вирусяка michael.exe вас еще не посещала ? #468531

не видится никаким антивирусником. все упоминания в инете и проверялки не привели ни к чему. все равно создает на сетевом диске autorun.inf

Наглая ложь. Касперский нормально его убивает. У меня уже на трех машинах такой пробегал.

Да не за что

Отключить нафиг авторан у всех дисков

+ к Доктор, который вэб, тоже. 1. Ищи пути, откуда он попадает. 2. НоД может, к примеру, убивать сам вирус, но оставлять autorun.inf (заблокированный - убивается CureIT), что уже никакой опасности не несет.

autoruner это нам знакома, лечится убиванием процесса, и снятием из автозагрузки, или сэйфмод и скан курейтом

Нас вирусняки в принципе не посещают

Когда уже люди перестанут под админом работать?

когда прижмут за крэки)

неа. И не надо!

про виндовз ацтой тут уже писали?

А как он классифицируется касперским?

Научи, что нужно сделать, что посетила такая вирусяка?!

про прямые руки еще не написали...

Net-Worm.Win32.Kido.ir    Файл    G:    autorun.inf

Вот такая гадость сидит в сетевой папке не могу избавиться... [autorun ~dfsafklASKFkfWqкдАСЧДФКЛЊЧЛЉфјидџЊЉД open=LOOKEY///michael.exe %дњљдлЊЋДЛЊЉЋФксАЋL??DASFKw??QPF?qf icon=%SystemRoot%system32SHELL32.dll,4 &daskdl?KFGWQ?FKkfASL?FЭДЖВафыАЬЛЦЙАЭЖЦЙДАЛЗХЭЦЙа action=Open folder to view files using Windows Explorer (афыалцЭАЦДЙАЭЦдэФДЫАЭДЙЭАЛХЭЦЙАKdlPLLDWKDP Shellopencommand=LOOKEY///michael.exe >dasdflфАЕЛфЋЊЉлфЋЊЉдкфњљЧдмкјњљдкјчњКФњљфњљфњљ shellopencommand=LOOKEY///michael.exe !фњљфњљФЊКфЊЉЧКЈФЊЉ?fASLF?WQKFEOFK?EQ? USEAUTOPLAY=1 ?dqWQP?DLWQ?DFASFKAFKWQOPDA??DВЭДФЫЖВДЭЙВЛДБЭЦВЛЦЙВЛЬЭЦЙХВЦЙ

разрешать писать в сетевые папки аутораны - это адское зло...Мы обычно даже исполняемые файлы запрещаем туда писать, очень часто помогает

Как запретить ?

Ложью ))) зверек выцепляется утилитой КК.ЕХЕ, ее же настроили на автозагрузку на всех пользовательских компах, + каспер. Проблема исчезла ))))

И эта же утилита блокирует автозапуск флешек на локальных машинах.

Это не с флешки. юзер клянется. вроде как с интета, на раблере у юзера почта. говорит что отправил письмо только. Аваст выдал предупреждение и письмо мне на почту. По нему установил время заражения. После этого аваст сдох. переустановил на 5 версию. не обнаруживает ничего. а в сетевой появляется авторан, кожадый раз при запуске этой машины. куреит свежий не видит ничего.

gpedit.msc Система Запретить автозапуск Включить на всех дисках. А дальше - вам Autorun не страшен. ещё полезно "зверям" ограничить запуск Exe-файлов. P.S. если пользователи работают не под админом, то это защищает локальные диски от внедрения туда Autorun.inf, но в директории запуска пользователя вирусы живут как ни в чём не бывало, причём - заходишь на машину под админом - никаких вирусов нет (они дремлют в папках пользователей), а вот под пользователями они работают - приходиться StartUp-ы у пользователей регулярно чистить.

Последний вирус, который я видел на Flash - он создаёт на диске файлы с иконкой папки и именем уже существующих папок, и никакого Autorun, но пользователь в проводнике работает - он его и запускает. P.S. в данном случае очень помогает Far, так как в нём файл с папкой спутать просто нереально.

Этот создает "папку" LOOKEY с иконкой корзины. в ней отображаются файлы из настоящей корзины. среди них прячется екзешка, но я ее не вижу, под админом даже с другой машины. папка блокируется машиной заразителем.

однако..

попробуй этой утилкой, она и сетевые сканит диски, на сколько я помню... если уж эту заразу затащил, то без вспомогательных утилок ты ее не уберешь.

проверенную ссылку на нее можно ?

- это опыт борьбы с кидо... на 34 странице описание к ней. - сама утилка.

ссылка на утилку вызывает доверие))) ???

это для кидо...

куреит вешается на 80% проверки...

заменил scrss.exe - вроде теперь на сетевом диске не создается каталог, но блокирована почта. завтра буду смотреть кто занял порты

ниче она не блокируется, пользуйся не проводником

блокирована. (unloker снимает блокировку)

mkdir "C:Корзина.{645FF040-5081-101B-9F08-00AA002F954E}" есть методика и без клсида

что это ?

о "корзине"

и все таки конфикер или что ?

конфикер можно найти по журналу и по характерным файлам на жертве

зачем мне Корзина на c: ? Вирус "создает"  корзину на сетевом мапированном диске, в которой отображаются файлы из корзины локальной машины.

не знаю что. никто, кроме аваста не ругнулся, а сейчас и аваст не ругается...

поставил каспера - тоже молчит

снимал диск - тестил на другой машине, авастом/каспером - никого.

без разницы проверять надо не тот кто с шарой, а окружающих

а выявить кто лочит средств масса начиная с net file

естесно. проверял ту машину, которая лочит этут папку.

с нее пришел сигнал заражения и при ее выключении папка удаляется свободно

выявляй процесс

если конфикер не редко вебсервер и в качестве исполняемых идут "картинки"

ничего нет лишнего. убил все , что мог. при очередной загрузке, ругнулось на офис и память не может быть реад, само перезагрузло и папки не создает теперь. Но 25 порт вробе занят чем то. проблемы с почтой.

ничего не понял.

netstat -a -o | find ":smtp"

cports.exe но завтра попробую.

не редко кидо работат как веб сервер

думаешь это кидо ?

х.з. по повадкам не похоже тот гасит и перепускает службу сервера

дело в том что и на сервере  почтовик загнулся, но после перезагрузки почтовика завелся.

опять же сервер под каспером - все чисто, говорит...

а защитить элементарно создать папку autorun.inf и файл lookey не верь антивирусам )

хи-хи... первым делом сдела. Он их перезаписывает, сука. Даже если они рид-онли.

именно так ? папку и файлнаоборот ?

корректировал авторан, чтоб путь екзешки не нашел. куда там - просек.

нет, не так

а в том и дело папку ауторан, а файл лукей

+ а в чем фишка ?

в том, что файл перепишет ибо откроет fopen а папку нет

а кильнуть папку и создать не догадается ?

лан, спасибо за участие...