|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
28.09.2013, 16:14 | #31 |
Форумчанин
Регистрация: 03.08.2013
Сообщений: 208
|
Нет.
Я на всех флешках насоздавал каталог autorun.inf Этот вирус не достаточно умён, чтобы удалить каталог (папку, директорию). Видимо он грузился каким-то другим способом. Я всё же подозреваю, что именно через *.ini в котором прописывался .Recycler как корзина. Теперь только осталось услышать ответ эксперта о вероятности моего предположения. |
28.09.2013, 17:05 | #32 |
Форумчанин
Регистрация: 03.08.2013
Сообщений: 208
|
Хотя есть такое предположение.
Вирус принёс клиент без каталога autorun.inf Он проник в РАМ. Оттуда прописался в вышеизложенные места. Стал далее плодить свои тела, а файл autorun.inf на флешках не создаётся, только скрываются файлы, создаются ярлыки и рециклер. Оданко тогда не понятно. Стояла авира, которая просто напросто напрочь блокирует любые файлы autorun.inf. Реестр был настроен согласно рекомендациям: http://ru.wikipedia.org/wiki/Autorun.inf Как он проник в систему? Последний раз редактировалось chipside; 28.09.2013 в 17:08. |
28.09.2013, 17:33 | #33 |
Форумчанин
Регистрация: 03.08.2013
Сообщений: 208
|
Ключ реестра «Image File Execution Options»
«HKEY_LOCAL_MACHINE\SOFTWARE\Micros oft\Windows NT\CurrentVersion\Image File Execution Options» Если в этом разделе добавить ключ с именем исполнительного файла, например «explorer.exe» и затем добавить параметр «debugger» с указанием на malicious программу то она будет запущена при запуске explorer Пример: HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe "Debugger"="c:\windows\ malicious.exe" http://ru.d-ws.biz/articles/VirAutoRunOnWin.shtml Вероятно я также сталкивался с таким вирусом. Помню, как при щелчке мыши по каталогу создавалась программа с именем сего каталога, вложенная в него (тело вируса). |
28.09.2013, 17:38 | #34 | |
Участник клуба
Регистрация: 11.08.2012
Сообщений: 1,226
|
Цитата:
Заражается за счёт открытия фейковых файлов/папок. Нормальных антивирусников нет, но можно воспользоваться бесплатными, которые не уступают платным. Я удалял вручную, можно и каким-нибудь батником автоматизировать. Но вручную не так уж и сожно, его сразу видно: На счёт ф5 первый раз слышу. Шифт вроде бы работает, но ниразу не пользовался им для этого. UPD: Возможно, это не единственный вирус, засевший у вас. И я не такой уж и эксперт. Последний раз редактировалось Kix.IV; 28.09.2013 в 20:10. |
|
28.09.2013, 18:39 | #35 | |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Цитата:
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
|
28.09.2013, 20:07 | #36 |
Участник клуба
Регистрация: 11.08.2012
Сообщений: 1,226
|
chipside, я правильно понимаю, что все машины соединены в сеть? Если да, то там есть расшаренные ресурсы? Может он их использует? У меня он этого не делал, но он использует интернет и вполне мог обновится.
И почему вы не расматриваете вариант того, что пользователи сами запустили вирус через ink файл, думая что это нужные им данные? |
29.09.2013, 13:01 | #37 |
Форумчанин
Регистрация: 03.08.2013
Сообщений: 208
|
После Ваших рассуждений я понял, что заблуждался.
