Комментарии 105
наверно, года два как туда переселились. достаточно отключить
а вообще как не приду к
подскажите, пожалуйста, как отключить автозапуск с флешек
Только флэшек не знаю, всего ключевые слова "windows autorun отключить" для любимого поисковика.
Можно просто отключить службу "определение оборудования оболочки".
Я вообще не пользуюсь автозапуском - мне всегда хочеться самому видеть то, что я запускаю.
Я вообще не пользуюсь автозапуском - мне всегда хочеться самому видеть то, что я запускаю.
Тоже вариант. Я помню, что какой-то из способов порождал глюки вида "вставляю диск, а метка от прошлого диска отображается", но хоть убей не помню, какой именно. Кажется, самый кошерный через gpedit.msc :)
В основной под бубунтой сижу, поэтому автозапуском из autorun.inf пользоваться не могу :) Да и не нужен он, все правильно.
В основной под бубунтой сижу, поэтому автозапуском из autorun.inf пользоваться не могу :) Да и не нужен он, все правильно.
большое спасибо
Зачем такие сложности? Есть стандартные методы через групповые политики или через ручную правку реестра.
Пуск -> выполнить -> gpedit.msc -> система -> запретить автозапуск.
Пуск -> выполнить -> gpedit.msc -> система -> запретить автозапуск.
Создаем текстовый файл с таким содержимым, затем переименовываем его в *.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
последний ключь на корню прибивает Autorun.inf?
если так то мне как раз этого не хватало ...
даже после отключения (через политики ... через реестр через Твикеры) остаёться действие по умолчанию прописанное в файле Autorun.inf или Autorun.ini
что приводит к заражению по 2йному клику ..
всё клёво но в огромной корпорации невозможно объёснить каждому пользователю как нужно открывать флэшки (через проводник) .. да и геморой это большой
если так то мне как раз этого не хватало ...
даже после отключения (через политики ... через реестр через Твикеры) остаёться действие по умолчанию прописанное в файле Autorun.inf или Autorun.ini
что приводит к заражению по 2йному клику ..
всё клёво но в огромной корпорации невозможно объёснить каждому пользователю как нужно открывать флэшки (через проводник) .. да и геморой это большой
Это не всё :)
Мы вот тут пообсуждали данную тему, и в итоге выработались рекомендации.
http://virusinfo.info/showthread.php?t=17442&highlight=autorun
Мы вот тут пообсуждали данную тему, и в итоге выработались рекомендации.
http://virusinfo.info/showthread.php?t=17442&highlight=autorun
НЛО прилетело и опубликовало эту надпись здесь
Весной 2007 года столкнулся с таким зверушкой. У него ещё поведение было примечательное - создавал папку с недопустимым названием. Потому папку можно было посмотреть, но удалить нельзя, ибо объект с таким именем отсутствует. А распространялся с заражённого компа за 2 сек пребываения флешки в порте.
НЛО прилетело и опубликовало эту надпись здесь
Читал новость и думал, что тут будет информация, как отключить автостар USB-flash девайсов, но нету =)
Поэтому разыскал в интернете решение сам: - скачиваем с сайта Microsoft программу TweakUI, инсталлируем и запускаем её.
После запуска - в левой части, в меню выбираем пункт "My Computer / AutoPlay / Types" и в правой части убираем галки напротив пунктов
- Enable Autoplay for CD and DVD drives
- Enable Autoplay for removable drivers
Далее нажимаем OK и закрываем программу. Всё, вы в безопасности.
Поэтому разыскал в интернете решение сам: - скачиваем с сайта Microsoft программу TweakUI, инсталлируем и запускаем её.
После запуска - в левой части, в меню выбираем пункт "My Computer / AutoPlay / Types" и в правой части убираем галки напротив пунктов
- Enable Autoplay for CD and DVD drives
- Enable Autoplay for removable drivers
Далее нажимаем OK и закрываем программу. Всё, вы в безопасности.
Могу добавить про Висту. Там проблема самовоспроизведения была исправлена, и там по-умолчанию появляется окно, в котором нужно выбрать, что вы хотите сделать с USB drive / DVD / CD (открыть в Windows Explorer'e или же Autoplay).
