Вируса словил, помогите., Теперь беда с WinDows Опции

[REX]

Hi All.
Беда приключилась.
Словил я вируса. Kasper ругнулся как, троян TR/Crypt.XPACK.Gen.
Файлы Amvo0.exe и dll. Удалить я их смог только руками с дирректории system32.
Вроде система фурыкает (XP, SP2), но появилась одна бага:
1. открываешь "мой компьютер"
2. кликаешь на один из дисков
3. сразу вылетает окно "выбор программы для открытия файла", а позиция "использовать ее для всех файлов такого типа" закрыта.
4. теперь мне нужно, находясь в окне "выбор программы" войти в дир. Windows, выбрать explorer.exe и только тогда открывается выбранный диск.
И так теперь все время.
Вопрос, как "раз'дизаблить" фичу "использовать ее для всех файлов такого типа" в окне "выбор программы для открытия файла"? Сносить систему облом сташный, уже почти год стояла нерушимо. А тут вот кака такая приключилась. (IMG:style_emoticons/bfz/sad.gif)
Help мне please (IMG:style_emoticons/bfz/icon_cry.gif)

Сообщение было отредактировано REX: 27.03.2008 - 14:37

[HX550c]

Удалить из корня autorun.inf

[REX]

Да какой autorun.inf ???
Ни один из дисков не открывается !
Продолжу далее повествование.
По ходу вычислил откуда принес зверУшку.
Только что такая же гадосЬ случилась и на ноуте. Переустановил я прямо сейчас систему на нем.
А все равно диски НЕ ОТКРЫВАЮТСЯ (см. п3 первого поста). Они были чистые еще до переустановки!
Помогло ТОЛЬКО ФОРМАТИРОВАНИЕ оных.
Я так понимаю, вирус прописывает что то в FAT каждого диска! Мужики, надо что то делать! У меня на настольном компе 4 по 500Gb и все забиты соответственно.

В принципе войти в них можно, в "Моем компьютере" в верхней строке пишешь I: например, и диск открывается и можно работать с файлами. А так чтобы по клику войти - нельзя.

Сообщение было отредактировано REX: 27.03.2008 - 17:45

[LEM]

Лечить зверя лучше всего бесплатной утилиткой DrWeb CureIt! -
=>http://download.drweb.com/files/cureit/cureit.exe
Oна корректно находит и удаляет вирус из памяти, а также видит и удаляет его из "X:\System Volume Information\_restore..." По классификации DrWeb вирус называется Trojan.PWS.Wsgame.2387 . Экземпляры вируса могут валяться и во временных папках профилей пользователей.

Основное тело вирусa - c:\windows\system32\amvoX.XXX (возможны варианты c:\windows\system32\amvo.exe, c:\windows\system32\amvo.dll, c:\windows\system32\amvo0.exe, c:\windows\system32\amvo0.dll и т.д.). После внедрения активно порождает autorun.inf и nideiect.com в корне дисков. Именно из-за первого из этих двух файлов не получается открывать диски - он вместо открытия с помощью второго создаваемого файла заново внедряется в систему.

Вирус внедряется как руткит и прячет свое наличие в системе - его не видно как файл и процесс, кроме того он не позволяет включить показ в системе скрытых файлов (в свойствах папки). Последнее остается даже после удаления вируса и лечится только ковырянием в реестре. Для восстановления нормальной работоспособности я сочинил такой рег-файлик:

---> begin here <---
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
---> end here <---


P.S. Описание мое собственное, может где и ошибся. Но помочь должно.

[REX]

Все верно, все описанное правда!
Я тут посидел, поковырялся немного, и точно в корне каждого диска - EXE файл и autorun.inf
Файлы эти удаляю DоsNavigator'ом, а они на глазах появляются опять в корне.
@ HX550c
А не видел я их в Windows потому что спрятанные они были.
DоsNavigator'ом они сразу и проявились. И что характерно, в DN меняешь у файла атрибуты, а они сами собой устанавливаются.

