18 ответов в теме

[Stross]

Немного достало меня флешу правым кликом открывать, чтобы вирус не запустить, поэтому поиском в интернете занялся я. Такую статью нашел: http://minilabmaster.com/2/39_1.shtml

Проверено, теперь двойной клик по флеше не вызывает выполнение программы, указанной в авторан.инф. И теперь для компа одной угрозой меньше)

Зачем я это пишу? Ну, может кому пригодится...

Да, и еще: "Недостатки скрипта - не будут запускаться файлы автозапуска с компакт-дисков, (не будет отображаться заставка при вставке СД, например от игрушек ), не защищает от вирусов, замаскированных под папки."

Сообщение отредактировал Stross: 13 Декабрь 2008 - 06:57

[Dusty]

А что, просто отключить автозапуск - не помогает?

[Stross]

А что, просто отключить автозапуск - не помогает?

Нет, в том и дело - проблема была в том, что при открытии флеши двойным кликом из "моего компьютера" запускался вирус. А отключение автозапуска убирает его только при вставлянии флешки или диска. А в контекстном меню, которое открывается при нажатии правой кнопкой на значке флешки, по умолчанию остается пункт, прописанный в авторане. (если ты это имел в виду)

[Dusty]

Нет, в том и дело - проблема была в том, что при открытии флеши двойным кликом из "моего компьютера" запускался вирус. А отключение автозапуска убирает его только при вставлянии флешки или диска. А в контекстном меню, которое открывается при нажатии правой кнопкой на значке флешки, по умолчанию остается пункт, прописанный в авторане. (если ты это имел в виду)

Угу, понял.

[diman1908]

у меня кроме файла AUTORUN.INF есть еще и PRINTER.EXE
удаляй не удаляй, все равно появляются!

хотя у меня уже почти все съемные устройства нормально открываются, правда в другом окне

[Stross]

у меня кроме файла AUTORUN.INF есть еще и PRINTER.EXE
удаляй не удаляй, все равно появляются!

хотя у меня уже почти все съемные устройства нормально открываются, правда в другом окне

Ну значит твой комп уже заражен... В таком случае поможет либо откат, либо переустановка винды, про другие способы я не знаю. Поищи в инете, мб найдешь чего (а ля убить такой-то процесс, удалить такой-то ключ и т.д.).

Немного про "механику" вируса:
Сначала вы вставляете флешку в гнездо. На флешке два файла: autorun.inf и что-то.exe (вместо "что-то" может быть locale, printer, fun.xls и много-много всего прочего). Авторан.инф - это "ссылка", которую распознает виндоус. В этой "ссылке" написано, какой файл запускать. В твоем случае это printer.exe. Это и есть вирус. А autorun.inf - это не вирус.
То есть, если на флешке не будет autorun.inf, файл вируса просто не запустится (если ты его сам не запустишь).

Про последствия: последствия бывают разные: ограничение прав учетной записи и прочее. Но основная часть такова: вирус прописывает себя в автозапуск и все время запущен. Как только он обнаруживает вставленную флешку, он на нее копирует себя. Вот почему у тебя всегда эти файлы появляются...

...и, кстати, именно поэтому они открываются в другом окне. Вместо действия "open" там стоит какое-то еще...

Сообщение отредактировал Stross: 13 Декабрь 2008 - 09:30

[diman1908]

... В таком случае поможет либо откат, либо переустановка винды...

винда уже сносилась вроде дважды, но не помогло

[Stross]

винда уже сносилась вроде дважды, но не помогло

Значит, ищи эти файлы на хардах. На них тоже может быть авторан.инф и вирус. И запускается тоже по двойному клику, как и с флешки.
Лечится так: перед переустановкой винды загрузись с какого-нибудь acronis loader или другой проги, которая позволяет удалять файлы без загрузки винды. И удали autorun.inf на всех жестких дисках.

[diman1908]

хмм, идея неплохая, надо будет потом попробовать

[diman1908]

пытался щас через поиск найти эти два файла - нивкакую не находит!

