Тема: Как убить вирус. Курс молодого бойца

[AVA]

4) Защитите вашу флешку. ..
Набираем в нем команду "C:\no_flash_virus.bat F"  и жмем клавишу ENTER.

пишет: "не является внутренней или внешней командой, исполняемой программой или пакетным файлом"
что делать?

[οlden]

grits
это видимо из разряда "СМС"-троянов
именно как я описал, так и бороться - загружаться с LiveCD, удалить содержимое указанных мною папок, запускать свежий CureIt и им чистить систему, затем для порядку пройтись Kaspersky Virus Removal Tools (он неплохо находит вируса спрятавшиеся в Альтернативных потоках  данных NTFS)
Затем тут же редактировать указанные мною места в реестре.

Каким образом окно поверх остальных вылазит я уже упоминал. В реестре вместо Shell="Explorer.exe" прописывается своя прога, которая и запускается вместо эксплорера. Это ее окно с требованием смс-нуть ты и наблюдаешь.
Возможны варианты. Может немного иначе, может цепляется к Explorer-у

[οlden]

AVA
а у тебя действительно на диске C в корне лежит это файл - "no_flash_virus.bat"?
Напомню, что сохряняя этот файл из Notepad нужно было в окне сохранения обязательно указать тип файла "Все файлы", иначе он у тебя сохранится как "no_flash_virus.bat.txt" но расширение TXT ты в Explorere не увидишь

[grits]

οlden спасибо! все доходчиво и ясно...


Я так подозреваю это именно тот случай?

[AVA]

οlden, спасибо! 
я не там сохранил 

[Beat]

нет bat файлы писать это не есть хорошо, есть хорошая программка которая не позволяет вирусам создавать autorun.inf, и имя ее "Panda USB and AutoRun Vaccine", размер около 800 Кб.

Программа простая как двери, и в ней всего 2 кнопки "Vaccinate computer" и "Vaccinate USB".

Первая создает запись в реестре, которая отключает автозапуск дисков, то есть в случае  если внешний носитель содержит файл autorun.inf — то при подключении носителя к компьютеру, autorun.inf не запускается. Более того — не запускается он и при двойном клике по букве диска этого носителя в проводнике.

Вторая создает на флеш носителе собственный файл autorun.inf, которому на уровне файловой системы ставит специальный атрибут (0x40 Device (internal use only, never found on disk)), запрещающий делать любые операции с этим фалом (удаление/перемещение/переименованные), то есть вирус не сможет уже создать на нем свой autorun.inf, и флешка перестанет переносить на себе всякую заразу. и заражать чужие компьютеры    


Ссылка на загрузку:
http://research.pandasecurity.com/Panda-USB-and-AutoRun-Vaccine/

[οlden]

нет bat файлы писать это не есть хорошо

обоснование?
в чем проблема?

есть хорошая программка

Есть много подобных программ.  Просто в BAT и REG я могу увидеть собственными глазами ЧТО ИМЕННО они делают.  Что меняет на машине и конкретно в реестре такой EXE - мне доподлинно неведомо.  Потому лично я предпочитаю подобные проги не юзать.  Хотя если программа лично скачана с сайта именитого производителя антивирусов, то почему бы ею и не пользоваться.

Первая создает запись в реестре

Это можно сделать с помощью REG-файла.

[Beat]

обоснование?
в чем проблема?

да, как бы кому с обычных пользователей нужен малофункциональный DOS ? мне например нет, другое дело bash, + обычному пользователю не обязательно знать что такое реестр, и зачем его править в ручную, кроме того есть такое понятие как юзабилити, и хорошо что Вам Ваши знание позволяют делать такие вещи в ручную, но другим то нет  

Кроме того в Вашем способе, удалить autorun.inf можно простой командой, которую Вы сами же написали    

Код: [Выделить]

rmdir Autorun.inf /s /q
а "Panda USB and AutoRun Vaccine", меняет первые байты атрибутов 0xD7 (ATTR_ARCHIVE + ATTR_DIRECTORY + ATTR_SYSTEM + ATTR_HIDDEN + ATTR_READ_ONLY + два старших бита 11), что явно усложняет жизнь вирусописателям

Просто в BAT и REG я могу увидеть собственными глазами ЧТО ИМЕННО они делают.

