|
Вирус Induc
|
|
| DEMBEL | Дата: Воскресенье, 20 Сентября 2009, 12:34 | Сообщение # 1 |
Наш дизайнер
Группа: Модераторы
Сообщений: 2266
Репутация: 135
Награды: 32
Статус: Offline
| После недавнего распространения этого вируса выяснилось что он не столь безобиден - цепляется не только к делфи и компонентам, но и к некоторым программам на нем написанным. Например, у меня испортил дистрибутивы Neobook, AIMP и сам плеер и еще кое-чего... Так что рекомендую прочистить компы повнимательнее со свежими базами а/в.
Win7x64 SP1 Neobook v5.70 (Trial)
WinXP SP3 Neobook v5.62
|
| |
| |
| toizy | Дата: Воскресенье, 20 Сентября 2009, 12:36 | Сообщение # 2 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| каспер хавает? У мну вроде чисто
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| DEMBEL | Дата: Воскресенье, 20 Сентября 2009, 12:39 | Сообщение # 3 |
|
Наш дизайнер
Группа: Модераторы
Сообщений: 2266
Репутация: 135
Награды: 32
Статус: Offline
| Quote (toizy) каспер хавает? У мну вроде чисто
каспер все хавает с базами не ранее 27.08
Win7x64 SP1 Neobook v5.70 (Trial)
WinXP SP3 Neobook v5.62
|
| |
| |
| toizy | Дата: Воскресенье, 20 Сентября 2009, 13:05 | Сообщение # 4 |
|
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Ну тогда я спокоен. не знаю как Индюк, а лично меня достал в последний раз авторан вирус Салити. убил бы... (
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| YURIY | Дата: Воскресенье, 20 Сентября 2009, 14:07 | Сообщение # 5 |
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
| Я с Касперским вообще не знаю, что такое вирусы  Сколько лет сижу за компом - кроме кнопки "удалить" при обнаружении их каспером (раз в году) я больше никаких проблем от вирусов не знаю 
Вечная память Андрею Сергееву!
|
| |
| |
| toizy | Дата: Воскресенье, 20 Сентября 2009, 14:16 | Сообщение # 6 |
|
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Принеси флешку из универа, сразу поймёшь что все эти антивири - г. полное  Ни один, с_цукатами_, не ловит...
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| YURIY | Дата: Воскресенье, 20 Сентября 2009, 14:21 | Сообщение # 7 |
|
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
| toizy, друг мой Я раньше и приносил их оттуда. Потом до нас дошло, что есть файловая система NTFS, и к чёртовой матери поставили права на запрет писать файлы в корень, кроме некоторых папок в нём Что тебе и советую сделать!
Вечная память Андрею Сергееву!
|
| |
| |
| toizy | Дата: Воскресенье, 20 Сентября 2009, 14:26 | Сообщение # 8 |
|
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| блин! гениально! 
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| Сергей | Дата: Воскресенье, 20 Сентября 2009, 14:27 | Сообщение # 9 |
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
| Quote (YURIY) поставили права на запрет писать файлы в корень |
| |
| |
| YURIY | Дата: Воскресенье, 20 Сентября 2009, 14:34 | Сообщение # 10 |
|
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
| Quote (sp3d) Юра если не трудно объясни как это?! ээ, на словах немного тяжело рассказать. Посмотрите лучше статьи в сети. Например, так: http://yandex.ru/yandsea....83+NTFS Добавлено (20 Сентябрь 2009, 14:34)
---------------------------------------------
Quote (sp3d) Если в этом способе не важно стоит ли галка на "Использовать простой общий к файлом" в свойствах папки Нет. Это не то. Ключевые моменты, что нужно знать: 1. Как отформатировать флешку в NTFS (просто так этого не сделать)
2. Собственно настроить права на нужные папки в корне (для доступа только в них) и убрать права на запись в корень, куда обычно вирусы и пишутся
Вечная память Андрею Сергееву!
|
| |
| |
| Сергей | Дата: Воскресенье, 20 Сентября 2009, 14:36 | Сообщение # 11 |
|
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
| Quote (YURIY) Посмотрите лучше статьи в сети. |
| |
| |
| Alex3A | Дата: Воскресенье, 20 Сентября 2009, 16:38 | Сообщение # 12 |
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Есть куча програмулек для защитыавторанов,Flash_Disinfector к примеру, делает папку авторан.инф, и вирь уже не может сесть, у моих клиентов вся сеть под вирусом, но на мою флешку не сел. А так садится на все флешеобразное, фотык, мп3...