чтоб им 100 лет икалось за такое решение.
в ХР то же самое...
> Всё, вы в безопасности.
Пока... :)
Пока... :)
все-таки это очень хорошо, когда система просто работает безо всяких проблем, как windows xp
не понял какое отношение этот комментарий имеет к теме поста?
спасибо, посмеялся
не важно какая система. надо правильно настроить )
Windows не требует настройки, она просто работает. К тому же все давно привыкли к Windows - еще с 95-й, когда данная дыра была впервые представлена.
ну знаете, я бы поспорил )
когда поставил висту, шок длился сутки, а потом неделю я сидел над ней вычищая
теперь только радует и я за висту )
когда поставил висту, шок длился сутки, а потом неделю я сидел над ней вычищая
теперь только радует и я за висту )
Ну знаете, когда я поставил openSuse, я был в шоке день (потому что мне понравился интерфейс KDE и много разных плюшек), а потом за пару дней я установил авоматом специфический софт из репозитариев, настроил дрова на планшет и теперь он просто работает. К моему большому сожалению по линукс нет аналогов тех графических программ, которыми я пользуюсь, а под wine они тупят или не идут вовсе.
Windows XP "просто работает"? Скажите это моему, как это, "Vista Premium Ready"-ноутбуку-)
Привычка не читать пост перед написанием комментария - она, знаете, плохая :)
Удивили... да уже года 2-3 с компов друзей, Интернет-кафе и прочих общедоступных тачек ношу себе эти вирусы...
Вообще неясно, зачем нужен такой авторан на флешке. Ну понятно когда на диске с игрой, но на личном накопителе то нафига?
У себя давно уже решил проблему, сделав все скрытые файлы видимыми, и отключив службу "Определение оборудования оболочки".
Вообще неясно, зачем нужен такой авторан на флешке. Ну понятно когда на диске с игрой, но на личном накопителе то нафига?
У себя давно уже решил проблему, сделав все скрытые файлы видимыми, и отключив службу "Определение оборудования оболочки".
А есть флешки, поставляются со всяким софтом разным, который запускается при вставке флешки, например, система шифрации данных на флешке и программа расшифровки по паролю... нужно если флешка потеряется, в целом идея неплохая...
идея то вобщем то хорошая отличный способ незаметного взлома, надо поставить какой нить троян другу и даже не надо изобретать веласипед, дядя Билли уже о бо всем позаботился. А если серьёзно, вместо того что бы пихать проверку сертификатов куда попала лучшеб на авторан нужен был сертификат, тем кому нужен будет и его достанут но хоть от сказаного мной способа установки софта "другу" защитит..
Знаю я такие флэшки. Но никак не одобряю. Помнится была у меня какая-то Transcend и была там утилитка паролирования/шифрования. Всё делалось предельно просто: флэшка разбивалась на два раздела, один из которых маленький (забитый под завязку специально) и содержащий экзэшник (запускаемый руками), а во втором всё остальное (шифрованный). По сути так и есть сейчас, только не у всех флэшек загрузочная область распознаётся как отдельный диск. Однако же ничто не мешает спросить у продавца в магазине какая флэшка (или посмотреть описание в инете).
Насмешили..
У продавца.
Я неделю вяло но с интересом дискутировал с продавцами об этом. Отличались они умным видом и 3 классами церковно приходской видимо.
Я выяснил:
1) так не бывает
2) вам такого не надо
3) у вас (тебя братан) параноя :))
4) добавить из своего опыта.
У продавца.
Я неделю вяло но с интересом дискутировал с продавцами об этом. Отличались они умным видом и 3 классами церковно приходской видимо.
Я выяснил:
1) так не бывает
2) вам такого не надо
3) у вас (тебя братан) параноя :))
4) добавить из своего опыта.
Хм. Не знаю. То ли я хожу в правильные магазины, то ли в Краснодаре технически подкованные консультанты, то ли я не часто задаю вопросы.
Вообще говоря ответы из списк можно получить в каком-нибудь хозяйственном магазине, где флэшками чисто для количества и понта торгуют.
