Водила ТС
Ветеран форума
Карма +715/-0
 Offline
Пол: 
Сообщений: 5276
г. Саратов
Иж2126030, 2003 г.в., двиг ВАЗ2106, 1.6л, КПП Омск
|
 |
« : 28 Мая 2009, 08:16:24 » |
|
История..
Знакомая как-то притащила свою флешку, и на ней было мнооооооооооого гадостей, несмотря на то, что она сказала, дескать, что антивирус у неё стоит, работает и обновляется. Мой Аваст оборался на лезшую в комп вирусню; флешку я вернул знакомой. До этого момента у меня всё работало хоршо.
Суть вопроса..
Вставляю свою флешку (отсканенную до этого Каспером, который ничего на ней не нашёл), и Аваст орёт, что обнаружен autoran.inf, и в нём сидит троян (название не запомнил, но посмотрю попозже и выложу). Я удаляю этот авторан, секунд через пять Аваст снова орёт о том же, и история повторяется. Это повторяется даже после форматирования флешки, значит, как я понимаю, гадость, генерирующая этот авторан, сидит в компе. Полное сканирование Авастом сказало, что всё чисто, правда часть файлов в Систем Вольюм на диске Е он просканировать не смог. Файрволл доложил о подозрительном ему процессе Win.32. Аваст у меня обновлён. Хотел ещё Кюритом проверить, но скачанный дистрибютив при запуске выдавал ошибку архива и не запускался. При чём не только на моём компе, но и на чистом тоже. Наверное у Вэба там что-то глючит.
Собственно, вопрос: мои дальнейшие действия по обезвреживанию этой гадости?
|
|
|
|
|
Записан
|
|
|
|
JOKER7685
Главный флудер иж2126
Ветеран форума
Карма +371/-2
Offline
Пол:
Сообщений: 2856
Ярославль
ИЖ 2126-030 2001г.в. ТКБСЗ мурена
|
|
« Ответ #1 : 28 Мая 2009, 08:36:00 » |
|
а форматирование быстрое делал или полное? при быстром могут файлы оставатся, хотя их и не видно. форматни по полной флеху
|
|
|
|
|
Записан
|
|
|
|
Водила ТС
Ветеран форума
Карма +715/-0
Offline
Пол:
Сообщений: 5276
г. Саратов
Иж2126030, 2003 г.в., двиг ВАЗ2106, 1.6л, КПП Омск
|
|
« Ответ #2 : 28 Мая 2009, 08:44:04 » |
|
Форматировал по полной; после этого флешка была пустой (в том числе, смотрел под Кубунту)
|
|
|
|
|
Записан
|
|
|
|
JOKER7685
Главный флудер иж2126
Ветеран форума
Карма +371/-2
Offline
Пол:
Сообщений: 2856
Ярославль
ИЖ 2126-030 2001г.в. ТКБСЗ мурена
|
|
« Ответ #3 : 28 Мая 2009, 08:45:43 » |
|
а если ее просто сканит ничего не выдает? попробуй засунуть диск какой нибудь или другую флеху, может это авторан винды заражен
|
|
|
|
|
Записан
|
|
|
|
Casper
Местное привидение Монстр Форума
Карма +1653/-2
Offline
Пол:
Сообщений: 18524
Где-то в пути
Кенни! Я отомщу им за тебя!
 Москва, Северное Чертаново КИА Соренто 2,4 11 г.в., МБ Виано 3,0 11 г.в.; была Орбита 1.7 97г.в.
|
|
« Ответ #4 : 28 Мая 2009, 09:05:38 » |
|
Надо загрузиться в безопасном режиме или вообще с CD и проверить жесткий диск. До этого сделать резервную копию систему и сохранить ценные файлы. http://z-oleg.com/AVZ помогала несколько раз при подобных случаях. |
|
|
|
|
Записан
|
|
|
|
Faraday
Ветеран форума
Карма +505/-3
Offline
Сообщений: 4322
Екатеринбург
Nissan Qashqai SE+ 2012
|
|
« Ответ #5 : 28 Мая 2009, 09:13:29 » |
|
Аваст орёт, что обнаружен autoran.inf, и в нём сидит троян (название не запомнил, но посмотрю попозже и выложу). Я удаляю этот авторан, секунд через пять Аваст снова орёт о том же, и история повторяется.
