Решил написать кое-что про вирусы типа Autorun, может кому пригодится... Эту пакость написал какой-то ненормальный программер (хотя и довольно умный)... Начну с того, что вирус распространяется чаще всего на флешках. Состоит чаще всего из нескольких файлов (autorun.inf, autorun.bin, autorun.vbs, autorun.com и тд), но вариантов и модификаций у него много.
Работает вся эта байда так: вы вставляете флешку, запускается файл autorun.inf, запускаются файлы вируса. Всё, скрытые файлы и папки просмотреть невозможно, удалить вирь можно только через нормальный файловый менеджер, но не всегда. Я не зря в начале заметил, что программер, который написал эту бодягу имеет каплю мозгов...
В одном из своих творений он свел возможность удаления к минимуму: при заражении таким вирусом запускается файлы lfkxaor.exe (следит за активностью пользователя) и salbhfd.exe ("отладчик"). В списке процессов их увидеть можно, а вот завершить нет... Следом за этим отключается восстановление системы и некоторые другие программы...
Что касается реестра, то там у нас изменяются следующие ключи:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - сюда прописывается автозагрузка виря (но не всегда)
HKEY_CURRENT_USER\software\bykake
................................\hforwm
................................\nvhgod, тоже могут быть признаком присутствия виря
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - изменяет значение параметра CheckedValue и вследствие этого просмотр скрытых файлов невозможен...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 - даже если вы удалите вирус, то открыть нормально диски может и не получиться (Диалог "Выберите программу для открытия этого файла...").
Для устранения и защиты от этого вируса я написал прогу (насколько смог) KillAuto. Как показали тесты, с задачей она справляется, хотя и с некоторыми багами
Прога freeware скачать можно с моего сайта: http://hottabych.3dn.ru/load/7-1-0-50
З.Ы. Для создания программы исследовал только 3 вида таких вирусов, если кто заинтересовался, заливайте мне на мыло архивы с такими вирями для исследования
Работает вся эта байда так: вы вставляете флешку, запускается файл autorun.inf, запускаются файлы вируса. Всё, скрытые файлы и папки просмотреть невозможно, удалить вирь можно только через нормальный файловый менеджер, но не всегда. Я не зря в начале заметил, что программер, который написал эту бодягу имеет каплю мозгов...
В одном из своих творений он свел возможность удаления к минимуму: при заражении таким вирусом запускается файлы lfkxaor.exe (следит за активностью пользователя) и salbhfd.exe ("отладчик"). В списке процессов их увидеть можно, а вот завершить нет... Следом за этим отключается восстановление системы и некоторые другие программы...
Что касается реестра, то там у нас изменяются следующие ключи:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - сюда прописывается автозагрузка виря (но не всегда)
HKEY_CURRENT_USER\software\bykake
................................\hforwm
................................\nvhgod, тоже могут быть признаком присутствия виря
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - изменяет значение параметра CheckedValue и вследствие этого просмотр скрытых файлов невозможен...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 - даже если вы удалите вирус, то открыть нормально диски может и не получиться (Диалог "Выберите программу для открытия этого файла...").
Для устранения и защиты от этого вируса я написал прогу (насколько смог) KillAuto. Как показали тесты, с задачей она справляется, хотя и с некоторыми багами
Прога freeware скачать можно с моего сайта: http://hottabych.3dn.ru/load/7-1-0-50З.Ы. Для создания программы исследовал только 3 вида таких вирусов, если кто заинтересовался, заливайте мне на мыло архивы с такими вирями для исследования
