Помогите написать антивирус для конкретного вируса

[chipside]

Нет.
Я на всех флешках насоздавал каталог autorun.inf
Этот вирус не достаточно умён, чтобы удалить каталог (папку, директорию).
Видимо он грузился каким-то другим способом.
Я всё же подозреваю, что именно через *.ini
в котором прописывался .Recycler как корзина.
Теперь только осталось услышать ответ эксперта о вероятности моего предположения.

[chipside]

Хотя есть такое предположение.
Вирус принёс клиент без каталога autorun.inf
Он проник в РАМ.
Оттуда прописался в вышеизложенные места.
Стал далее плодить свои тела, а файл autorun.inf на флешках не создаётся,
только скрываются файлы, создаются ярлыки и рециклер.
Оданко тогда не понятно.
Стояла авира, которая просто напросто напрочь блокирует любые файлы autorun.inf.
Реестр был настроен согласно рекомендациям:
http://ru.wikipedia.org/wiki/Autorun.inf
Как он проник в систему?

[chipside]

Ключ реестра «Image File Execution Options»

«HKEY_LOCAL_MACHINE\SOFTWARE\Micros oft\Windows NT\CurrentVersion\Image File Execution Options»

Если в этом разделе добавить ключ с именем исполнительного файла, например «explorer.exe» и затем добавить параметр «debugger» с указанием на malicious программу то она будет запущена при запуске explorer Пример:

HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
"Debugger"="c:\windows\ malicious.exe"
http://ru.d-ws.biz/articles/VirAutoRunOnWin.shtml

Вероятно я также сталкивался с таким вирусом.
Помню, как при щелчке мыши по каталогу создавалась программа с именем сего каталога,
вложенная в него (тело вируса).

[Kix.IV]

Цитата:

Сообщение от chipside

Благодарю за мнение эксперта.
Дело в том, что наш начальник и есть ламер.
Все под рутами сидят.
А в Вашем случая я увидел autorun.inf (в скриншоте).
Скажите, он у Вас был на съёмных носителях
или как он заражает с флешек?
Если бы дома была винда под рукой...
Но не на мою ЗП (чёрную и наноскопическую).
Возможно нормальными антивирусами он легко удаляется, но начальник
на всём экономит. Я сам пытаюсь помочь своим подопечным в силу своего характера.
Пробовал снимать процесс, но он восстанавливается.
А можно ли написать сценарий в бат-файле, который бы удалял конкретно эту зарарзу из РАМ, а затем с харда?
И ещё такой вопрос:
Правда или миф, что зажатие шифтов и жмаханье ф5 защищает виндовс от вирусни со съёмных носителей?
А в безопасно режиме такие вирусы запускаются?

Autorun.inf уже был там, и вирус не изменял его. Вот ещё один скрин(Справа - то, что было; слева - то, что стало)

Заражается за счёт открытия фейковых файлов/папок.

Нормальных антивирусников нет, но можно воспользоваться бесплатными, которые не уступают платным. Я удалял вручную, можно и каким-нибудь батником автоматизировать. Но вручную не так уж и сожно, его сразу видно:


На счёт ф5 первый раз слышу. Шифт вроде бы работает, но ниразу не пользовался им для этого.

UPD: Возможно, это не единственный вирус, засевший у вас. И я не такой уж и эксперт.

[Utkin]

Цитата:

Как он проник в систему?

Пользователь запустил его сам. Нажав, например, на какой-нибудь ярлык типа ...lnk

[Kix.IV]

chipside, я правильно понимаю, что все машины соединены в сеть? Если да, то там есть расшаренные ресурсы? Может он их использует? У меня он этого не делал, но он использует интернет и вполне мог обновится.
И почему вы не расматриваете вариант того, что пользователи сами запустили вирус через ink файл, думая что это нужные им данные?