В специализированном магазине в худшем случае получал ответ «Ой, я не знаю, сейчас я мальчика позову, который знает» или лицезрел изъятие инструкции на русском.
А если уж встретите флэшку, с которой нельзя руками запустить то, что автозапуском запускается, советую её вернуть или выкинуть — это явно какой-то идиотический левак. Нормальные фирмы так не делают, ибо флэшка может засовываться в разные компы с разными платформами и нет никакой гарантии, что везде есть автозапуск.
Вообще говоря ответы из списк можно получить в каком-нибудь хозяйственном магазине, где флэшками чисто для количества и понта торгуют.
В специализированном магазине в худшем случае получал ответ «Ой, я не знаю, сейчас я мальчика позову, который знает» или лицезрел изъятие инструкции на русском.
А если уж встретите флэшку, с которой нельзя руками запустить то, что автозапуском запускается, советую её вернуть или выкинуть — это явно какой-то идиотический левак. Нормальные фирмы так не делают, ибо флэшка может засовываться в разные компы с разными платформами и нет никакой гарантии, что везде есть автозапуск.
Поддерживаю.
Фирма Майкрософт проявила редкостное скудоумие допустив возможность автозапуска с записываемых накопителей.
Фирма Майкрософт проявила редкостное скудоумие допустив возможность автозапуска с записываемых накопителей.
Подскажите плз где руками отключить авторан с юсб накопителей в ХР, а не через вышеприведенную софтину.
мой предыдущий пост (Пуск -> Панель управления -> Администрирование -> Службы, "Определение оборудования оболочки" -> Свойства -> Тип запуска: отключено, Стоп -> ОК)
проще софтиной 2 галки поставить. Иначе правь в реестре ветки.
ко мне друзья приходят с флэшками, и хоть я открывал их через far , всё равно "гадость" просачивалась.
в итоге решил вообще везде вырубить автораны, вот рецепт:
http://www.howtogeek.com/howto/windows/d…
где-то ещё встречал, там тоже как-то через политики,но там числа надо было вводить.
в итоге решил вообще везде вырубить автораны, вот рецепт:
http://www.howtogeek.com/howto/windows/d…
где-то ещё встречал, там тоже как-то через политики,но там числа надо было вводить.
вот сборник рецептов http://xeningem.livejournal.com/79656.ht…
несколько раз уже встречал один autorun "вирус", и на флешках и на HDD. Обычно простых пользователей, не знающих что такое autorun.inf, это вводит в ступор, и они очень сильно привыкают к открытию дисков с помощью ПКМ->Открыть :) А "вирус" состоит в записи autorun.inf с примерным содержанием
[autorun]
open=copy.exe
Всё, диск/флешка инфицированы :)
[autorun]
open=copy.exe
Всё, диск/флешка инфицированы :)
очень удивился этому посту: больше года уже борюсь с подобными вирусами.
лично я ничего не отключаю (типа авторан или сервисы), а просто держу Shift, когда вставляю флэшку - авторан не завпускается. потом открываю ее через Far Manager и удаляю все долбаные вирусы, вытаскиваю флэху и снова вставляю. вирусов уже нет, мир спасен :)
просто людям надо быть умнее, повышать свою компьютерную грамотность...
лично я ничего не отключаю (типа авторан или сервисы), а просто держу Shift, когда вставляю флэшку - авторан не завпускается. потом открываю ее через Far Manager и удаляю все долбаные вирусы, вытаскиваю флэху и снова вставляю. вирусов уже нет, мир спасен :)
просто людям надо быть умнее, повышать свою компьютерную грамотность...
Mac-и тоже запускают содержимое флешок?
Побойтесь Бога. Зачем лезть с маковским вопросом в этот сугубо специфичный пост.
- А можно ли запустить на маке виндовую программу?
- Можно. Только работать не будет. (с)
На самом деле, очень часто, когда вставляю чью-то флешку в свой макбук вижу эти вирусы на ней. Последний раз попался вирус на флешке препода - всю группу заразила )
- Можно. Только работать не будет. (с)
На самом деле, очень часто, когда вставляю чью-то флешку в свой макбук вижу эти вирусы на ней. Последний раз попался вирус на флешке препода - всю группу заразила )
Спасибо, отключил и вправду ненужная и навязчивая служба.