Вот запускаю cureit. Будем посмотреть.
СПАСИБО (IMG:style_emoticons/bfz/merci.gif)

[REX]

DrWeb CureIt утилитка не бесплатная. Да и не удаляет она amvoX.XXX. А просто перемещает его в дир. Quarantine. Но потом этот самый amvoX.XXX появляется там же. Из этого следует, что и память CureIt не сканит (наверно пока не заплатишь).
Вобщем сделал я следующее.
1. сделал загрузочный CD с Win98 (только система+DosNav) Nero'й.
2. Загрузился с него, выгрыз с c:\windows\system32 файлы Amvo0.exe и dll (благо C:\ у меня - FAT32)
3. Поудалял подозрительные ехе'шники с корней FAT'овских дисков.
4. Перегрузился в ХР, и с этого же CD в DN'е потер autorun.inf и всё теже ...ные exe'шники с NTFS дисков.
Вот пожалуй и всё. Система фурыкает.

Да, вот еще, снёс я етот KAV6 под корень.
Установил седьмой. Отстрел зверей вроде пошел правильно.

Вобщем Merci вам большое. (IMG:style_emoticons/bfz/thumbsup.gif)

[LEM]

DrWeb CureIt утилитка не бесплатная. Да и не удаляет она amvoX.XXX. А просто перемещает его в дир. Quarantine. Но потом этот самый amvoX.XXX появляется там же. Из этого следует, что и память CureIt не сканит (наверно пока не заплатишь).

Еще какая бесплатная. Скачиваем последнюю версию по ссылке, которую я указал выше, и лечим. А если есть сомнения в правильности настроек - жмем F9 -> Действия, и устанавливаем необходимые действия для нужных типов объектов, в частности - "Неизлечимые" -> "Удалить" (вместо "Переместить").

P.S. Два дня назад получили комп с таким вирусом, для пользователя ставили NOD32 - он и обнаружил вирусную активность, но вылечить не смог. Вылечил именно так, как и описал выше.

[BORN]

А чтобы autorun.inf не был страшен автозапуск устройств надо запретить в gpedit.msc . И еще пользуйтесь утилитой AVZ - и бесплатно и эффективно!

[portmone]

А я просто использовал мелкую прогу. Она кстати так и называется anti_autorun и весит всего 108КВ. В основном вирус этот заносится через флэшки. Уже не один комп заразили как на работе так и дома. Выручила именно лечилка эта использовал ее, комп перезагрузился и се тебе. Пользуйся дальше.

[stark]

Эта дрянь замечательно лечится, например Awast'ом...
+ все проверки лучше проводить в "безопасном режиме".

[CheD]

Если машина с инетом можно сюда http://www.kaspersky.ru/virusscanner и в онлайне проверить.
Хотя лучше DrWeb CureIt только загрузиться в безопасном режиме.

[SashJ]

Не! Ну что за детский сад? ейбогу.
Кто лечит вирусы(exe) из под винды!!? Еще и с руткит фунцией. Сразу же после загрузки Вирь уже в оперативке, и ясен пень он сделает все чтоб не дать себя грохнуть. и это он еще по лоховски себя ведет, что дает обнаружить файлы своего запуска и что-то с ними сделать.
Грузиться и сканить систему надо только с компакта (WinPE, специально созданные антивирем(KavRiscueCD) и тп) (и сканить) и ручками гробить а потом сканить (с сд) (При этом не запуская ни одной программы с винта или флехи!!!) антивирем, а если точно известно что за зверь и какие файлы в системе его запускают,(если вирь не заражает поголовно все ехе ) то убив их ручками, загрузить винду и сканить(долечивать) из под нее.

А так нечего удивляться что авторун тутже появляется, а в принципе сканирование зараженной машины из зараженной системы даже самым крутым антивирусом (при соответствующем уровне вируса(хороший руткит)) бесполезно! (антивирь его не видит, а даже если видит то убить неможет) и более того ведно так как может способствовать более быстромуи фатальному распложению заразы по винту


А уже После очистки системы удалять последствия (типа реестр чистить, возвращать на место настройки и тп)

ПС загрузочный компакт можно сделать на чистой системе.