[chipside]

После Ваших рассуждений я понял, что заблуждался.
А конкретно тот комп, который периодически заражают
ни с чем не соединён.
Только флешки, диски и фотоаппарат.
Вполне возможно что они тыкали во флешке клиента на лнк,
думая, что это нормальный файл.
Поэтому вирус проник без авторуна.
И я сделал ошибочный вывод, что это какой-то новый тип вируса.
Однако объяснить этим сотрудникам не представляется возможным,
что нельзя тыкать в ярлыки.
Во-первых, курьер для них не авторитет.
Во-вторых, каждый считает себя самым умным, что нечему их
учить.
Но я всё же попробую их вразумить.
Я пока поставил Zillya (украинский антивирус).
Однако он сей зловред, как и Линуксячий clamav не замечает.
---
А можно ли в реестре отключить запуск ярлыков с флешек?
Или это что-то из области фантастики?
---
/*
Я удалял вручную, можно и каким-нибудь батником автоматизировать
*/
Однако я пробовал снимать процесс (они все (сотрудники) в администраторах сидят),
но он возобновляется.
А как Вы убиваете его?

[Utkin]

Цитата:

А как Вы убиваете его?

Ну в Вашем случае сделать так, чтобы помощники вируса сидели не под администратором. Да и вообще зачем им помогать? Люди же сами хотят чтобы у них была на компе бяка (а, да еще и на фотоаппарате также ). Просто не мешайте им вместе счастливо сосуществовать.

Цитата:

Я пока поставил Zillya (украинский антивирус).

Есть же хорошие антивирусы - Cure it, AVG и пр. Нафига? Или чисто посмотреть как получится?

[chipside]

Dr.Web Cureit бесплатен только для домашнего использования.
При скачивании есть предупреждающая красная надпись, гласящая,
что использования в фирмах - пиратство.
Впрочем, кроме дубльгиса в сей фирме ничего лицензионного нет.
Но я не хочу помогать начальнику крякахакать.
Однажды этот подонок уже хотел меня подставить под статью.
В марте он отправил меня к цыганам, отвезти старые кассеты от камеры,
чтобы продать. Дал телефон человека.
Я в том районе слегка заблудился.
Брякнул пару раз на его номер с корпоративного сотового.
Нашёл его, кассеты продал и забыл.
Спустя пол года мне на телефон звонит гражданин-начальник из госнаркоконтроля.
Спрашивает начальника.
Я не въехал.
Дал номер начальника, пусть ему и звонит.
Этот гражданин-начальник мне сказал, что уже звонил его жене,
а начальник всё прячется.
Про сей инцидент я ни кому не сказал, кроме начальника.
Через пару дней мне звонит начальник из участка, спрашивает мои данные и диктует
полиции.
Я его обрываю и спрашиваю в чём дело?
Он невнятно объясняется.
Мол с корпоративного номера, который привязан к курьеру были звонки.
Полиция пробивает их по базе.
Я узнаю дату и имя цыгана.
Вспоминаю, что это начальник сам меня послал к нему продавать кассеты.
Полиция, вероятно проверила его данные в зап. книжки и его отпустили.
После чего я говорил с ним, на кой Х он стал диктовать мои данные му*рам,
не переговорив предварительно со мной и не разобравшись в случившемся.
Короче, трус он и с*ка му*кая.
А ещё он всей фирме растрепал, что я чуть ли ни уголовник.
Так вот, если к нему придёт гражданин начальник из отдела К, проверить пиратские программы на компьютерах,
этот х*р будет на меня пальцем гнуть, мол это он накачал и поставил, его на 6 лет в тюрьму
сажайте, а я мол ничего не знаю, не при делах.

[Arigato]

Цитата:

Сообщение от chipside

Так вот, если к нему придёт гражданин начальник из отдела К, проверить пиратские программы на компьютерах,
этот х*р будет на меня пальцем гнуть, мол это он накачал и поставил, его на 6 лет в тюрьму
сажайте, а я мол ничего не знаю, не при делах.

Если вы там официально как администратор/оператор, то все вопросы автоматически к вам, а не к начальнику. И ответить вам придется даже за тот софт, который поставили до вас, так как вы обязаны уведомить начальство, что на компах стоял такой-то нелицензионный софт и был снесен вами, в связи с чем сотрудники не могут нормально работать и требуется срочная покупка софта или замена его на такие-то бесплатные программы - на усмотрение начальства. Если вы этого не сделали - вам светит статья, а начальнику ничего, он не обязан разбираться в вопросах софта, для этого есть специальный человек - вы.

Так что если начальник столь упертый и ничего покупать не будет, то пишите заявление на увольнение. Далее честно отрабатываете 2 недели, за это время сносите весь нелицензионный софт. Иначе проблемы и после увольнения могут возникнуть, когда спросят, а кто тут работал, кто допустил столь грубое нарушение закона.