Вирус записывает вирус на флешку, как его найти
Всем привет!
У меня на компе вирус, который копирует на флэшку другой вирус который будет запускаться как только флэшка вставлена в комп. На флэшке создаётся папка SEVERINA у которой значок корзины, а вней файлы aleluja.exe и Desktop.ini + autorun.ini в котором путь к этой алелуе. Вот содержиоме Desktop.ini
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
\Кто нибудь может подсказать как вычислить процесс который копируте этот вирус?
У меня на компе вирус, который копирует на флэшку другой вирус который будет запускаться как только флэшка вставлена в комп. На флэшке создаётся папка SEVERINA у которой значок корзины, а вней файлы aleluja.exe и Desktop.ini + autorun.ini в котором путь к этой алелуе. Вот содержиоме Desktop.ini
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
\Кто нибудь может подсказать как вычислить процесс который копируте этот вирус?
антивирусы нонче не в моде? =)
как мне посоветовал недавно небезызвестный здесь Sanila_San, я создал на флешке пустой файл autorun.inf и навесил на него read-only заклятья, причем не только скрытый/системный, но и НТФС - доступ только для чтения. Сделать это можно с помощью total commander'а. Жить стало на порядок легче.
upd. вот подумал. чего процесс вычислять - скорее всего этот будет explorer либо svchost. Посмотреть в принципе можно через FileMan.
как мне посоветовал недавно небезызвестный здесь Sanila_San, я создал на флешке пустой файл autorun.inf и навесил на него read-only заклятья, причем не только скрытый/системный, но и НТФС - доступ только для чтения. Сделать это можно с помощью total commander'а. Жить стало на порядок легче.
upd. вот подумал. чего процесс вычислять - скорее всего этот будет explorer либо svchost. Посмотреть в принципе можно через FileMan.
Попробуй так.
Если у тебя комп заражен то какой то процесс должен к флэшке обращаться. Попробуй отследить обращения - так и вычислишь процесс. Я например поймал его утилиткой Unlocker в свое время. И еще - этот процесс в любом случае както через автозапуск стартует (в реестре, вместе с дровами и т.д. В первом случае достаточно msconfig, если не помог - AVZ). Любой процесс, который ты не знаешь лично - вгоняй в гугль, он ответит. Можно смотреть сразу на virusinfo.
Что касается защиты от этого виря - все очень просто, и не надо никаких файлов. Сразу после установки системы (если возможно конечно), ну или на край сейчас - запускаешь AVZ, ликвидируешь все дыры безопасности которые она покажет, и (ГЛАВНОЕ!) отключаешь все виды автозапуска. Без авторана не умрешь, а флэшку зараженную вставишь - комп не заразится. Флэшка чистится тупым Shift-Delete'ом.
Если у тебя комп заражен то какой то процесс должен к флэшке обращаться. Попробуй отследить обращения - так и вычислишь процесс. Я например поймал его утилиткой Unlocker в свое время. И еще - этот процесс в любом случае както через автозапуск стартует (в реестре, вместе с дровами и т.д. В первом случае достаточно msconfig, если не помог - AVZ). Любой процесс, который ты не знаешь лично - вгоняй в гугль, он ответит. Можно смотреть сразу на virusinfo.
Что касается защиты от этого виря - все очень просто, и не надо никаких файлов. Сразу после установки системы (если возможно конечно), ну или на край сейчас - запускаешь AVZ, ликвидируешь все дыры безопасности которые она покажет, и (ГЛАВНОЕ!) отключаешь все виды автозапуска. Без авторана не умрешь, а флэшку зараженную вставишь - комп не заразится. Флэшка чистится тупым Shift-Delete'ом.
Цитата: Washington
как мне посоветовал недавно небезызвестный здесь Sanila_San, я создал на флешке пустой файл autorun.inf и навесил на него read-only заклятья, причем не только скрытый/системный, но и НТФС - доступ только для чтения. Сделать это можно с помощью total commander'а. Жить стало на порядок легче.
удивительно, какие велосипеды изобретают люди, только бы не изучать возможности системы, с которой работают.
отключить автозапуск сменных носителей:
http://antivirus.about.com/od/securitytips/ht/autorun.htm
запретить запуск исполняемых файлов откуда попало через SRP
http://support.microsoft.com/kb/310791
по сабжу - эту заразу НУЖНО лечить с LiveCD. например - DrWeb или Hiren's BootCD. лечить вирусы из под зараженной ОС - это как тушить пожар керосином.
Цитата: squirL
по сабжу - эту заразу НУЖНО лечить с LiveCD. например - DrWeb или Hiren's BootCD. лечить вирусы из под зараженной ОС - это как тушить пожар керосином.
Блин, точно... протупил... Просто привык делать это на вызовах, когда LiveCD нету под рукой.
А насчет велосипедов и ссылок - по моему удобней сразу через одну прогу все настроить, поэтому и советую AVZ.