Помогите с вирусами, help!

Люди!!!

Замучили вирусы, которые создают на корневых дисках файлы autorun.inf + паровозом ещё какой-то файлик создаётся...
Хорошо если антивирь находит...

Бля вот сегодня какая-то сука цепанула вот это:
autorun.inf
188qsm.bat

В инете про данное чудо вообще ничего нету...

Поможет ли отключение автозапуска через глобальную политику???

попробуй антивирь который сканирует до загрузки системы, точно не помню какой

Zerax , думал у мну аднаво такая хуйня... Тожа нинаю как с ним бароццо. Дома НОД чёта вроде находит, удаляю а они сцуки опять аткудата беруццо...

Насколько я знаю, создаються файлы типа autorun.*

Делаем следущее:

Заходим в безопасный режим (ф8 во время загрузка)
WIN+R > msconfig >закладка автозагрузка> ищем файлик service( s/32 ваианты). exe он лежит обычно в папке CURSORS
если service32.exe то в SYSTEM32

Херачим этот файлик!
Далее херачим файлы типа autorun.* в корне на всех дисках и в папке Windows (eще могут быть в папке SYSTEM32)
WIN+R>regedit> HKLM\Software\microsoft\windows nt\winlogon
проверяем параметр shell
(В оригинале он такой shell: explorer.exe) удаляем все что после эксплорера

и всё .

З.Ы. В организации много машин позарожалось, лечил таким способом - помогло

НОД находит только часть тела вируса, но пропускает файлы скрипта *.wsh их из тоже херачим

Такая же хуйня шарилась по сетке (120 машин). Если инфицированная машина обращается на общий ресурс, это херь лезет и туда. Серверный антивирь бессилен, ибо грохает только файл, поступивший к нему, а процесс (который на удаленной машине) не может. Кста, заражает все, подключенное к инфицированной машине - флешки, флехи в фотоаппаратах, мобилах и т. п.

Я лечил Авирой. Антивирусняк бесплатный, а грохает на ура это дерьмо.

SurguТЧ
Псиба, ща в избранное добавлю на всякий случай, хотя вроде не сталкивался пока. У меня каспер стоит(137 машин в сетке).

Сделал всё как написал...
А ему похуй...


После перезагрузки опять появляется...

Добавлено в 11:03
Вообщем так!!!

Помогло вот это:

Создаешь текстовый файл с расширением reg и вписываешь туда вот это:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Потом грузишся в сейфмоде херачиш автораны и всё...

отключили автозапуск, а вирус?

service32.exe - если есть копия в dllcache? то удалить возможно только после чистки C:\WINDOWS\system32\dllcache (восстановится, еще до перезагрузки)

1 очистить: C:\WINDOWS\system32\dllcache -копии системных файлов которые будут восстановлены при удалении/изменении(обычно тут вирусы страхуют себя)
2 очистить: очистить все темп папки(или воспользоваться какой нить утилитой? напр:Ccleaner)

3 запустить: AUTORUNS - показывает всё, что запускает win при загрузке системы.(для опытных пользователей). Обращайте внимание на строки, где нет производителя, нет комментария, путь не к системной папке(например в темп).

---
или: Запустить AVZ - утилита(должна все сама убить)

Plunge
SurguТЧ

Камрады, хуясе вас плющит. Не, я понимаю, что истинные админы любят героически преодолевать трудности, которые сами же и создают (сам такой), но в такие дебри-то нахуя?

антивирус хорошо, но руками лучше

Всегда улыбался с админов, которые в сетке >30 машин дают учетным записям права локального админа, на юзверей всех пересажать, а хэлпдэск озадачить на установку нужного софта, в догонку, грамотно прописанная политика безопасности на AD или PDC - всегда помогала и поможет атцу русской демократии.

Приблизительные советы каким образом стряпать политики безопасности чтобы ниадна тварь не проникла на машину, и уж тем более не запустилась на ней:

1) Запрет на запись на диск С
2) Уж тем более в системные папки
3) Хранить пользовательское файло в профилях, подключаемых при логине пользователя в домен,
3.а) чтобы место не занимали много профили - квоты и только они на профили, остальное гавно на автоматически подцепляемых шарах хранить. Прописать политики для хранения профилей и личных папок, ну типа нахуй сл. файлы и через запятую какие именно ебашить при попытках залить их не сервак, чтобы какая нить бухгалтерша не вздумала коллекцию любимых фильмов и музыки хранить на рабочем столе, который грузиться каждый раз с сервака, у меня такие молодцы были, голову свернул даже мяукнуть не успели.
4) запрет на запись в реестр, только в пользовательские ветки
5) запрет на запуск прог без цифровой подписи
6) Запрет на установку софта
7) Запрет на изменение текущей конфигурации
8) Запрет на запись в общих шарах файлов с расширениями типичными для зверьковых