Первый такой вирус я встретил летом 2007-ого, после заражения антивирус его немог убрать, приходилось удалять руками из реестра autorun.inf из ключа userinit. А касперский попросту не реагировал на 7 файлов autorun.* в корне каждого диска. Но вот появилось еще множество таких вирусов и антивирь ругается на *.exe или *.com которые копирует autorun, но сам autorun не удаляет :(
Первый такой вирус я встретил летом 2007-ого, после заражения антивирус его немог убрать, приходилось удалять руками из реестра autorun.inf из ключа userinit. А касперский попросту не реагировал на 7 файлов autorun.* в корне каждого диска. Но вот появилось еще множество таких вирусов и антивирь ругается на *.exe или *.com которые копирует autorun, но сам autorun не удаляет :(
У нас один коллега постоянно приносит вирусы на флешке. Ему приходится периодически работать с инфицированными компами и он притаскивает различную autorun-заразу. Я ему предложил отформатировать флешку в NTFS, создать свой autorun.inf и поставить на него такие права, чтоб никто кроме создателя не смог перезаписать. Ну и радикальное решение - флешка со слайдером защиты от записи. Когда не собираешься на неё писать, а только с неё - передвинул переключатель и спокойно раболтаешь. Таких флешек правдо в продаже мало и как правило ёмкость у них небольшая. Как вариант - миниатюрный ридер карт SD и карта к нему, такие по размеру и внешнему виду почти не отличаются от флешек и есть в широкой продаже, но вытаскивать каждый раз SD чтобы сдвинуть переключатель защиты от записи не слишком удобно.
Распространение вирусов через флешки и autorun'ы действительно уже года 2-3. Что удивительно, так это поведение антивирусов. Symantec находит сразу же вирус и удаляет его оставляя файл autorun.inf. А нод наоборот - удаляет autorun.inf и оставляет сам вирус (а это могут быть .dll, .com, .pif, и т.д.)
Отключить автозапуск желательно и потом заходить на флешки (особенно после публичных мест) желательно либо в ФАРе либо через Total Commander (кому что нравиться)
Отключить автозапуск желательно и потом заходить на флешки (особенно после публичных мест) желательно либо в ФАРе либо через Total Commander (кому что нравиться)
А продукт Касперского не знаете как на это реагирует?
вопит как зарезанная свинья =)
Давно такие трояны уже гуляют, у меня уже даже привычка выработалась, проверять флешки на наличие авторанов и скрытых файлов. Кста попадался даже троян который сам меняет параметры отображения скрытых файлов
Давно такие трояны уже гуляют, у меня уже даже привычка выработалась, проверять флешки на наличие авторанов и скрытых файлов. Кста попадался даже троян который сам меняет параметры отображения скрытых файлов
ЗЫ: Я ещё забыл упоминуть что всегда стоит зажимать шифт, чем мы обезвреживаем авторан и можно спокойно работать (или спокойно проверять флешку антивирусом ;-) )
у меня такой стоит. Он не только не даёт включить отображение скрытых файлов, но и не даёт себя удалять. (Причём не только из Эксплорера - такое бывает, но и из командной строки)
Хотите - поделюсь?
Хотите - поделюсь?
Вот чего не знаю, того не знаю. Уже очень давно не пользуюсь касперским. Могу посоветовать вот что сделать. Отключить автозапуск дисков, флешек и т.д. и заходить на сьемные носители через Тотал Коммандер или Фар. Так Вы не запустите авторан и сможете спокойной убить вирус с автораном
Насколько я помню нажатая кнопка шифт при вставке диска/флэшки отменяет автозапуск ;)
Простой способ предотвратить заражение своей флешки при подключении к чужой инфицированной машине.
Создаёте на флешке ПАПКУ с именем autorun.inf
Всё.
По-моему, довольно красиво.
