Inf:autorun-g

P

Pavlo

Пользователь
Принесли на флэшке зверька, теперь не могу вывести ;)
Засыпает корневые каталоги всех дисков файлом "autorun.inf", Outpost выдает запрос какого-то соединения но не дает ничего предпринять, потом зависает и вырубается :)
Avast определяет как "INF:Autorun-G(Trj)"
Хорошо, что еще один винт с системой есть :huh: Загрузился с него, пошарил в Инете, вроде кучу советов прочитал, всё перепробовал но.... :blink:
Короче, систему видимо придется снести....А может, кто знает конкретное лекарство? Уже даже спортивный азарт появился ;) Не зря же всю ночь просидел?!!!!!!

ЗЫ: format :С не предлагать! :huh:
 
C

copycat

Guest
не знаю как Avast, но у меня Касперский7 неоднократно подобное запросто лечил.
 
P

Pavlo

Пользователь
Проблема в том, что помимо autorun.inf в корневом каталоге образуются еще скрытые файлы и где-то в /system/ исполняемый файл валяется (не говоря уже о реестре ;) ), а Avast, например, ругается только на autorun'ы. А как в Касперском?
 
C

copycat

Guest
Для себя предпочитаю один грамотный антивирус и ничего лишнего. Решать вам. А способов борьбы всегда найдётся несколько, например для вашего случая может подойти нижеупомянутая программа:
Анти-ауторан 2.0
Последнее обновление: 11.03.2007 (17.35):
отдельно очищает флэшки, mp3-плееры, цифровые фотоаппараты;
позволяет не удалять хорошие файлы;
показывает, где и сколько у вас файлов AUTORUN.*

К сожалению, даже хорошие антивирусы (такие, как Avast, например) не могут обнаружить некоторые вредоносные программы. Одна такая программа спокойно записывает по 13 файлов autorun.* с различными расширениями на все диски, включая флэшки и mp3-плееры...
http://www.bombina.com/load/anti_autorun.exe
 
Steeply

Steeply

Skynet
Любитель написал(а):
Принесли на флэшке зверька, теперь не могу вывести ;)
Засыпает корневые каталоги всех дисков файлом "autorun.inf", Outpost выдает запрос какого-то соединения но не дает ничего предпринять, потом зависает и вырубается :)
Avast определяет как "INF:Autorun-G(Trj)"
Хорошо, что еще один винт с системой есть :huh: Загрузился с него, пошарил в Инете, вроде кучу советов прочитал, всё перепробовал но.... :blink:
Короче, систему видимо придется снести....А может, кто знает конкретное лекарство? Уже даже спортивный азарт появился ;) Не зря же всю ночь просидел?!!!!!!

ЗЫ: format :С не предлагать! :huh:
Нажмите для раскрытия...
Каспер 7 его лечит без проблем.

Другие антивири его не видят.

Не хочешь антивирь, тогда запусти програмку autoruns. Убей из авто запуска не изместные приложения.
Особое внимание обрати на те что зхапускаются из WINDOWS\system32\

В этой папке есть exe фаил, не помню точно название, но начинаеться вроде на ar или an (как то так) Его легко узнать, можно посмотреть по дате создания, он будет отличаться сильно от других файлов Виндовс.

После того как замочешь этот фаил, убей на всех дисках autorun.inf и все файлы с расширением htt, а так же все файлы "название папки".exe

Из реестра сотри все упоминания об этих файлах

Рестани машину. Если все сделал правельно, то от вируса избавился.
 
Cosinus

Cosinus

Новичок
Подобное лечил Нортон Симантек антивирусом, убивал разом...
 
