Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Компьютеры > Software (Программное обеспечение) > Антивирусы и компьютерная безопастность
Расширенный поиск

Антивирусы и компьютерная безопастность Все что касается антивирусного программного обеспечивания и компьютерной безопасности

Ответ
 
Опции темы Поиск в этой теме
Старый 11.01.2008, 20:46 Вверх   #1
.:V.I.P.:.
 
Аватар для woron
woron вне форума
Доп. информация
По умолчанию Как избавиться от назойливого AutoRun

Как решаються проблемы с флэшками?



Иногда при попытке открыть флэшку (или локальный диск) щелчком левой кнопки мыши появляется сообщение об ошибке, что невозможно открыть флэшку, т.к. отсутствует какой-либо файл, как правило, autorun.inf. В таком случае нужно открывать флэшку (или локальный диск), вызывая правой кнопкой мыши контекстное меню (выбрать пункт Проводник или Открыть).
Такое поведение флэшки обусловлено тем, что она была заражена вирусом, прописавшим ей автозапуск для дальнейшего распространения заразы. После чего она была пролечена антивирусом (или файл autorun.inf был удален вручную), но запись об автозапуске флэшки осталась в Реестре Windows.

Следует отметить, что в последнее время очень широко распространены всевозможные USB-шные (флэшечные) вирусы, специально созданные для съемных носителей информации и распространяемые при помощи этих носителей.

Как происходит заражение
На зараженном ПК эти вирусы являются резидентными – они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл autorun.inf.

Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:
[AutoRun]
open=RavMon.exe
shell\open=ґтїЄ(&O)
shell\open\Command=RavMon.exe
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command="RavMon.exe -e"

При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\AutoRun\command]
строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore]
строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore\Command]
строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open]
строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open\Command]
строковый параметр по умолчанию – RavMon.exe

При этом в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чем заключается проблема и как ее решить
Проблема заключается в том, что после лечения флэшки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя левой кнопкой мыши появляется сообщение об ошибке.

В таком случае открывайте носитель щелчком правой кнопки мыши (из контекстного меню выберите Проводник или Открыть). Как правило, при этом диск раскрывается.
Если же появится окно Выбор программы с сообщением Выберите программу для открытия этого файла. Файл (Буква_диска), в поле Программы по умолчанию будет выделен Internet Explorer, с помощью которого можно открыть диск, щелкнув кнопку OK. Если в поле Программы нет Internet Explorer (или с его помощью раскрыть диск не удается), щелкните кнопку Обзор… и выберите Проводник Windows (\WINDOWS\explorer.exe) –> OK –> OK.
Раскрыв диск, найдите файл autorun.inf и удалите его.


Внимание!
1. Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.
Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?
2. Если удалить из Реестра ключи, созданные вирусом, но оставить файл autorun.inf, то при каждой попытке раскрыть носитель этот файл будет вновь создавать ключи вируса в Реестре.
3. Если вирус пропишет файл autorun.inf в корне локального диска (C:\, D:\, E:\…), то симптомы будут такие же (т.е. левой кнопкой мыши раскрыть его не удастся).

Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;
– найти раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Букванеоткрывающегосядиска)];
– удалить в нем подраздел Shell.
Внимание!
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\] диски обозначаются не только буквами (C:, D:, E:…), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа {8397b16a-78ce-11dc-abd6-806d6172696f}. Поэтому ищите диски не только по буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_диска)] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено).
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч(X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.
5. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено»?

Как уберечься от вирусов
1. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
2. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы.
3. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях.
4. Если вам нужно скопировать информацию с вашей флэшки на посторонний ПК, перед подключением включайте блокировку записи (если она предусмотрена конструкцией вашей флэшки).
Кстати, USB-вирусы на зараженном ПК при подключении флэшки, защищенной от записи, как правило, начинают «материться» (чем выдают себя с головой!) – появляется окно Ошибка защиты от записи с сообщением: «Запись на диск невозможна, так как диск защищен от записи. Снимите защиту от записи с тома в устройстве (Буква_диска)…». Окно это непотопляемое, с тремя кнопками Отмена, Повторить, Продолжить. Но какую кнопку ни нажми, – появляется следующее окно и т.д.
Если на вашей флэшке нет блокировки записи, то перед ее подключением к чужому ПК отключите неизвестные и сомнительные процессы в Диспетчере задач Windows.
Для запуска Диспетчера задач Windows нажмите Ctrl+Alt+Delete (или Пуск –> Выполнить… –> Запуск программы –> taskmgr –> OK).
Откройте вкладку Процессы, щелчком левой кнопки мыши выделите процесс для завершения, нажмите кнопку Завершить процесс, в появившемся окне Предупреждение диспетчера задач нажмите кнопку Да. Не бойтесь, отключая процессы: критические системные службы ОС не даст выключить.
5. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором».
  Ответить с цитированием
Старый 11.01.2008, 21:11 Вверх   #2
Hardware Support
 