Вирус пытается создать файл autorun.inf, но у него не получается, т.к. уже есть папка с таким именем. Правда сам исполнимый код вируса, который он пытался прописать в autorun.inf копируется на флешку ( обычно это файлики .exe .com .bat со странными именами ). Ну да если вы самостоятельно не запустите этот код, то его легко удалить. В любом случае, такая флешка "обезврежена" и не придётся переживать когда подключаешь её в свою систему.
Можно плюсовать :).
Создаёте на флешке ПАПКУ с именем autorun.inf
Всё.
По-моему, довольно красиво.
Вирус пытается создать файл autorun.inf, но у него не получается, т.к. уже есть папка с таким именем. Правда сам исполнимый код вируса, который он пытался прописать в autorun.inf копируется на флешку ( обычно это файлики .exe .com .bat со странными именами ). Ну да если вы самостоятельно не запустите этот код, то его легко удалить. В любом случае, такая флешка "обезврежена" и не придётся переживать когда подключаешь её в свою систему.
Можно плюсовать :).
желательно этому файлу поставить ещё "только чтение"
Плюсую, хоть вы и опередили мои мысли:) На этот способ меня когда-то натолкнула цитата с Баша http://bash.org.ru/quote/250600 :)
а вирусы конечно пишут идиоты? содержимое авторана перезаписывается на open=copy.exe
Перечитайте ещё раз.
Создаётся ПАПКА c именем autorun.inf
Если такая папка есть в корне, то вирусы ( во всяком случае все с которыми я сталкивался на чужих заражённых машинах ) не могут создать ФАЙЛ с таким же именем. Всё. Нормальный авторан не работает. Я говорю не просто так, а т.к. с полгода назад на всех своих флешках сделал такое ( после того как обнаружил и вылечил у себя одну "радость" ) и с тех пор подключался в очень разных местах от интернет-клубов до униврситетских машин ( на которых вирусы кишат плюс тебе не дают прав админа :) ). и до сих пор ни один гад ко мне не пролез. Ну может это пока и будет работать не всегда, но сейчас - работает.
Создаётся ПАПКА c именем autorun.inf
Если такая папка есть в корне, то вирусы ( во всяком случае все с которыми я сталкивался на чужих заражённых машинах ) не могут создать ФАЙЛ с таким же именем. Всё. Нормальный авторан не работает. Я говорю не просто так, а т.к. с полгода назад на всех своих флешках сделал такое ( после того как обнаружил и вылечил у себя одну "радость" ) и с тех пор подключался в очень разных местах от интернет-клубов до униврситетских машин ( на которых вирусы кишат плюс тебе не дают прав админа :) ). и до сих пор ни один гад ко мне не пролез. Ну может это пока и будет работать не всегда, но сейчас - работает.
Обязательно попробую. т.к. вопрос как защитить мою флешку от враждебного компа стоит острее чем защита моего компа от враждебной флешки.
Буквально два дня назад боролся с таким вирусом. Nod32 к сожалению ничего не отрапортовал даже по моей просьбе.
Вставляем флэшку.
Заходим на нее.
Включаем "отображение скрытых файлов".
Видим в корне флэшки autorun.inf и наборсимволов.dll ("наборсимволов" генерируется каждый раз по разному).
В свойствах файла наборсимволов.dll можно увидеть метку Java и что-то там еще... не запомнил.
Удаляем эти два файла, вытаскиваем флэшку и пока откладываем ее в сторону.
Скачиваем с Microsoft утилиту Autoruns.
Ищем в списке в колонке Description на закладке Everything ту самую "Java не помню что там дальше".
Нужно быть внимательным и не перепутать с настоящей Java.
Нашли?
Теперь запоминаем путь где лежит этот файл и имя этого dll. Как правило он ложится в c:\windows\system32\ Путь можно увидеть в колонке Image Path напротив найденного подозрительного файла.
Отключаем чекбокс напротив файла.
Закрываем autoruns. Перезагружаем компьютер.
Удаляем этот dll.
Вставляем флэшку.
Заходим на нее.
Включаем "отображение скрытых файлов".
Видим в корне флэшки autorun.inf и наборсимволов.dll ("наборсимволов" генерируется каждый раз по разному).
