Dobrey написал(а):
Точнее все это есть и в корне ХР и в систем32, но есть двух видов, например: cmd и cmd.exe, так вот первое не работает, а второе работает. Из "Выполнить" пишет, что де "не могу найти указанный файл", и что мол "убедитесь в наличие оных файлов". Как их увидеть?
Ты попал! Это ВИРУС !!! Очень серъезный!
Его ловит только Каспер со свежими базами... Сам с этой дрянью столкнулся...
Вот, почитай про неё:
его зовут runauto.. просто runauto с двумя точками
передается через флешки. характерная примета — в корне каждого диска (жесктого, гибкого, съемного flash) имеются скрытые и системные файл autorun.inf и папка runauto... (видно только две точки, т.к. третья вопринимается как разделитель имени и расширения).
Symantec называет его VBS.Runauto и вроде умеет лечить. Так же по рассказам делает Касперский.
NOD32 и McAfee, по слухам, не лечат.
паразит срет не по-детски.
1. подменяет собой lsass.exe и cmd.exe.
2. стирает также подменяет msconfig.exe и regedit.exe
3. имеет закадычного другана C:\WINDOWS\setuprs1.PIF, который прописывается в реестр как дебаггер для консоли настройки, редактора реестра и командной строки.
4. наверное, траффик гоняет, раз lsass.exe…
таким образом:
1. перестают заводится (все подряд или в различных сочетаниях): msconfig.exe, cmd.exe, regedit.exe.
2. у народа наблюдались кракозябры с иероглифами в контекстном меню системного диска, вызванного правой кнопкой из Проводника.
3. народ жалуется на невозможность записи R- и RW-болванок.
заражение происходит, естественно, в момент подключения флешки. папка runauto... не удаляется ни в штатном режиме, ни в безопасном режиме, ни из-под DOS. имеется мнение: потому что эти две системы не знают, что папки могут быть названы таким образом.
избавление от вируса происходит следующим образом:
0. отключить восстановление системы (Пуск > Панель управления > Система > Восстановление системы > Поставить галку на «Отключить восстановление системы на всех дисках»).
1. удалить файлы autorun.inf из корня всех дисков.
2. удалить C:\WINDOWS\setuprs1.PIF.
3. в редакторе реестра (слава богу, у меня он завелся; на остальной случай — любой LiveCD, надо полагать) найти и удалить параметр "Debugger"=setuprs1.PIF. особенно искать здесь:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
а именно:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
и прочая.
4. из косоли (то же, что и в п. 3 — у меня видать не до конца заразилося) запустить:
rd c:\runauto...\ /s /q, где «с» — буква диска.
то есть запустить несколько раз, для каждого из дисков.
наши жолтокожие соседи написали скрипт, который вычищает систему от засранца. но этот скрипт, естественно, весь в иероглифах (надо думать, в настоящих), так что единственная польза — посмотреть, чего надо чистить (и написать свой).
да пребудет с нами со всеми Google.
хотя он и не может найти англоговорящую нормальную версию этого скрипта.
UPD 1 хрена лысого. эта сволочь так и осталась. восстанавливается. запускается как процесс lsass.exe — из директории WINDOWS. на самом-то деле приличный lsass запускается из WINDOWS\system32. в общем, маскируется, сцуко. так же плодит дубли под именами regedit.exe.exe и cmd.exe.exe. естественно, запускает эти программы под собственным контролем. то есть любые правки реестра возвращаются на место.
hijackthis не помогает…
UPD 2 несмотря на уверения Symantec'a — не видит нифига.
а вот Dr.Web нашел сразу же. по ихнему он называется BackDoor.Kais. найти — нашел, но вылечить не смог
зато на их форуме есть совсем железобетонные рекомендации по удалению:
1. Удалить все файлы autorun.inf в корне всех логических дисков.
2. В безопасном режиме сделать полную проверку всех логических дисков DrWeb 4.33.2 с последними базами.
3. Загрузиться с дискеты с DOS (если FAT32) или с дискеты с CIA Commander 1.0a (если NTFS) либо с дискеты с DOS с драйвером, дающим доступ к разделам NTFS.
4. Попытаться удалить папку runauto.. либо переименовать.
5. Загрузиться с CD с дистрибутивом Windows и установить поверх (режим восстановления).
6. После нормальной загрузки системы, задать полную проверку диска С: и перезагрузить компьютер.
7. После завершения проверки и нормальной загрузки, удалить папку (папки) с именами found.000 и так далее.
8. Для других (не системных) логических дисков потребуются аналогичные манипуляции (см. п.3, 4). Полная проверка происходит без перезагрузки. Далее п.7.
9. Для восстановления работоспособности таких программ, как: cmd.exe, regedit.exe, msconfig.exe и возможно какие другие, с помощью утилиты AVZ или любой другой сторонней программы, умеющей редактировать реестр, удалить следующий ключ(ключи) по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Аналогично для cmd.exe, msconfig.exe и других (если есть проблемы).
Кстати, для удаления других ключей, уже можно будет воспользоваться regedit.exe
Проверь! Судя по симптомам - это твой случай!