autorun.inf - текстовый файл, где прописано, что будет запускаться автоматически при открытии флешки. Т.е. сам файл autorun.inf вирусом не является. Можно его открыть в блокноте и посмотреть на что он ссылается. На флешке должен появляться исполняемый файл - вот он-то и есть вирус. Совет: проверь его разными on-line сканерами, (например http://www.kaspersky.ru/virusscanner и http://vms.drweb.com/online/ ), какой найдет, ту утилиту и скачивай для проверки. |
|
|
|
|
Записан
|
|
|
|
Casper
Местное привидение Монстр Форума
Карма +1653/-2
Offline
Пол:
Сообщений: 18524
Где-то в пути
Кенни! Я отомщу им за тебя!
Москва, Северное Чертаново КИА Соренто 2,4 11 г.в., МБ Виано 3,0 11 г.в.; была Орбита 1.7 97г.в.
|
|
« Ответ #6 : 28 Мая 2009, 09:14:22 » |
|
autorun.inf - текстовый файл, где прописано, что будет запускаться автоматически при открытии флешки. Т.е. сам файл autorun.inf вирусом не является. На флешке должен появляться исполняемый файл - вот он-то и есть вирус. Совет: проверь его разными on-line сканерами, (например http://www.kaspersky.ru/virusscanner и http://vms.drweb.com/online/ ), какой найдет, ту утилиту и скачивай для проверки. Флешку проверять бесполезно. Вирус уже в системе. У меня тоже самое было года 3 назад. |
|
|
|
|
Записан
|
|
|
|
Водила ТС
Ветеран форума
Карма +715/-0
Offline
Пол:
Сообщений: 5276
г. Саратов
Иж2126030, 2003 г.в., двиг ВАЗ2106, 1.6л, КПП Омск
|
|
« Ответ #7 : 28 Мая 2009, 09:37:54 » |
|
Вирус в системе уже, потому что авторан появляется на любой флешке, какую ни сунешь. Значит, с жесткого какая-то гадя его генерит и на флеху вносит. И потом, появляющееся на флешке видит и Аваст, но вот он не показывает на жёстком то, откуда вся эта гадость вылазиет. А появляемые "лишние" проги после авторана на флешке я удалял, но они секунд через 5 появляются снова вместе с автораном..
Ещё вопрос: я могу проверить систему, войдя под Линухом (у меня на компе 2 системы стоят)? Только вот если линуховый антивир сможет найти гадость (на лине стоит тоже Аваст, только линуховый, но у него антивирусная база та же, что и у виндового - они одной и той же пользуются)..
|
|
|
|
|
Записан
|
|
|
|
weiss Igel
Ветеран форума
Карма +876/-2
Offline
Пол:
Сообщений: 5286
Далеко, там, где неба кончается край...
В память о Надежде
 Москва Иж-2126-wI
|
|
« Ответ #8 : 28 Мая 2009, 09:42:24 » |
|
задай в Авасте проверку при загрузке системы, и перезагрузись, скорее всего найдет и на жестком диске, раз на флехе видит
|
|
|
|
|
Записан
|
"Ночь темна, мир отчаянно пуст, Облака плывут домой До тебя долетит моя грусть, Упадет с ресниц слезой Жизнь и смерть всего лишь два мгновенья Бесконечна только наша боль…" Любим, помним.... |
|
|
Casper
Местное привидение Монстр Форума
Карма +1653/-2
Offline
Пол:
Сообщений: 18524
Где-то в пути
Кенни! Я отомщу им за тебя!
Москва, Северное Чертаново КИА Соренто 2,4 11 г.в., МБ Виано 3,0 11 г.в.; была Орбита 1.7 97г.в.
|
|
« Ответ #9 : 28 Мая 2009, 09:42:33 » |
|
Смотря как Линукс установлен. Я когда ставил, ещё в более ранние времена, то с параметрами невозможности изменить что-то в файловой системе Windows. Т.е. только чтение. Иначе 2000 c ntfs просто умирала. :-)
Как сейчас дела обстоят, не знаю.
