: 252
  • Пол: Мужской
    • Нефтекумск.Ру
Re: Осторожно! Вирус!
« Ответ #118 : 27.04.2009 09:34 »
Никаких кодов и смс, мы лечились убитием процесса don**.tmp и одноименного файла во временном каталоге текущего пользователя, и еще правкой ключа в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
там надо оставить только C:\WINDOWS\system32\userinit.exe

Кстати выяснили один момент - заражение этой падлой идет с порнушных сайтов в виде предложения скачать и установить недостающий видеокодер.

Еще пишут что через пару часов после активации вирус удаляет себя и все работает как раньше.
С наилучшими пожеланиями

Оффлайн Mix

  • Global Moderator
  • Завсегдатай
  • *****
  • Сообщений: 4411
  • Репутация: 428
  • Пол: Мужской
  • ... Просто я фсякий!
Re: Осторожно! Вирус!
« Ответ #119 : 27.04.2009 11:37 »
Ссылка скрыта от гостей Зарегистрироваться или Войти
Еще пишут что через пару часов после активации вирус удаляет себя и все работает как раньше.
удаляется тот, у которого картинка в голубых тонах, а красный нифига.
Кстати самокопирование этим вирям не свойственно.
Як диты, чесслово :)