Аватар для Graf
Graf вне форума
Доп. информация
По умолчанию

Как - то сложно. Я просто сначала удалял его из процессов (ctfmon), потом удалял с каждого раздела и флешек и всё. Ну ещё надо не забыть удалить папку RECYCLER, там может быть копия его.
  Ответить с цитированием
Старый 11.01.2008, 21:28 Вверх   #3
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

у меня все было еще проще, поставил каспера 7, обновил базы (тогда было чпимерно 20 ноября ) и прогнал все компы в сети предварительно отключив их от самой сетки. с чихами пыхами все снесло и частично система пострадала на одном компе, но вирусы все умерли, включая авторан, который на каждом компе и флэшке в нашей части был.
  Ответить с цитированием
Старый 11.01.2008, 21:53 Вверх   #4
.:V.I.P.:.
 
Аватар для woron
woron вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Graf Посмотреть сообщение
Как - то сложно. Я просто сначала удалял его из процессов (ctfmon), потом удалял с каждого раздела и флешек и всё. Ну ещё надо не забыть удалить папку RECYCLER, там может быть копия его.
Ну я сам лично так пытался удалять но как видишь он чуть поумнее он появляется срызу после перезагрузки компа!!!
Серберг мне лично интерестно самому удалить его своими руками - и удаляя последний ключ в реестре сказать - вот так тебе [женщина легкого поведения]!!!!

Последний раз редактировалось SETRA; 12.01.2008 в 09:50.. Причина: убрана нецензурная лексика
  Ответить с цитированием
Старый 11.01.2008, 21:59 Вверх   #5
Hardware Support
 
Аватар для Graf
Graf вне форума
Доп. информация
По умолчанию

ну само сабой из автозагрузки его надо тоже удалить :)
  Ответить с цитированием
Старый 11.01.2008, 22:08 Вверх   #6
.:V.I.P.:.
 
Аватар для woron
woron вне форума
Доп. информация
По умолчанию

кроме автозагрузки он прописывается в реестре, а так же создает ехе файлик (название не помню), причем файлик интерестный он имее свойство прыгать с диска на диск и с папки в папку, так что его поймать проблемотично!!! так вот этот файлик сам потом закидывает в автозагрузку и востанавливает авторан!!!
  Ответить с цитированием
Старый 11.01.2008, 23:30 Вверх   #7
Новичок
 
Аватар для fenix
fenix вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Graf Посмотреть сообщение
ну само сабой из автозагрузки его надо тоже удалить :)
ГЫ)) в точку ну а ворону могу посоветовать сначала читать тот пост который сам же и поставил, ну а потом присать ПРО КАКОЙТО EXE файлик)))))))



БЛИН ПРОМАХНУЛСЯ СО СПАСИБО!!!
  Ответить с цитированием
Старый 29.01.2008, 15:33 Вверх   #8
Опытный пользователь
 
Аватар для djonis696
djonis696 вне форума
Доп. информация
По умолчанию

проще всего форматнуть диск С:, если после лечения 2-ой щелчек выдает ошибку то просто, удаляю авторан т.е. его оставшееся тело на этом диске, перезагружаюсь и все ок, ребята говорят он в boot секторе прописывается.
Лучшее лечение это форматирование.
  Ответить с цитированием
Старый 01.02.2008, 17:55 Вверх   #9
Гость
 
Аватар для 61139
Доп. информация
По умолчанию Как избавиться от назойливого AutoRun

В папке system 32 и автозагрузке удалить одну програмульку (amvo.exe), а также авторуны со всех дисков и очистить корзину. Проверено на двух машинах.
  Ответить с цитированием
Старый 14.03.2008, 11:04 Вверх   #10
Новичок
 
Аватар для zorromac
zorromac вне форума
Доп. информация
По умолчанию

Воспользуйся AVZ4 (http://z-oleg.com/secur/avz/) восстановит любые системные настройки, наидет и обезвредит эти вирусы
  Ответить с цитированием
Старый 15.03.2008, 00:10 Вверх   #11
Новичок
 
