Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 

Реклама на форуме

 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Autoran.inf jeti, Как бороться?
Oris | Профиль
Дата 12 Май, 2010, 18:51
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 763
Регистрация: 06.04.08
Авторитет: 15
Вне форума

Предупреждения:
(20%) X----


Работает класически- вставил флешку получил два файла: Autoran.inf и jeti (со значком рецикла). Антивирус естественно не реагирует и уверяет что в системе ничего нет. Сканировал: Dr.Web, Касперский, Avast, AVZ, Microsoft Security Essentials, Nod, Spyware Doctor- в результате болт. По пренему на флешке появляется хрень. Причем разноситься по другим машинам при переносе флешки. Путем танцев под бубен было найдено средство блокировки именно этой дряни- Flash Disinfector. Но это средство на один раз. Поплясав под тот же бубен было извлечено содержимое авторана:
[autorun]
|
USEAUTOPLAY=1
shell\open\command=jeti\sumadinac.exe
"
icon=%SystemRoot%\system32\SHELL32.dll,4
'
Shell\open\command=jeti\sumadinac.exe
@
shellexecute=jeti\sumadinac.exe
#
open=jeti\\sumadinac.exe
$
shell\explore\command=jeti\sumadinac.exe
shell\install\command=jeti\sumadinac.exe
%
action=Open folder to view file using Windows Explorer
^


Что за процесс создает, и как его убить. В диспетчере задач ничего лишего. Отключение процессов (какие позволила система) ничего не дало. В безопасном режиме вирус естественно не работал но от этого не легче, антивирусы не реагируют. Не могу идентифицировать, кого я таки ищу.
PMEmail Poster
36/639   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon
















_________________
Желающим разместить рекламу смотреть сюдой
/   
Nikolas |
Дата 12 Май, 2010, 18:56
Quote Post



Unregistered









по ходу он дописался в реестр как ключ к работе процесса explorer.exe например...
т.е. его постоянно в процессах нет. Он появляется при запуске родительсного процесса, например explorer.exe, и, отработав, закрывается.
2/   
MedicusAmicus |
Дата 12 Май, 2010, 19:04
Quote Post



Unregistered









Чистим флеху.
Отключаем антивирь.
Пуск-Выполнить-CMD
mkdir "\\?\x:\AUTORUN.INF\NUL" или mkdir "\\?\x:\AUTORUN.INF\LPT3"
Где х - ваша флеха.
Создается каталог, удалить или изменить который винда не может. Убиваются форматированием или командой rmdir.
Снова о защите USB-флэшек от вирусов

Еще можно создать несколько каталогов типа System, .System, Recycler и прю "системные", которым на флешке совсем не место. Делаем их скрытыми. Если вдруг один из каталогов "появился" - значит была попытка его создания зловредным зверем.
13/   
Oris | Профиль
Дата 12 Май, 2010, 19:22
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 763
Регистрация: 06.04.08
Авторитет: 15
Вне форума

Предупреждения:
(20%) X----


Убрать с флешки в принципе не проблемно, как найти сам генератор? Обычным удалением не прокатывает, пишет что файл используется. После проутюжки Flash Disinfector убивается без проблем. Создается именно в момент открытия флешки.
PMEmail Poster
4/639   
Denni | Профиль
Дата 9 Июня, 2010, 12:54
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 701
Регистрация: 15.01.07
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


интересно... сможешь сделать архив файлов с флешки и выкинуть на какой нибудь обменник?
поковыряемся...


____________________
я постоянно учусь...
PMEmail Poster
2/3062   
WereWolf | Профиль
Дата 9 Июня, 2010, 14:32
Quote Post



А вообще то я добрый
Group Icon

Группа: Banned
Сообщений: 2227
Регистрация: 15.02.04
Авторитет: 12
Вне форума

Предупреждения:
(40%) XX---


MedicusAmicus
Достаточно просто создать каталог autorun.inf и навесить на него весь набор атрибутов) Винда работает по тому же принципу, как и DOS - приоритет каталога над файлом, и создать файл с тем же именем, как и каталог-нереально) ну а для всяких таких случаев я держу в этом каталоге программу autoruns - она как раз позволяет и определять, кто и на каком этапе грузится...


____________________
Время разбрасывать камни
Время и убирать пришибленных!
PMEmail PosterUsers Website
5/3997   

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0126 ]   [ 12 queries used ]   [ GZIP включён ]






Политика конфиденциальности

Top