Боремся с вирусами (autorun'ом, и пр. гадостью)

Обсуждение проблем, связанных с ПО для компьютеров

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

kaznelson
Сообщения: 1
Зарегистрирован: 12 сен 2008, 12:57

FlashGuard

Сообщение kaznelson »

Полезная утилита - FlashGuard
http://www.davisr.com/cgi-bin/content/downloads.htm
http://forum.ixbt.com/topic.cgi?id=22:71030
Многие современные вирусы используют функцию Autorun для распространения посредством флэш накопителей.
И часто антивирусные программы не могут их остановить.
Вы или ваш администратор можете отключить функцию Autoplay, но вирус все равно будет способен заразить вашу систему с помощью файла Autorun.inf на флэш диске - функция Autorun.
Можно полностью отключить Autorun, запретив службу "Shell Hardware Detection", но в этом случае у вас будут проблемы с подключением фото и видеокамер, сканеров и т.д.

Flash Guard может блокировать Autorun и остановить вирусы!

Он запускается при входе пользователя в систему и следит за дисками.
Когда вставляется новый носитель(компакт диск например) или добавляется новый диск(вставляется флэш брелок) Flash Guard может совершать такие действия:

- Удалить добавленные файлом Autorun.inf пункты контекстного меню диска
- Информировать пользователя о наличии на диске файла Autorun.inf
- Удалить файл Autorun.inf
- Удалить все файлы Autorun.*

Поведение программы полностью настраивается пользователем.

Удаление добавочных пунктов меню - это главная особенность программы. Таким образом вы даже можете не удалять вирус с флэш диска и при этом открывать его в Проводнике, не заражая свой компьютер.

Имеется возможность создать список исключений - "легальных" файлов autorun.inf, которые будут игнорироваться программой.

Взять можно тут

Условия распространения - freeware
Пользуйтесь на здоровье
GordonFreeman
Сообщения: 43
Зарегистрирован: 14 мар 2007, 22:59

Сообщение GordonFreeman »

Случилась такая беда: пропадают файлы презентаций PowerPoint, а именно при двойном клике на презентацию запускается сам PowerPoint и выскакивает табличка "путь такой-то не правильный или не существует". Закрываю PowerPoint и тутже с диска исчезает (причем совсем и видно как пропадает сам файл с экрана) презентация. Такое происходит на разных физических дисках, исчезает как из папок, так и с рабочего стола. Закономерности в такой проблеме не заметил. Dr. Web ничего не видит. В чем может быть проблема?
Аватара пользователя
fant
Сообщения: 3799
Зарегистрирован: 24 фев 2007, 00:30
Откуда: Дубна.МО
Контактная информация:

Сообщение fant »

Так попробуйте другим антивирусом проверить, пять страниц инфы в теме. Выберете на ваш вкус..Что то не чисто, естественно , в вашей системе.
P.S. Тссс... Только никому... Вебу я б не доверял....( Чисто моё мнение)
"Ask not what your country can do for you, ask what you can do for your country." JFK
GordonFreeman
Сообщения: 43
Зарегистрирован: 14 мар 2007, 22:59

Сообщение GordonFreeman »

fant
Пробывал AVZ - ничего не нашел. Можно ли в данной ситуации поставить Касперского - не заразится ли он раньше, чем начнет работать?
Аватара пользователя
fant
Сообщения: 3799
Зарегистрирован: 24 фев 2007, 00:30
Откуда: Дубна.МО
Контактная информация:

Сообщение fant »

Каспер- вещь тяжёлая )) Не знаю как сейчас, но годик назад , на восстанавливаемой машинке пробовал его ставить, следов после себя много оставляет.( Если сносить). Попробуйте эту RemoveIT Pro v4 - SE, только базы обновите с инета. ( Locates & Removes many new
dangerous Spyware, Malware, Virus, Worms, Trojan's and Adware). Ну, конечно AVASTa порекомендую. (Им второй год пользуюсь). 60 дней на пробу дают и если нравиться, то годичная лицензия, бесплатная. Ключик с сайта берёте и всё. После установки AVASTa он просит перезагруз и "мёртвую" систему сканирует. Т.е. до запуска. Сносится то ж легко без следов...
"Ask not what your country can do for you, ask what you can do for your country." JFK
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Сообщение Vose »

2GordonFreeman
попробуйте макросы в powepoint-е отключить и посмотрите будут презентации пропадать или нет. Ещё Spyboat Search&Destroy попробуйте.
GordonFreeman писал(а):Dr. Web ничего не видит
Это установленный который? Надо Cure-It запускать свежескачанную с сайта. Есть ещё portable NOD32 - тоже без установки заюзать можно
Глупый пингвин робко прячет, умный - смело достаёт...
GordonFreeman
Сообщения: 43
Зарегистрирован: 14 мар 2007, 22:59