В свойствах файла наборсимволов.dll можно увидеть метку Java и что-то там еще... не запомнил.
Удаляем эти два файла, вытаскиваем флэшку и пока откладываем ее в сторону.
Скачиваем с Microsoft утилиту Autoruns.
Ищем в списке в колонке Description на закладке Everything ту самую "Java не помню что там дальше".
Нужно быть внимательным и не перепутать с настоящей Java.
Нашли?
Теперь запоминаем путь где лежит этот файл и имя этого dll. Как правило он ложится в c:\windows\system32\ Путь можно увидеть в колонке Image Path напротив найденного подозрительного файла.
Отключаем чекбокс напротив файла.
Закрываем autoruns. Перезагружаем компьютер.
Удаляем этот dll.
эволюция - раньше дискеты, теперь флешки :)
Win+R, пишем regedit, нажимаем ok.
В меню Edit->Find, в окне поиска пишем NoDriveTypeAutoRun, ищем.
Заменяем значение всех найденных параметров на FFFFFFFF = 2^32
Как в Висте не знаю.
В меню Edit->Find, в окне поиска пишем NoDriveTypeAutoRun, ищем.
Заменяем значение всех найденных параметров на FFFFFFFF = 2^32
Как в Висте не знаю.
на нашей кафедре есть один назойливый червяк, лезущий на флешки. Упорно убиваю его, монтируя флешку под Линуксом и уничтожая физически его файлы.
Если я не ошибаюсь, чтобы отключить автозапуск можно просто зажать Shift в нужный момент.
А я переформатировал флещ в ntfs и закрыл корень на запись всем пользователям :) теперь ко мне уж точно ни чего не попадет.
Заранее подготовленный autorun.inf c правами "только для чтения" мне не помогал.
Заранее подготовленный autorun.inf c правами "только для чтения" мне не помогал.
мне, кажется или эти вирусы стартуют только когда пользователь пытается открыть флэшку через дабл-клик или олюбой пункт в контекстном меню оной. Если же выбирать в дереве каталогов или через сторонню программу (totalcmd, far), то автозапуска не произойдет. А так же его не будет, если выбрать пункт "Открыть" в диалоге "что делать с флэшкой", который иногда предлагает выньда.
Подробно об autorun и как с ним бороться:
http://virusinfo.info/showthread.php?t=17442
http://virusinfo.info/showthread.php?t=20291
Если заразились - http://virusinfo.info/showthread.php?t=1235
http://virusinfo.info/showthread.php?t=17442
http://virusinfo.info/showthread.php?t=20291
Если заразились - http://virusinfo.info/showthread.php?t=1235
Очень часто сталкиваюсь с этим зверьём. Могу поделиться опытом. Во-первых жмите шифт когда вставляете флешку. Во-вторых сразу после этого читайте авторан и удаляйте файл, стоящий на авторане. В-третьих если не получается, пользуйте unlocker.
Недавно убил у себя такого трояна - ravmon.exe. Неизвестно сколько он у меня пробыл, но, надеюсь, недолго. Антивирусами не пользуюсь (поскольку беспорядочную половую жизнь, вроде как, не веду). Обнаружил только потому, что как ни вставлю какую-нибудь флэшку, на ней в корне лежит этот файл. Посмотрел в инете, и в ужасе начал чистить все флэшки - из фотиков, плееров, телефонов...
Давняя тема. В Англии вирусораспространители раскидывали на парковках флэшки с вирусами. Народ находил, вставлял, а дальше вирус уже сам все делал.
У нас на всех компах запрещен автозапуск дисков.
У нас на всех компах запрещен автозапуск дисков.
У меня в последнее время на трех компах поселился некий amvo - никак убить не удается. И селится исключительно на флешках.
Не только на просто usb-флешках, но и на флешках в фотоаппартах/телефонах - их вообще никогда никто не проверяет, если антивирус автоматом этого не делает так и носят друг к другу с вируснёй.
Год назад постоянно чистил фотоаппараты от вирусов :) Сам сижу в Linux, поэтому проблема не актуальна.