Но я бы сделал именно так как в ответе 4. Помогло без слета системы.
По-моему и в тот раз я изучал лог-файлы этого вируса. Все посещеные мною веб-сайты с набраными текстами аккумулировались в файлике. Отдельно программки запускаемые локально. :-) Тогда это только входило в моду. Блокировка штатного антивиря+троян.
|
|
|
|
|
Записан
|
|
|
|
Водила ТС
Ветеран форума
Карма +715/-0
Offline
Пол:
Сообщений: 5276
г. Саратов
Иж2126030, 2003 г.в., двиг ВАЗ2106, 1.6л, КПП Омск
|
|
« Ответ #10 : 28 Мая 2009, 10:06:08 » |
|
Ок, понятно. Сегодня вечером займусь. А линь позволяет мне с виндой делать практически всё. Сначала наверное пропишу сделать Авасту проверку при загрузке системы, если не поможет, тогда буим грузить с сидюка и шушукать по системе  |
|
|
|
|
Записан
|
|
|
|
Casper
Местное привидение Монстр Форума
Карма +1653/-2
Offline
Пол:
Сообщений: 18524
Где-то в пути
Кенни! Я отомщу им за тебя!
Москва, Северное Чертаново КИА Соренто 2,4 11 г.в., МБ Виано 3,0 11 г.в.; была Орбита 1.7 97г.в.
|
|
« Ответ #11 : 28 Мая 2009, 12:09:44 » |
|
Если Аваст выдает название трояна, то можешь поискать его описание в инете. Типа на virusinfo.info. А история, я смотрю, уже тянется у тебя :-) http://izh.2126.ru/forum/index.php?topic=39963.0 |
|
|
|
|
Записан
|
|
|
|
GRAY_
Основа форума
Карма +275/-0
Offline
Пол:
Сообщений: 321
РМЭ г. Йошкар-Ола
Ёжик, suka, автомобиль!
Йошкар-Ола ИЖ 2126-030 1,6
|
|
« Ответ #12 : 28 Мая 2009, 12:13:02 » |
|
У нас в городе была такая проблема у всех нааерно  ну и "излечились" все С "больных" плюсик Надо так все флешки, винты, фотики, мобилы, вобщем всё что имеет хоть какую-то память скорее всего заражено |
|
|
|
Записан
|
|
|
|
|
Ахинеич
|
|
« Ответ #13 : 28 Мая 2009, 12:19:06 » |
|
Слушайте, ну что ВЫ панику затеяли? Самое слабое место Аваста - его сверхбдительность! Он всегда ругается на подозрительные (причём исключительно ему) файлы. Другие антивирусы молчат ( а их создатели посмеиваются), когда Аваст вопит. Попробуйте любой keygen Авастом прогнать, завопит сразу. Как и на безобидные обновления ругается, на просмотрщики халявные тоже.
Так что правило таково. Любыми двумя иными антивирями прогони, если не обнаружат, то заткни Аваст вручную. (ИМХО замени его на иное что-то, надоест бороться иначе).
|
|
|
|
|
Записан
|
С точки зрения теории Банальных Эрудиций возможности далеко не каждого индивидуума способны игнорировать тенденции парадоксальных эмоций. Резюмируя вышесказанное, нивелируйте свои аппроксимации на ассоциации с ником!
|
|
|
Faraday
Ветеран форума
Карма +505/-3
Offline
Сообщений: 4322
Екатеринбург
Nissan Qashqai SE+ 2012
|
|
« Ответ #14 : 28 Мая 2009, 12:27:51 » |
|
Флешку проверять бесполезно. Вирус уже в системе. У меня тоже самое было года 3 назад.
По названию вируса на флешке можно найти, что заражено в системе. Я так же недавно искал. Сканер Касперского не нашел, сканер д. Веба нашел, я скачал его утилиту и проверил всю систему - он оттуда выковырял заразу, которая пряталась под системные файлы и процесс svhost. |
|
|
|
|
Записан
|
|
|
|
|