программа Registry Monitor (www.sysinternals.com) поможет Вам отследить изменения в реестре в реальном времени  

Кроме того предложена мною программа, может бить запущена резидентно в автозагрузку, и мониторить все подключаемые флеш устройства, и вакцинировать их автоматично, или в режиме  диалога       

[οlden]

Кроме того в Вашем способе, удалить autorun.inf можно простой командой, которую Вы сами же написали    

Код: [Выделить]

rmdir Autorun.inf /s /q

Предлагаю попробовать.
Сначала моим батником ее создать, а затем попытаться каким-либо (кроме форматирования) способом ее удалить

Кроме того предложена мною программа, может бить запущена резидентно в автозагрузку, и мониторить все подключаемые флеш устройства, и вакцинировать их автоматично, или в режиме  диалога

А вот это действительно ценно.

[Beat]

Предлагаю попробовать.
Сначала моим батником ее создать, а затем попытаться каким-либо (кроме форматирования) способом ее удалить

да, вот пробовал, Вашим батником создал, а командой:

Код: [Выделить]

rmdir \\.\x:\Autorun.inf /s /qудалил

для FAT раздела и то проще удалить Ваш "prn"

Код: [Выделить]

del pr?.*

[SWarlock]

наспамили...
вы еще (в винде) создайте каталог CON, а затем его удалите. попробуйте, это интересно и вполне реально.
вот вирус, съедающий время - из серии занимательных задач.

[Beat]

да знаем мы знаем, о зарезервированных имена устройств AUX, CON, COM1, PRN, LPT1

[SWarlock]

но создать можно. удалить труднее, но тоже можно.

[οlden]

Beat
лишний холивар в не предназначенной для этого теме

да, удалить папку таким образом можно
Но для вируса абсолютно одинаково с точки зрения сложности: что удалить папку (указанным методом) что удалить файл с кривым аттрибутом (не так уж сложно програмно изменить аттрибут). К тому же похоже уже появились такие вирусы  http://madbadjack.com/forum/showthread.php?t=10084&page=2.

[Beat]

где холивар ? нет холивара!, только здоровый спортивный спор

Кстати помню что когда то что бы не грузился авторан с CD можно было просто подержать клавишу Shift, после вставки диска, но это было давно, и на 98ой винде, не знаю сохранилась ли сейчас такая возможность ..и для флеш накопителей     

[SWarlock]

Beat
к сожалению , прогресс... не сохранилось. для флешек - не пробовал. втыкать, чтобы проверить  - просто лень. главное - защитить систему так, чтобы было максимально эффективно. Кроме разных средств защиты использую возможность восстановления образа из заранее сохраненного. работает на 100%., употребляется после использования откатов и т.д., когда не хочется/невозможно/долго все восстанавливать ручками.
компом с инетом пользуется вся семья и при этом не боится что-то сделать не так.
ЗЫ: винда лицензионная, обновляется - на всех компах.

[οlden]

По следам последних траблов

Совет для пользователей программы Total Commander.

Если вы пользуетесь тоталом для доступа к FTP-серверам, то учтите, что нынче существует много троянов, считывающих сохраненные пароли FTP из настроек вашего тотала

Вчера знакомый "попал". Троян был успешно убит, но пароли утекли в Инет.  А у него несколько сайтов на нашем хостинге.. И ко всем им мгновенно ломанулись по FTP боты со всего мира. Мы вовремя обнаружили.

Итак для предотвращния подобной ситуации выбирайте из трех вариантов:

1) Никогда не храните пароли в сохраненных FTP-сессиях в Total Commander

2) Обновите свой Total Commander до версии 7.50a. Там пароли можно криптовать и пользоваться для доступа к ним единым мастер-паролем

3) Перенесите свой файл сохраненных FTP-сессий (обычно это c:\windows\wcx_ftp.ini или он же, но в папке профиля пользователя) в другое место и переименуйте например в "my_tc_ftp.cfg".  И затем всегда запускайте свой Total Commander с указанием пути к этому файлу сохраненных FTP-сессий. В моем примере я перенес его в D:\MyFiles\my_tc_ftp.cfg и запускаю Total так:  
"c:\Program Files\totalcmd\TOTALCMD.EXE" /F="D:\MyFiles\my_tc_ftp.cfg".  
ЛИбо просто прописать эту строку во всех ярлыках запуска тотала.

Первый и второй варианты безопаснее, предпочтительнее и менее геморны

[οlden]

Большой и жирный плюс в копилку Windows 7/Vista.
В этих системах используется упрощенный аналог линуксовского SUDO - "User Account Control". Простыми словами: это когда даже работая в системе под администраторской учетной записью вы все равно не сможете ничего записать/удалить/изменить в системных папках, не подтвердив каждый раз свои администраторские права (ибо нефиг!).  Следовательно, запустившись под вашей учетной записью, вредоносная программа нанесет гораздо меньший ущерб и едва ли сможет успешно распространиться по системе, "зацепиться" за нее. Таким образом, многие  вирусы, успешно заражавшие XP, становятся неактуальными и легче убиваемыми.
 
