18.06.2008, 21:41 | #1 (permalink) |
Member
Регистрация: 25.07.2007
Сообщений: 344
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 35
|
Работает вся эта байда так: вы вставляете флешку, запускается файл autorun.inf, запускаются файлы вируса. Всё, скрытые файлы и папки просмотреть невозможно, удалить вирь можно только через нормальный файловый менеджер, но не всегда. Я не зря в начале заметил, что программер, который написал эту бодягу имеет каплю мозгов... В одном из своих творений он свел возможность удаления к минимуму: при заражении таким вирусом запускается файлы lfkxaor.exe (следит за активностью пользователя) и salbhfd.exe ("отладчик"). В списке процессов их увидеть можно, а вот завершить нет... Следом за этим отключается восстановление системы и некоторые другие программы... Что касается реестра, то там у нас изменяются следующие ключи: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - сюда прописывается автозагрузка виря (но не всегда) HKEY_CURRENT_USER\software\bykake ................................\hforwm ................................\nvhgod, тоже могут быть признаком присутствия виря HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - изменяет значение параметра CheckedValue и вследствие этого просмотр скрытых файлов невозможен... HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2 - даже если вы удалите вирус, то открыть нормально диски может и не получиться (Диалог "Выберите программу для открытия этого файла..."). Для устранения и защиты от этого вируса я написал прогу (насколько смог) KillAuto. Как показали тесты, с задачей она справляется, хотя и с некоторыми багами :( Прога freeware скачать можно с моего сайта: http://hottabych.3dn.ru/load/7-1-0-50 З.Ы. Для создания программы исследовал только 3 вида таких вирусов, если кто заинтересовался, заливайте мне на мыло архивы с такими вирями для исследования :) |
18.06.2008, 21:41 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Уделите пожалуйста некоторое время на прочтение аналогичных тем Вирус autorun. Значок диска D изменился Вирус autorun.inf последствия Вирус AUTORUN. Удаление Вирус Worm.Win32.AutoRun.clb Чем удалить? Вирус autorun.inf, как лечить последствия Вирус Win32:Spyware-gen |
19.06.2008, 04:13 | #2 (permalink) | |||
IT - Specialist
Регистрация: 08.12.2007
Сообщений: 6,815
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 6316
|
Цитата:
Цитата:
Так же есть "миниантивирус", которой создать для борьбы именно с авторанами. АнтиАвторан его имя. Работает довольно хорошо. Цитата:
|
|||
19.06.2008, 08:47 | #3 (permalink) |
Member
Регистрация: 25.07.2007
Сообщений: 344
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 35
|
Когда нажимаем Сканировать, запускается цикл проверки всех дисков в системе... Бывают такие случаи, когда дисковод есть и он его проверяет на наличие файлов, а диска нету и выскакивает ужасно неприятная табличка "Диск отсутствует в дисководе"... Сейчас этот баг устранен, но все-таки иногда на флопиках он проскакивает...
Кстати AntiAutorun 2.0 с некоторыми авторанами не справляется, в частности с описанной мною модификацией, но у неё сравнительно маленький размер, тогда как свою я писал на Делфях со всеми библиотеками :) |
20.06.2008, 03:24 | #4 (permalink) | ||
IT - Specialist
Регистрация: 08.12.2007
Сообщений: 6,815
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 6316
|
Цитата:
Цитата:
|
||
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|