Год назад постоянно чистил фотоаппараты от вирусов :) Сам сижу в Linux, поэтому проблема не актуальна.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
некая гадость для флешек обвесила все рабочие компьютеры в КПИ (Киевский политехнический институт), уже полгода висит. Всунешь флешку в соседнем отделе что-то скинуть, потом к себе - сразу НОД32 кричит (((
И не гадит вроде, вообще никак не мешает; но плодится и размножается, что кролики весной :)))
Жене недавно винду переставляли, у нее антивиря не было, вот эта же тварь на жесткий диск перелезла. Лишь с 4-5 попытки завалили - оно так же успешно с дисков C и D авторанится :(
И не гадит вроде, вообще никак не мешает; но плодится и размножается, что кролики весной :)))
Жене недавно винду переставляли, у нее антивиря не было, вот эта же тварь на жесткий диск перелезла. Лишь с 4-5 попытки завалили - оно так же успешно с дисков C и D авторанится :(
сидело, но прошло... а может и сидит, но я его найти не могу... скрытые файлы отображаются...
когда возникла проблема мне вот что посоветовали, но я не пробовала этот вариант, т.к на тот момент уже переустановила винду... : (перед всеми манипуляциями создаём точку востановления)
Беда в том, что антивирус удаляет инфицированные файлы, но не может исправить изменения, которые были сделаны вирусом в реестре с целью заблокировать отображение скрытых файлов. Мне помогли следующие инструкции:
Вирус распространяет своё тело в корень всех локальных дисков и носителей информации, используя Autorun.inf, который запускает вирус при двойном клике на инфицированном диске. Файл скрытый. Так же вирус внедряет троян в систему и правит реестр, делая невозможным отображение скрытых файлов. При этом он не просто изменяет значение ключа [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
и
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
но меняет и тип ключа с "Параметр DWORD" на "Строковый параметр"
делая невозможным его редактирование стандартными средствами и блокируя изменения через "Сервис\Свойства папки\Вид".
Лечение:
Удаляем все файлы вируса и файл Autorun.inf удаляем ручками через поиск или в хорошем тоталкомандаре, перезагружаем компьютер.
В regedit удаляем неправельные ключи типа "Строковый параметр"
"Hidden"=0
"CheckedValue"=0
и создаём новые типа "Параметр DWORD"
"Hidden"=dword:00000001
"CheckedValue"=dword:00000001
в приведённых выше ветках.
ещё:
1. удаляем из автозагрузки amvo.exe (или amva.exe) через Пуск-->Выполнить msconfig Автозагрузка, или через RegCleaner
2. через ACDSee удаляем amvo.exe в БЕЗОПАСНОМ РЕЖИМЕ, потому что в обычном режиме он занят другим процессом .Он прописывается в автозагрузку (авторан). находится здесь: C:\Windows\System32\amvo.exe (если есть amvo1.dll его тоже надо удалить) Этот файл скрытый. Windows его не видит, total commander тоже не видит, на щёт FARa не знаю не проверял. Знаю точно что ACDSee. Он видит скрытые файлы, даже если Explorer их не видит.
3. этот файл Amvo.exe генерирует файлы autorun.ini и x6.bat на всех дисках (на С, D... и на флэшках тоже, вобщем на всех, кроме CD и DVD). Удаляем эти файлы autorun.ini и x6.bat там же - в БЕЗОПАСНОМ РЕЖИМЕ.
4. после удаления этих файлов они хотя бы больше не будут появляться.
5. перегружаем комп.
6. пробуем включить отображение скрытых файлов.
когда возникла проблема мне вот что посоветовали, но я не пробовала этот вариант, т.к на тот момент уже переустановила винду... : (перед всеми манипуляциями создаём точку востановления)
Беда в том, что антивирус удаляет инфицированные файлы, но не может исправить изменения, которые были сделаны вирусом в реестре с целью заблокировать отображение скрытых файлов. Мне помогли следующие инструкции:
Вирус распространяет своё тело в корень всех локальных дисков и носителей информации, используя Autorun.inf, который запускает вирус при двойном клике на инфицированном диске. Файл скрытый. Так же вирус внедряет троян в систему и правит реестр, делая невозможным отображение скрытых файлов. При этом он не просто изменяет значение ключа [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
и
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
но меняет и тип ключа с "Параметр DWORD" на "Строковый параметр"
делая невозможным его редактирование стандартными средствами и блокируя изменения через "Сервис\Свойства папки\Вид".