Аватар для DiegoLidabo
DiegoLidabo вне форума
Доп. информация
По умолчанию

Вообщето это вирус на дрвебе есть приблуда для его удаления, а в версии начиная с 200801212010 есть в самом drweb. Воспользуйся и будет тебе счастье.
  Ответить с цитированием
Старый 15.03.2008, 07:29 Вверх   #12
Опытный пользователь
 
Аватар для djonis696
djonis696 вне форума
Доп. информация
По умолчанию

файл Svchost.exe оставляет ссылку к нему после удаления, и потом сам как то воостанавливается, обнаружил его тока ч/з тоталкомандер прогой "ace utilits"
  Ответить с цитированием
Старый 26.03.2008, 07:25 Вверх   #13
Пользователь
 
Аватар для Taliban
Taliban вне форума
Доп. информация
По умолчанию

В сети сейчас есть много лекарств вот одно из них помагает проверено на себе http://depositfiles.com/files/4342782
  Ответить с цитированием
Старый 14.04.2008, 01:01 Вверх   #14
Новичок
 
Аватар для pioner-90
pioner-90 вне форума
Доп. информация
По умолчанию

держите прогу для избавления от этой заразы.
надеюсь поможет))
  Ответить с цитированием
Старый 05.05.2008, 12:51 Вверх   #15
Опытный пользователь
 
Аватар для TorrancE
TorrancE вне форума
Доп. информация
По умолчанию

Мля,у меня стоял др.вэб,нихрена не видел...теперь камп просто не видит мп3...((
  Ответить с цитированием
Старый 16.05.2008, 10:52 Вверх   #16
Новичок
 
Аватар для Belfegor
Belfegor вне форума
Доп. информация
По умолчанию

Нам на работе специально для этих целей выдавали прогу Antiautorun, но сейчас и она перестала вылавливать из-за появления многих модификаций
  Ответить с цитированием
Старый 12.06.2008, 21:05 Вверх   #17
.:V.I.P.:.
 
Аватар для Milord
Milord вне форума
Доп. информация
По умолчанию

Мне не мешай авторан!
  Ответить с цитированием
Старый 04.07.2008, 22:25 Вверх   #18
Опытный пользователь
 
Аватар для бульдог
бульдог вне форума
Доп. информация
По умолчанию

зачем нужен %windir%\system32\ctfmon.exe? сколько раз его удалял из автозапуска, а он опять появляется.
как сделать, чтобы он больше не вылазил?
  Ответить с цитированием
Старый 04.07.2008, 23:05 Вверх   #19
Местный житель
 
Аватар для vlam
vlam вне форума
Доп. информация
По умолчанию

^http://www.securitylab.ru/processinfo/266074.php

Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Microsoft Office.
  Ответить с цитированием
Старый 07.07.2008, 23:04 Вверх   #20
Местный житель
 
Аватар для KAN66
KAN66 вне форума
Доп. информация
Плохо

Цитата Сообщение от pioner-90 Посмотреть сообщение
держите прогу для избавления от этой заразы.
надеюсь поможет))
Файля неет
  Ответить с цитированием
Старый 30.11.2008, 00:35 Вверх   #21
.:V.I.P.:.
 
Аватар для NIX
NIX вне форума
Доп. информация
Восклицание Удаление файлов autorun*

Anti Autorun

Это лекарство от вируса Virus.Win32.Small.k. и других вирусов,использующих файлы Autorun.

Можна запускать с флешек !
Скачать Anti Autorun
  Ответить с цитированием
Старый 28.10.2010, 22:11 Вверх   #22
Знаток
 
Аватар для Forum Bot
Forum Bot вне форума
Доп. информация
По умолчанию Модерация темы!

Эта тема была перенесена из раздела Software (Программное обеспечение).

Перенес: elvis75
  Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Инструкция] Самый простой способ борьбы с вирусом autorun.inf на флэшках Serberg Антивирусы и компьютерная безопастность 14 03.08.2011 22:54
[Вопрос] Редиркет в Dle 8.2 как избавиться? msk704391 DataLife Engine 2 04.07.2011 17:55
Страх. Как избавиться? volodya78 Советы молодым родителям 0 19.09.2010 23:58
Как избавиться от царапин на эране.... Serberg Телефоны, смартфоны, комуникаторы, КПК, GPS 8 07.04.2009 14:19
Как избавиться от надоевшего ненаглядного ... ????? Amber Психология взаимоотношений 1 28.12.2008 18:52


Текущее время: 15:47. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.19584 секунды с 14 запросами