Сообщение было отредактировано SashJ: 3.06.2008 - 15:53

[MethodMan]

вылечил всю сеть от этой пакости NOD'ом без проблем и гемороя...а вот за рег для поднятия возможности просматривать скрытые отдельная благодарность

[gvinpinn]

Хоть тема и исчерпала себя, добавлю. Поймал такого же гаденыша. Избавился просто: сунул флэшку, посмотрел, че на нее скопировалось без моего ведома. После тупо ввел имена в поиск, и удалил все, что нашлось (IMG:style_emoticons/bfz/biggrin.gif) Autorun.inf был там же. После перезагрузки диски открываются как раньше.

[Andrewp]

Добавлю еще своих 5 копеек :)
Часто бывает достаточно просто излечиться от вируса без антивирусника. Прошу заметить что "часто", а не "всегда".
Правда при этом маленько разбираться в Виндовс все-таки нужно.
1) Если разбираемся хорошо, то сразу идем в службы и останавливаем все подозрительные переводя их в режим "Отключено". Также смотрим исполняемый файл у этой службы. В русской винде это сделать проще, т.к. все подозрительные службы будут названы по-английски, будут вверху и их будет немного. После чего смотрим что находится подозрительного в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, есть еще несколько мест в реестре, откуда производится автозагрузка файлов, но там реже попадаются.
Убиваем процессы в памяти, которые показались подозрительными в службах и реестре (то есть смотрим название файла в реестре или в свойствах службы и после этого завершаем процесс через диспетчер задач)
Удаляем или переименовываем сами файлы.
Упс, чуть не забыл, еще ведь есть стандартная Автозагрузка :) ее тоже смотрим.
Только после всего этого! перегружаемся. По крайней мере это часто позволяет избавится от автозагруки вируса.
2) Если шибко не разбираемся, то нужен антивирусник, который если не удалит, то по крайней мере покажет название зараженного файла. Сразу ищем его в процессах и убиваем. Самого файла при этом можно не найти, т.к. антивирусник скорей всего переложит его в карантин.
Как только убили процесс, ищем название файла в реестре и в службах, соответственно, если находим - удаляем. После перезагрузки вирус уже не должен торчать в памяти. Прогоняем еще раз антивирусник.
Если не снять процесс (то есть не убить вирус в памяти), то после благополучного удаления файла он будет снова появляться :)

По поводу Autorun.inf. Во-первых включите просмотр скрытых и системных файлов. Во-вторых, на диск или флешку заходите путем ввода пути непосредственно в адресную строку, например e: и Enter.
Кстати, еще один способ найти вирус :) Открываем блокнотом этот Autorun.inf и смотрим, что там запускается.

[AndyBitOff]

Как-то и я пропустил эту тему. Просмотрев бегло посты решил тоже внести свою лепту в общее дело.
Что бы не создавался Autorun.inf на носителе, достаточно создать в корне папку "Autorun.inf" (без кавычек), и тогда можно спокойно вставлять, например флешку, в любой компьютер. Файл Autorun.inf просто не сможет создатся.

[Andrewp]

да, можно и так, но только лучше еще поставить атрибут "read only" на файл, а то может и перезаписаться.

[AndyBitOff]

На какой файл?

[Andrewp]

ну естественно на Autorun.inf :) а так он может и перезаписаться.
хотя...я сейчас подумал, что лучше его не создавать самому. Ведь когда его нет, ты точно знаешь, что его создаст вирус и он сразу вызовет подозрение. А когда создаш сам, будешь думать, что все в порядке и что мол вирус этот Autorun.inf не перепишет, но ведь 100% уверености в этом быть не может. Следовательно в один прекрасный день у тебя заведется вирус, который перепишет этот Autorun.inf, но ты при этом будешь думать, что лежит твой чистый файл.
Проще файл заметить на самой флешке, чем проверять каждый раз содержимое Autorun.inf, не записалось ли туда чего.