Лечение:
Удаляем все файлы вируса и файл Autorun.inf удаляем ручками через поиск или в хорошем тоталкомандаре, перезагружаем компьютер.
В regedit удаляем неправельные ключи типа "Строковый параметр"
"Hidden"=0
"CheckedValue"=0
и создаём новые типа "Параметр DWORD"
"Hidden"=dword:00000001
"CheckedValue"=dword:00000001
в приведённых выше ветках.
ещё:
1. удаляем из автозагрузки amvo.exe (или amva.exe) через Пуск-->Выполнить msconfig Автозагрузка, или через RegCleaner
2. через ACDSee удаляем amvo.exe в БЕЗОПАСНОМ РЕЖИМЕ, потому что в обычном режиме он занят другим процессом .Он прописывается в автозагрузку (авторан). находится здесь: C:\Windows\System32\amvo.exe (если есть amvo1.dll его тоже надо удалить) Этот файл скрытый. Windows его не видит, total commander тоже не видит, на щёт FARa не знаю не проверял. Знаю точно что ACDSee. Он видит скрытые файлы, даже если Explorer их не видит.
3. этот файл Amvo.exe генерирует файлы autorun.ini и x6.bat на всех дисках (на С, D... и на флэшках тоже, вобщем на всех, кроме CD и DVD). Удаляем эти файлы autorun.ini и x6.bat там же - в БЕЗОПАСНОМ РЕЖИМЕ.
4. после удаления этих файлов они хотя бы больше не будут появляться.
5. перегружаем комп.
6. пробуем включить отображение скрытых файлов.
Некоторые из такого рода вирусов можно обломать, если на флешке создать autorun.inf с атрибутом Read-Only - некотрые из таких вирусов не могут снять защиту от записи с файла, а зачит не впишутся в авторан.
Необходимо не просто создать папку autorun.inf и дать ей атрибуты readonly а в ней создать еще что-нибудь, неважно что файл или папку еще.
Это предотвратит тупые удаления используя rmdir без ключа /S
часть идиотов отсеивается.
Еще часть идиотов отсеится, если в имени файлов внутри autorun.inf написать недопустимые символы.
Тогда система не сможет удалить и потребуется еще пыхтеть.
Однако… против лома есть другой приемчик для вирусописателей:
Зачем удалять?
Нужно переименовывать! И данные останутся на всякий случай(например для stealth можно самому запускать этот autorun, если он не папка)
И Проблемм с удалением не будет и всеми такими хитрицами как вы.
Поэтому флэшку защитить не получиться. Есть отличный вариант защиты — покупайте флэшку с переключателем readonly.
А кроме того что можно заразить autorun, можно заразить или еще смешнее — подменить любой exe inf html… файл.
Панацея защиты — переключатель.
А панацея для компа — отключение авторуна нафсегда.
А загрузочные флэшки — вопрос другой
Это предотвратит тупые удаления используя rmdir без ключа /S
часть идиотов отсеивается.
Еще часть идиотов отсеится, если в имени файлов внутри autorun.inf написать недопустимые символы.
Тогда система не сможет удалить и потребуется еще пыхтеть.
Однако… против лома есть другой приемчик для вирусописателей:
Зачем удалять?
Нужно переименовывать! И данные останутся на всякий случай(например для stealth можно самому запускать этот autorun, если он не папка)
И Проблемм с удалением не будет и всеми такими хитрицами как вы.
Поэтому флэшку защитить не получиться. Есть отличный вариант защиты — покупайте флэшку с переключателем readonly.
А кроме того что можно заразить autorun, можно заразить или еще смешнее — подменить любой exe inf html… файл.
Панацея защиты — переключатель.
А панацея для компа — отключение авторуна нафсегда.
А загрузочные флэшки — вопрос другой
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вирусы переселяются на USB-флэшки