У мну как залазил, я его в защищенном режиме убивал, у меня фат32 и отключено все лишнее, на нтфс, на чужой машине, такого не получилось. Очевидно он садится и проделывает Quote (sp3d) и убрать права на запись в корень
есть соответствующая ветка в реестре для такого.
В трудных случаях, загрузится с иной чистой винды и убить его папки, потом почистить реестр.
А антивиры его в упор не хотят видеть.
|
| |
| |
| Вадим | Дата: Понедельник, 21 Сентября 2009, 00:41 | Сообщение # 13 |
Ветеран форума
Группа: Проверенные
Сообщений: 293
Репутация: 48
Награды: 5
Статус: Offline
| Quote (YURIY) Посмотрите лучше статьи в сети.
Quote (Alex3A) Есть куча програмулек для защитыавторанов,Flash_Disinfector к примеру,
Спасибо за инфу!!!
[spoiler=С уважением, Вадим]WinXP SP3 x32, NB5.7.1, FF7.0.1
Справочные материалы:
База по командам NB
Справка к Report Designer
Удобный и красивый интерфейс
Полезные словари
Статьи:
Как читать и писать код
Создаем файл справки CHM
Проекты:
Корпоративная культура
Эмоциональный интеллект
Фото Экрана - на E-mail
Индекс массы тела
Тренировка интуиции
Копилка буфера обмена
Часто спрашивают:
Реализация триальности программы[/spoiler]
|
| |
| |
| Alex3A | Дата: Понедельник, 21 Сентября 2009, 00:53 | Сообщение # 14 |
|
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Quote (VadimLevkin) Спасибо за инфу!!!
Но она эффективна в качестве профилактики, от болезни не поможет
|
| |
| |
| Вадим | Дата: Понедельник, 21 Сентября 2009, 02:04 | Сообщение # 15 |
|
Ветеран форума
Группа: Проверенные
Сообщений: 293
Репутация: 48
Награды: 5
Статус: Offline
| Я воспользовался советами с этой страницы.
Там используется рег-файл (для компа) и бат-файл (для флешки). Действительно ли на флешках в норме вообще не бывает папки RECYCLED ?
Где-то вычитал это утверждение...
(т.е. если она есть, то вероятно имеется вирус...?)
Я вот сколько раз видел эту скрытую папку. И сейчас на своей флехе наблюдаю... 
В этой папке RECYCLED лежит два файла:
desktop.ini
содержит:
Code [.ShellClassInfo]
CLSID={а тут буквенно-цифровой код какой-то}
и файл
info2
если его открыть, то там вообще только три символа через несколько пробелов: "крести", "пики" и "черви" ? Прямо карточные масти... Что это?
Файлы открывал через Volkov Commander.
[spoiler=С уважением, Вадим]WinXP SP3 x32, NB5.7.1, FF7.0.1
Справочные материалы:
База по командам NB
Справка к Report Designer
Удобный и красивый интерфейс
Полезные словари
Статьи:
Как читать и писать код
Создаем файл справки CHM
Проекты:
Корпоративная культура
Эмоциональный интеллект
Фото Экрана - на E-mail
Индекс массы тела
Тренировка интуиции
Копилка буфера обмена
Часто спрашивают:
Реализация триальности программы[/spoiler]
Сообщение отредактировал VadimLevkin - Понедельник, 21 Сентября 2009, 02:29 |
| |
| |
| Alex3A | Дата: Понедельник, 21 Сентября 2009, 02:39 | Сообщение # 16 |
|
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Quote (VadimLevkin) Действительно ли на флешках в норме вообще не бывает папки RECYCLED ?
Вообще то корзина называется recycled, папка с вирусом recycler, но флешки
корзины не содержат, при очищенной корзине, в папке recycled пусто.
Если это не так, то что то не в порядке. Кроме того, корзина обозначается
специфической иконкой, а не просто как папка.
|
| |
| |
| Сергей | Дата: Понедельник, 21 Сентября 2009, 03:35 | Сообщение # 17 |
|
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
| Quote (VadimLevkin) В этой папке RECYCLED лежит два файла:
вот если там будет файлик с иконкой карзины и имя ее будет что то типа этого
"S-1-5-21-854245398-606747145-1801674531-500" обрати внимание на последние цыфры если в них есть 1013, то возможно это вирус. У меня и у тех у кого лечил, всегда был вирус с таким оканчанием(а вот какое было его полное имя в моем случае S-1-5-21-1482476501-1644491937-682003330-1013)подозреваю имя он капирует тоже самое у карзины что находится в тот момент в папке но меняет оконцевку, да кстати если оконцовка будет 1003, то это нормальный. Повторяюсь, это чисто из моих наблюдений, лучше пользоватся спец-софтом навроде анти-авторун Добавлено (21 Сентябрь 2009, 03:35)
---------------------------------------------
и неплохая предостороженость, создай в корне флехи папку с именем autorun.inf хоть защитит от этого гаденыша
если в процесе создания папки винда будет ругатся, что такой файл есть, присмотрись к нему!!!