P

Pavlo

Пользователь
Спасибо всем, кто откликнулся!
Касперского нет...AVZ где-то даже был, надо поискать. А вручную всю ночь удалял :) Удаляю с C:/ появляется через 2 сек на других дисках и т.д. причем, с каким-то ntde1ect.com.
AntiAutorun не помог (или не умею :) ). Из реестра и Windows\system32 похоже даже лишку чего (кроме того, что надо) убрал. Отрубился Outpost, Nero и так, по мелочам... :) Загружается не всегда и неохотно...
Короче, кажется, остался стопрцентный способ: "Format C:"
Но еще комп у товарища остался, откуда принесли зверька :D Переведу туда эксперименты
 
Diablo

Diablo

Новичок
не смотрел линку выше, но ты эту прогу юзнул?
ЗЫ переименуй в .exe
 
P

Pavlo

Пользователь
Diablo написал(а):
не смотрел линку выше, но ты эту прогу юзнул?
ЗЫ переименуй в .exe
Нажмите для раскрытия...
Переименовал, попробовал, нашел 3 файла, удалил, через секунд 10 всё вернулось назад :lol:
Завтра придется "окна" переставлять... Так оказалось проще (и быстрей :) )
 
Delbord

Delbord

Пользователь
Была такая байда, притащил на флэшке. Сначала долго не мог понять, почему не открывается флэшка (NOD32 не давал). Открыв ее вручную и посмотрев путь в autorun'e, ппросто прибил екзешник, который прятался в "корзине" (папка recycler с характерным значком). Заодно прибил сам авторан и comment.htt, который был в корне на флэшке. Все, враг дальше не прошел, проблема исчезла.
 
P

Pavlo

Пользователь
Delbord написал(а):
Была такая байда, притащил на флэшке. Сначала долго не мог понять, почему не открывается флэшка (NOD32 не давал). Открыв ее вручную и посмотрев путь в autorun'e, ппросто прибил екзешник, который прятался в "корзине" (папка recycler с характерным значком). Заодно прибил сам авторан и comment.htt, который был в корне на флэшке. Все, враг дальше не прошел, проблема исчезла.
Нажмите для раскрытия...
У меня была какая то другая версия "зверька" :lol: Справился только переустановкой системы :lol:
НО! Сегодня принес флэшку с работы, сунул в комп, а там опять autorun!!! Но, т.к. автозапуск на всех диска выключил (в ветке был совет и прога), autorun с флэшки успешно удалил...
На работе в том компе проверил. Живет. Похоже твой вариант. Ссылается на корзину. А в ней на "stfmon.exe". Он не удаляется (из корзины), система не дает. Сам файл еще и в автозапуске прописался (оттуда тоже не вычеркивается, точнее восстанавливается после перезагрузки).
autorun и stfmon Касперским и Авастом как вирус не определяются... :blink:
 
Immortal

Immortal

groove
Любитель написал(а):
У меня была какая то другая версия "зверька" :lol: Справился только переустановкой системы :lol:
НО! Сегодня принес флэшку с работы, сунул в комп, а там опять autorun!!! Но, т.к. автозапуск на всех диска выключил (в ветке был совет и прога), autorun с флэшки успешно удалил...
На работе в том компе проверил. Живет. Похоже твой вариант. Ссылается на корзину. А в ней на "stfmon.exe". Он не удаляется (из корзины), система не дает. Сам файл еще и в автозапуске прописался (оттуда тоже не вычеркивается, точнее восстанавливается после перезагрузки).
autorun и stfmon Касперским и Авастом как вирус не определяются... :blink:
Нажмите для раскрытия...

пробуй НОД32
 
AlexXx

AlexXx

Местный
1. Отключите автозапуск всех носителей, которые подключаете к системе, флешки, сдром и тд. Как следствие вирус станет не угрозой, а в зараженной системе дальше не полезет.
2. Открываем файл autorun через блокнот, смотрим где лежат вожделенные мясные тела и грохаем их. далее поиском ищем все autorun и по запросу "*.exe", удаляем все екзешники с именами папок и все ог, иногда приходиться через диспетчер грохнуть процессы запущенные этим вирусом, а более ничего и не надо, все ручками удаляется проверено и не раз (ладно хоть не на моем компе ))).
3. ВИРУС НЕ СТРАШЕН ЕСЛИ ОТКЛЮЧИТЬ АВТОЗАПУСК СМЕННЫХ НОСИТЕЛЕЙ И CD-ROM
в выполнить REGEDIT
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
Параметр: NoDriveTypeAutoRun
Тип: DWORD
Значение: 000000ff
Значение, определяющее для каких типов носителей не будет обрабатываться автозапуск, определяются комбинацией битов:
Бит Тип носителя
0 Неизвестные
1 No root directory
2 Съёмные диски
3 Жёсткие диски
4 Сетевые диски
5 CD-ROM
6 Привода RAM-дисков
7 Reserved
 
AlexXx

AlexXx

Местный
Для непонятливых сразу вот так, не забудьте вынуть все съемные носители и после запуска файла перегрузиться и после ваще непарьтесь насчет этого вируса. Лучшая защита - хитрость!!!
 