[Stross]

пытался щас через поиск найти эти два файла - нивкакую не находит!

Скорее всего, они скрытые, поэтому и не находит.
Они точно есть на хардах, им больше просто негде прятаться, когда ты винду переставляешь) ну или флешку зараженную вставляешь и запускаешь.

[hmmm]

этой флешочной заразы достаточно удалить корзику со всех диской и при этом не забыть убить процесс ctfmon ... в общем один из этих двух искомая зараза)
буквально 15 минут все эти операции занимают (если в первый раз, и нет антивира)

[i12runOFF]

создай папку autorun.inf и у тебя одноименный фаил никогда не появиться - ограничение системы.

Ещё в вид-свойства папки нужно включить показ скрытых фаилов, и отключить скрытие системных фаилов, а так же расширений фаилов (чтобы не запустить notepad.txt.exe случайно)

Ещё забыл, в сейфмоде авторан не запускается ни по какому клику

Сообщение отредактировал i12runOFF: 14 Декабрь 2008 - 02:03

[Stross]

этой флешочной заразы достаточно удалить корзику со всех диской и при этом не забыть убить процесс ctfmon ... в общем один из этих двух искомая зараза)
буквально 15 минут все эти операции занимают (если в первый раз, и нет антивира)

у меня корзинки нет и не было, а зараза все равно жила... и совсем необязательно ctfmon, это может быть что угодно. Или ты конкретно про printer.exe? А вдруг это другой printer.exe?

кстати, по поводу такого вот "выкорчевывания". Решил я как-то вылечиться авастом (его проверкой, которая происходит до загрузки винды). Все замечательно он нашел и удалил, но после этого перестал работать инет. Вобщем, мне легче было переставить винду, чем разбираться Так что возможность сильного повреждения системы тоже не стоит исключать.

создай папку autorun.inf и у тебя одноименный фаил никогда не появиться - ограничение системы.

ух ты, надо попробовать...

[Gek]

Вобщем, мне легче было переставить винду, чем разбираться

Я так большинство неполадок лечу

[hmmm]

у меня корзинки нет и не было, а зараза все равно жила... и совсем необязательно ctfmon, это может быть что угодно. Или ты конкретно про printer.exe? А вдруг это другой printer.exe?

кстати, по поводу такого вот "выкорчевывания". Решил я как-то вылечиться авастом (его проверкой, которая происходит до загрузки винды). Все замечательно он нашел и удалил, но после этого перестал работать инет. Вобщем, мне легче было переставить винду, чем разбираться Так что возможность сильного повреждения системы тоже не стоит исключать.

Я на работе так комп лечил от этой заразы как-то раз. Сумбурно описанный способ оказался действенным против этой гадости.
Вообще, первый признак, что была подхвачена флешечная зараза -- на флешке появляется папка "RECYCLER". Если антивир не прочухал об этом, то на всех дисках в системе создается эта папка и в ней уже лежат всякие autorun.*, ctfmon.*, printer.*.
Конечно, можно попытаться поиграть в игру -- кто быстрее удаляет эти папки, но это безрезультатно) Чтобы был результат, надо убить процесс.

[diman1908]

Я смог остановить процесс создания фаилов printer.exe и autorun.inf

Через диспетчер задач нашел процесс создающий эти файлы (как оказалось это был процесс с именем CFTMONS.EXE )
"Убил" его остановкой.
Потом нашел через поиск этот фаил (искал cftmons.exe), он показал мне два файла: искомый и какой-то системный.
Удалил для надежности сразу оба.

После данных операций WINRAR мне на съемном диске не показал этих надоевших файлов.
Буду надеяться что все проведенные мною операции после перезагрузки не слетят.

[Stross]

не исключено, что ты вылечился)
Мб вирь покорежил твою учетную запись (т.е. папки в новых окнах открываются, регедит не запускается и т.п.), тогда удали ее и создай заново, мне помогало как-то. И лучше примени утилитку из первого поста, она предотвратит повторное заражение от флеши

[diman1908]

да нормально уже все
p.s. я все эти гребаные принтеры со всех flash устройств удалил