Сообщение отредактировал sp3d - Понедельник, 21 Сентября 2009, 04:45 |
| |
| |
| mishem | Дата: Понедельник, 21 Сентября 2009, 03:47 | Сообщение # 18 |
Ветеран форума
Группа: Проверенные
Сообщений: 552
Репутация: 85
Награды: 12
Статус: Offline
| Чисто из любопытства. А можно сделать так, что б программа анти-авторун запускалась сразу после того как была вставленна флешка? Ну и соответственно сканировала флешку на вирус. Только не надо говорить"Обратись к разработчикам программы"
Не хочешь читать хелп?  
Если хелп и форум не помогли, тогда все ответы здесь
|
| |
| |
| Сергей | Дата: Понедельник, 21 Сентября 2009, 04:42 | Сообщение # 19 |
|
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
| Quote (mishem) А можно сделать так Добавлено (21 Сентябрь 2009, 04:42)
---------------------------------------------
Quote (mishem) после того как была вставленна флешка? |
| |
| |
| mishem | Дата: Понедельник, 21 Сентября 2009, 04:44 | Сообщение # 20 |
|
Ветеран форума
Группа: Проверенные
Сообщений: 552
Репутация: 85
Награды: 12
Статус: Offline
|
Я это предполагал А как?
На армянское радио задают вопрос:
Можно ли голой жопой раздовить ежа?
Если еж будет без колючек.
или
Если это будет чужая жопа
Не хочешь читать хелп?
Если хелп и форум не помогли, тогда все ответы здесь
|
| |
| |
| Сергей | Дата: Понедельник, 21 Сентября 2009, 04:53 | Сообщение # 21 |
|
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
| Обычно "autorun.inf" запускает нужный файл, но тока не в этом случае(ибо вирус пропишет себя)
1-Юра посоветовал хороший способ отвадить зверька и можно не боясь написать автозапуск, если слишком много читать и вникать, то есть способ попроще, который я подсказал
2-создать в корне флехи папку с именем autorun.inf(вирус если и будет в RECYCLED то просто мясом, т.к. он запускается инфом).
3-В сети полно программ для флешек, которые избавляют от этого головняка
Сообщение отредактировал sp3d - Понедельник, 21 Сентября 2009, 05:01 |
| |
| |
| Вадим | Дата: Понедельник, 21 Сентября 2009, 11:31 | Сообщение # 22 |
|
Ветеран форума
Группа: Проверенные
Сообщений: 293
Репутация: 48
Награды: 5
Статус: Offline
| Quote (Alex3A) флешки корзины не содержат
В моем случае папка корзины еще и скрытая. Причем я ее через проводник Виндовс не вижу, а только через VC (хотя у меня выставлено "отображать" как скрытые, так и системные файлы). Quote (sp3d) создай в корне флехи папку с именем autorun.inf
[spoiler=С уважением, Вадим]WinXP SP3 x32, NB5.7.1, FF7.0.1
Справочные материалы:
База по командам NB
Справка к Report Designer
Удобный и красивый интерфейс
Полезные словари
Статьи:
Как читать и писать код
Создаем файл справки CHM
Проекты:
Корпоративная культура
Эмоциональный интеллект
Фото Экрана - на E-mail
Индекс массы тела
Тренировка интуиции
Копилка буфера обмена
Часто спрашивают:
Реализация триальности программы[/spoiler]
|
| |
| |
| Alex3A | Дата: Понедельник, 21 Сентября 2009, 11:47 | Сообщение # 23 |
|
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Quote (sp3d) 2-создать в корне флехи папку с именем autorun.inf(
В таблице справочника файловой системы, файл и папка оличаются только некоторыми
атрибутами и значениями, поэтому винда не дает возможности создать файл с именем
уже существующей папки, вот это свойство и дает возможность такой защиты, для пущего
эффекта сделать ее скрытой, системной и только для чтения, дизенфекторы еще вводят
запрет на ее изменение в реестре. Но стоит появиться более умному вирусу, который будет учитывать варианты такой защиты, такие способы уже не помогут, после контакта
с вирусом, снимался атрибут только чтение, видно в вирусе не определяется что это
файл или папка.
|
| |
| |
Все права защищены