SPart

SPart

Новичок
Der_Tod написал(а):
http://www.samlab.ws/soft/avz/

Просто и сердито, причем бесплатно. От лаборатории Касперского.
Нажмите для раскрытия...

Самый грамотный совет :blink:

ЗЫ Тогда уж сразу на офф. сайт http://z-oleg.com/secur/avz/download.php
ЗЫЫ Раньше эта супер утилитка была самостоятельной, а теперь принадлежит Касперскому.
 
SPart

SPart

Новичок
Delbord написал(а):
Была такая байда, притащил на флэшке. Сначала долго не мог понять, почему не открывается флэшка (NOD32 не давал). Открыв ее вручную и посмотрев путь в autorun'e, ппросто прибил екзешник, который прятался в "корзине" (папка recycler с характерным значком). Заодно прибил сам авторан и comment.htt, который был в корне на флэшке. Все, враг дальше не прошел, проблема исчезла.
Нажмите для раскрытия...

Сегодня у чела увидел этого зверька в живую. Кильнул быстро, т. к. не страшный зверек оказался. )

Вот описание виря с сайта Олега Зайцева

Троянская программа, написана на Basic, похожа на Trojan.Win32.VB.atg, размер исполняемого файла 20480 байта, исполняемый файл не сжат и не зашифрован. Может распространяться на Flash дисках. Иконка трояна похожа на иконку одного из системных приложений, копирайты поддельные и похожи на копирайты системных файлов.

В случае запуска троян скриытно выполняет следующие операции:
1. Создает копии своего исполняемого файлы в папке Recycled\Recycled\ctfmon.exe и в папке автозапуска. Местоположение папки автозапуска определяется через реестр, в XP типовое местоположение файла - Documents and Settings\<имя профиля>\Главное меню\Программы\Автозагрузка\ctfmon.exe. Исполняемый файл и папка Recycled имеют атрибуты "Только чтение" и "Системный" для маскировки от проводника.

2. Создает в корне системного диска файл autorun.inf следующего вида
[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)
Данный файл применяется для запуска Recycled\Recycled\ctfmon.exe. После этого троян завершает свою работу, исходный файл при этом не удаляется.
В случае запуска в результате срабатывания одной из описанных выше форм автозапуска троян выполняет шаги 1-2, но работу не завершает и продолжает в цикле пытаться выполнить шаг 2 для дисков B: - Z:. Наличие диска и его доступность троян не проверяет, прочто пытается создать на диске файлы *:\Recycled\ctfmon.exe, *:\autorun.inf, *:\Recycled\INFO2 и *:\Recycled\desktop.ini
За счет циклического копирования в корень дисков троян может заражать подключенные к компьютеру сетевые диски и Flash накопители - запуск трояна с них будет осуществляться за счет autorun.inf.

Удаление вручную
Троян не маскируется, поэтому несложно найти и удалить его, а так-же созданные им файлы autorun.inf. В качестве меры противодействия можно посоветовать отключение автозапуска для всех дисков - это не позволит системе обработать autorun.inf и скрытно запустить трояна.

ЗЫ http://virusinfo.info/showthread.php?t=8877

AlexXx написал(а):
Для непонятливых сразу вот так, не забудьте вынуть все съемные носители и после запуска файла перегрузиться и после ваще непарьтесь насчет этого вируса. Лучшая защита - хитрость!!!
Нажмите для раскрытия...

;)
 
XaToPu

XaToPu

V.I.P. МАЖОР
НОД 32 3й версии, и никакой аваст не нужен будет, всё включено!
 
Войдите или зарегистрируйтесь для ответа.
Сверху