А конкретно тот комп, который периодически заражают ни с чем не соединён. Только флешки, диски и фотоаппарат. Вполне возможно что они тыкали во флешке клиента на лнк, думая, что это нормальный файл. Поэтому вирус проник без авторуна. И я сделал ошибочный вывод, что это какой-то новый тип вируса. Однако объяснить этим сотрудникам не представляется возможным, что нельзя тыкать в ярлыки. Во-первых, курьер для них не авторитет. Во-вторых, каждый считает себя самым умным, что нечему их учить. Но я всё же попробую их вразумить. Я пока поставил Zillya (украинский антивирус). Однако он сей зловред, как и Линуксячий clamav не замечает. --- А можно ли в реестре отключить запуск ярлыков с флешек? Или это что-то из области фантастики? --- /* Я удалял вручную, можно и каким-нибудь батником автоматизировать */ Однако я пробовал снимать процесс (они все (сотрудники) в администраторах сидят), но он возобновляется. А как Вы убиваете его? |
29.09.2013, 14:32 | #38 | ||
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Цитата:
Цитата:
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика Последний раз редактировалось Utkin; 29.09.2013 в 14:36. |
||
29.09.2013, 15:14 | #39 |
Форумчанин
Регистрация: 03.08.2013
Сообщений: 208
|
Dr.Web Cureit бесплатен только для домашнего использования.
При скачивании есть предупреждающая красная надпись, гласящая, что использования в фирмах - пиратство. Впрочем, кроме дубльгиса в сей фирме ничего лицензионного нет. Но я не хочу помогать начальнику крякахакать. Однажды этот подонок уже хотел меня подставить под статью. В марте он отправил меня к цыганам, отвезти старые кассеты от камеры, чтобы продать. Дал телефон человека. Я в том районе слегка заблудился. Брякнул пару раз на его номер с корпоративного сотового. Нашёл его, кассеты продал и забыл. Спустя пол года мне на телефон звонит гражданин-начальник из госнаркоконтроля. Спрашивает начальника. Я не въехал. Дал номер начальника, пусть ему и звонит. Этот гражданин-начальник мне сказал, что уже звонил его жене, а начальник всё прячется. Про сей инцидент я ни кому не сказал, кроме начальника. Через пару дней мне звонит начальник из участка, спрашивает мои данные и диктует полиции. Я его обрываю и спрашиваю в чём дело? Он невнятно объясняется. Мол с корпоративного номера, который привязан к курьеру были звонки. Полиция пробивает их по базе. Я узнаю дату и имя цыгана. Вспоминаю, что это начальник сам меня послал к нему продавать кассеты. Полиция, вероятно проверила его данные в зап. книжки и его отпустили. После чего я говорил с ним, на кой Х он стал диктовать мои данные му*рам, не переговорив предварительно со мной и не разобравшись в случившемся. Короче, трус он и с*ка му*кая. А ещё он всей фирме растрепал, что я чуть ли ни уголовник. Так вот, если к нему придёт гражданин начальник из отдела К, проверить пиратские программы на компьютерах, этот х*р будет на меня пальцем гнуть, мол это он накачал и поставил, его на 6 лет в тюрьму сажайте, а я мол ничего не знаю, не при делах. Последний раз редактировалось chipside; 29.09.2013 в 15:17. |
29.09.2013, 16:46 | #40 | |
Высокая репутация
СуперМодератор
Регистрация: 27.07.2008
Сообщений: 15,551
|
Цитата:
Так что если начальник столь упертый и ничего покупать не будет, то пишите заявление на увольнение. Далее честно отрабатываете 2 недели, за это время сносите весь нелицензионный софт. Иначе проблемы и после увольнения могут возникнуть, когда спросят, а кто тут работал, кто допустил столь грубое нарушение закона. E-Mail: arigato.freelance@gmail.com
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Кнопочка Ignore this exception type работает колько для конкретного проекта? Или сразу для всех? | TwiX | Общие вопросы Delphi | 4 | 12.06.2010 19:00 |
Включить ClearType для конкретного приложения | MyasNick | Win Api | 1 | 05.05.2009 08:26 |
Помогите избавиться от вируса. | Titan123 | Свободное общение | 3 | 18.03.2009 17:40 |
Помогите избавиться от вируса | Amen | Операционные системы общие вопросы | 45 | 10.03.2009 00:19 |
Помогите убрать последствия вируса | N!ckeL | Безопасность, Шифрование | 4 | 28.05.2008 16:55 |