Сообщение GordonFreeman »

Vose, Dr. Web во всех вариантах ничего не находит. Грешил на хард, но у меня их два и исчезают только презентации. Все очень странно. В понедельник попробую выше указанные программы и отпишусь здесь.
mvi2
Сообщения: 32
Зарегистрирован: 27 сен 2008, 19:29
Откуда: Домодедово

Сообщение mvi2 »

Появлся Norton Antivirus по цене 270 руб. против примерно тысячи год назад. Прямо радует, если честно.
если я пробил головой стену - иди за мной, не бей рядом.
mvi2
Сообщения: 32
Зарегистрирован: 27 сен 2008, 19:29
Откуда: Домодедово

Сообщение mvi2 »

GordonFreeman

В таких ситуациях проверяешь шпионов LavaSoft, а вирусы тем же NOD32.
Это всё бесплатно. И если эти ребята ничего не находят значит глюки где-то в системе.
Я не говорю, что эти программы лучшие, но для экспресс анализа они годятся 100%, поскольку смогут предупредить даже о том, что не знают точно.
Не знаю, внятно ли я сказал, но примерно так.
если я пробил головой стену - иди за мной, не бей рядом.
Незнайка
Сообщения: 3
Зарегистрирован: 17 окт 2008, 22:31
Откуда: Из ада!

Autoran вирусы

Сообщение Незнайка »

Я сталкивался с такой проблемой. Причем ни касперский, SpyBoot, ни AdAware и т.д. вирус в упор не видели. Эти вирусы имеют разное название основного COM файла, и соответствущей ему библиотеки, но действуют и запускаются они одинаково! Отключают "Показывать скрытые файлы и папки" и не дает убрать галочку в "Скрывать защищенные системные файлы". Для этого вирус постоянно пишет в
[HKEY_LOKAL_MACHINE\SOFTWARE \Microsoft\Windows\Current Version\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
ShowAll CheckValue REG DWORD 0X00000000 (значение ноль должна быть еденица) и в [HKEY_LOKAL_MACHINE\SOFTWARE \Microsoft\Windows\Current Version\Explorer\Advanced\Folder\SuperHidden]
CheckValue REG DWORD 0X00000001 (значение еденица должен быть
ноль), но это так для эрудици.
Бороться с этим просто. Я сделал так. Открыл диск C:\ (коренной каталог) и одновременно программу Winpatrol. В программе Winpatrol зашел в HiddenFiles и выбрав autoran.inf нажал Unhidden и тут же перейдя в в коренной каталог диска C:\ удалил его. Все проблема решена. Без этого файла вирус не запускается! Тоже проделал и на других дисках, поскольку вирус копирует себя на все носители информации: жесткие диски, флэшки, дискеты.
Rinby
Сообщения: 6
Зарегистрирован: 21 окт 2008, 15:03

Сообщение Rinby »

недавно тоже обнаружил у себе вирус wab32sr.exe (nttr) не могли бы вы более подробно рассказать как именно от него можно избавится. У меня уже стоит NOD 32, но он его не берёт. Как можно удалить его вручную?
Rinby
Сообщения: 6
Зарегистрирован: 21 окт 2008, 15:03

Сообщение Rinby »

недавно тоже обнаружил у себе вирус wab32sr.exe (nttr) не могли бы вы более подробно рассказать как именно от него можно избавится. У меня уже стоит NOD 32, но он его не берёт. Как можно удалить его вручную?
Rinby
Сообщения: 6
Зарегистрирован: 21 окт 2008, 15:03

Сообщение Rinby »

недавно тоже обнаружил у себе вирус wab32sr.exe (nttr) не могли бы вы более подробно рассказать как именно от него можно избавится. У меня уже стоит NOD 32, но он его не берёт. Как можно удалить его вручную?
Rinby
Сообщения: 6
Зарегистрирован: 21 окт 2008, 15:03

Сообщение Rinby »

недавно тоже обнаружил у себе вирус wab32sr.exe (nttr) не могли бы вы более подробно рассказать как именно от него можно избавится. У меня уже стоит NOD 32, но он его не берёт. Как можно удалить его вручную?
Rinby
Сообщения: 6
Зарегистрирован: 21 окт 2008, 15:03

Сообщение Rinby »

недавно тоже обнаружил у себе вирус wab32sr.exe (nttr) не могли бы вы более подробно рассказать как именно от него можно избавится. У меня уже стоит NOD 32, но он его не берёт. Как можно удалить его вручную?
Ответить