После проведения выше перечисленных мероприятий большинство юзверей подымут бунт и потребуют посадить на кол такого админа - НЕ ВЕДИТЕСЬ НА ЭТУ ХУЙНЮ, как правило такие локальные бунты усмиряются урезанием пропускной способености канала в инет до скорости модемного соединения или редиректом при загрузке "одноклассников" на ваше милое, но очень пьяное ебальце. Через неделю, когда юзвери успокоятся и оставят попытки подсыпать мышьяк в чай, положить кнопки на стул, насрать под дверь(нужное подчеркнуть) админские будни станут скушными из-за отсутствия надобности проделывать все те вещи, которые были описаны выше на каждой машине. Испытано на собственном опыте, на предыдущем месте работы не знал траблов с вирусами только благодаря тому, что юзвери ходили в сетке с правами куропатки, и были прописаны драконовские правила для них, я не знал что такое зверье.

ЗЫ: Вообще чем меньше прав у пользователя - тем крепче сон админа.
ЗЫЫ: Господа админы - юзайте правильные оси на серверах, а не форточки и будете счастливы и беззаботны как младенцы.

2 StealtH

Как всегда прав...

Но вот тут такая делема...
Нету никакого AD темболее Win Ser
Юзаю ХП, поэтому вот такие головники...
+ сотрудники которые являются прямыми потомками руководства не серут под дверь, а пиздуют прямиком в нужную дверь и песдедят с нужным челом...
Который в свою очередь лёгким устным приказом отменяет весь креатифф который я хуярил днями и ночами...

Zerax как говорят в Одессе "У нас в Одессе была подобная история", точно так же и у меня было, за тем исключением, что некоторые сотрудники не были потомками, а прямыми родичами стоящими на одном уровне в генеалогическом древе с руководятлами, либо этих сотрудников официально ебло руководство при этом ничего не стесняясь, но тем не менее при нормальном подходе были достигнуты некоторые результаты, а именно, все они подчинялись тем правилам, которые навязывал я, причем с улыбкой на лице и ненавистью в душе.

А техническая проблема с отсутствием AD вполне решается наличием Samba-сервера в качестве PDC, через него собственно и рулилось у меня все, ничего виндового не стояло в сетке, акромя рабочих станций. Для этого требуется небольшая по мощности машина, на которой будет крутиться сервак, и база юзверей, на opennet.ru на эту тему есть куча статей, а политики отдавать с помощью PDC - вполне легко, для этого не нужно быть гением и настраивать кучу всяких замут.

Насчет руководства - не стоит с ними спорить и что-то доказывать - нужно просто вовремя сказать свое веское мяу, а именно - не хотим вводить политики безопасности - пожалуйста, гавно вопрос, и потом тихо ждем когда компутеры пользователей наполнятся под завязку всяким зверьем, ждем упорно до тех пор пока прямые потомки не заебуться ждать когда их комп загрузиться, потом по приходу к тебе отправлять именно в ту нужную дверь, в которую они так сильно любят ходить на предмет попиздеть какой хуевый админ. Далее разговор с руководством, в котором описывается дорогостоящее решение данной проблемы, и как вариант - политик безопасности компании, которые были внедрены хуйегознаит когда, но легким устным приказом были отменены с подачи прямых потомков, и потом вопрос: "так все-таки каким путем мы будем двигаться к светлому будущему?", более чем уверен, что руководятел выберет не путь наибольших денежных вливаний, а даже если и так, то на этой теме тоже можно поиметь кучу бабла, была бы голова чтобы это сделать. Да собственно говоря такой путь - самый легкий, хуле, начальство все оплачивает, самое главное - подобрать истинно правильное решение, и маштабируемое, чтобы работало как часы. Нууу собственно говоря это все, а там дальше думай сам.

Магу дабавить шо эта тварь пачтовая, изначальна нада проверить почту и снести эту тварь оттуда
сам лично завалил каспаровым, нод и симантик лишь чистил ошметки, а сам вирус оставался.
вот так.

Да это разнообразные трояны. Па типу BackDoor, Copyself или Downloader с разными модификациями.

В авторан.инф надо посмотреть какие файлы они стартуют, после чего грохнуть эти файлы и сам авторан.

Была такая хрень. Ни avz, ни drweb не могли ничего найти. На работе Symantec AntiVirus Corporated определил вирь как Worms.Autorun и пролечил все, на домашнем Avira Antivir Personal тоже все вычистил... остается только ручками автораны с корня поубивать и все.

Видел эту херню. принесли на флешке. NOD32 убил без вопросов.

Это сообщение отредактировал vit666 - 10.02.2008 - 03:55

У меня куча юзеров - прогеры/тестеры. Постоянно что-то ставят в производственных целях, и им права админа необходимы, увы.

Грамотно настроенная Винда тоже хороша.

от червей меня спасает файрвол (конкретно Outpost), да и есть такая прога как AnVir Task Manager в которой есть возможность заблокировать любой нежелательный процесс