Кого-то эти постоянные требования подтверждения прав могут поначалу раздражать, но это существенный заслон на пути распространения вирусов/троянов.  Кстати в том же Linux эта технология  даже жестче.

Поэтому, в особенности если у вас комп относительно новый, не вижу причины не перейти на Windows 7.  Это, кстати, возможно первая Windows, на которой реально защититься от вирусов ее родными средствами: "User Account Control" + встроенный файрвол + антивирь MS Security Essentials.

[Лёша_ГАЗ]

Большой и жирный плюс в копилку Windows 7/Vista.

согласен на все 100!
семёрочка да, удалась 

 

на которой реально защититься от вирусов ее родными средствами: "User Account Control" + встроенный файрвол + антивирь MS Security Essentials.

вот здесь, исходя из собственной
практики и проведённых тестов
на уровне ламера (ну типа флешку
заражённую воткнуть, фаерволл
на открытые порты и-нет ресурсами
проверить и т.д.)
заменил "родной" фаерволл
на Outpost

[SS]

В Windows 7 Ultimate есть кардинальное решение по борьбе с вирусами- установка UKRAINIAN LIP.
Отечественные вирусы сами просто АХ@Е8@ЮТ с качества перевода и убиваются с разбегу о встроенный фаервол или сами прыгают в кошик (это одно из немногих нормально переведенных мест), который потом можно со спокойной совестью очистити...

[CAHR]

......Набираем в нем команду "C:\no_flash_virus.bat F" .... и жмем клавишу ENTER.....
Все! На флешке должна появиться неудаляемая папка  AUTORUN.INF.  Отныне до очередного форматирования можете смело и безбоязненно втыкать свою флешку в любые зараженные и незараженные компы.....

Сделал все по инструкции: на флешке появился невидимый AUTORUN.INF. Всунул флешку в заведомо зараженный комп. После зараженного компа на флешке появился невидимый BOOT.EXE и NOD обнаружил вирус Alman.NAB. AUTORUN.INF стал видимым и без проблем удалился UNLOCKERом.
Может я что-то сделал не правильно ? Или эта процедура не от всех вирусов защищает ?

[MeLL]

Самый простой способ не заразиться с флешки - это не открывать ее двойным кликом. Т. к. при двойном клике выполняются действия прописанные в AUTORUN.INF. Ну и включить отображение скрытых и системных файлов и смело такие файлы удалять из корня фелшки.

[οlden]

CAHR
Вирусы тоже учатся
AUTORUN.INF остался папкой или превратился в файл?
Если остался папкой, то автоматически запуститься на другом компе вирус не может, но само тело вируса всегда записывается на флешку.  Главное самому его вручную не запустить. Ну а большинство антивирусов это тело обнаружат и удалят.

Если же AUTORUN.INF стал файлом, то значит тебе попался умный вирус.
Можно попробовать защитить флешку другим способом - программой "Panda USB and AutoRun Vaccine", которую Beat описал выше, но не факт, что не наткнешься на вирус, который умеет обходить и эту защиту.
Вообще-то меня в первую очередь антивирусный монитор от авторан-вирусов защищает
Но и он вполне может пропустить заразу.

[CAHR]

οlden, AUTORUN.INF остался папкой без изменений, только папка стала видимой.
Alman.NAB вирус на том заразном компе давно. После посещения того компа на на флешке появлялся BOOT.EXE, а AUTORUN.INF не было. После выходных поэкспериментирую с "Panda USB and AutoRun Vaccine", но ИМХО это не панацея от всех бед.
Я не специалист, но насколько мне известно, вирусы изменяют *.EXE(*.COM и т.п.) файлы, добавляя свое тело в программу (это я давно узнал, когда в школе учился, может это применимо к старым вирусам). Если всунуть флешку в заразный комп, в оперативной памяти которого сидит вирус, то вирус попытается изменить *.EXE файлы на флешке. Правильно ли я понимаю ? Может создание своего AUTORUN.INF защитит только от авторан-вирусов ?
ЗЫ: οlden, спасибо за науку  .

[Valera]

мдя ... о каких-то фантастических вещах вы тут говорите ... линуксоиду не понять ...