Віруси заражають комп’ютери з флешки

Завантажувальні віруси Autoran

Перші ознаки зараження цим вірусом дуже специфічні, ви не зможете налаштувати провідник Windows на відображення прихованих системних файлів. Вірус блокує цю опцію в реєстрі для своєї маскування. Так як файли вірусу мають атрибути прихованого, системного файлу, то в системі провідник його просто не бачить. Total Commander - при цьому його бачить просто прекрасно.

Працює FANTOM так. Коли в комп'ютер вставляється заражена флешка з FANTOM, система автозапуску Новомосковскет файл Autoran.inf, і запускає прописаний в ньому вірус. Потім цей вірус прописує себе в автозавантаження системи, встановлює dll бібліотеку яка клеїться до всіх процесів, а також прописує в корені всіх дисків файл Autoran.inf і файл з розширенням .сом .exe. назва варіруется, але на одному комп'ютері, на всіх дисках буде однаково.

Ознаки зараження:
Неможливо активувати в провіднику Віндовс опцію «відображати приховані системні файли»
У корені всіх жорстких дисків комп'ютера буде присутній файл Autoran.inf і файл з розширенням .сом .exe Назва і розширення файлу змінюється від комп'ютера до комп'ютера.
Вставте в заражений комп'ютер свідомо чисту флешку. Потім відкрийте її в Total Commander. Ви побачите що на флешці з'явилися файли Autoran.inf і файл з розширенням .сом .exe. При спробі видалити ці файли з флешки, або жорстких дисків комп'ютера вони з'являється через кілька секунд знову.

лікування:
На жаль якщо заразилися, антивіруси не допоможуть. Все доведеться робити ручками. Ваш головний інструмент - Total Commander, або Far Manager, так як в провіднику Вінди ви нічого не побачите.

Запам'ятовуємо дату створення файлів Autoran.inf, які вже присутні в коренях дисків. Нагадую, дивимося це в Total Commander. Причому встановлюємо в ньому відображення файлів за датою створення.

Перевіряємо наступні ключі реєстру відповідають за автозапуск:

І дивимося всі файли, які вантажаться з системної директорії system32, інші нас не цікавлять.

Виглядають вони так:
C: # 92; WINDOWS # 92; system32 # 92; імя_файла.exe або .сом
Або просто «імя_файла.exe або .сом» для запуску з system32 повний шлях не обов'язковий.
Далі знаходимо в system32 ці файли і порівнюємо дату створення файлу Autoran.inf в корені жорсткого диска і файлів з реєстру. Вони повинні бути створені в один день (якщо ви що раніше не намагалися видаляти Autoran.inf самі). Поруч же повинна бути і .DLL бібліотека створена в той же день і годину, що і наш підозрюваний. Якщо все сходиться, це і є ФАНТОМ, але видалити його поки не просто.

Для цього в першу чергу, видаляємо з реєстру його ключ, і перезавантажуємо комп'ютер. При перезавантаженні, це ВАЖЛИВО тиснемо F8 і вибираємо БЕЗПЕЧНИЙ РЕЖИМ.

Завантажуємося в безпечному режимі, запускаємо Total Commander і в system32 вбиваємо раніше знайдені файли. Сам фантом і його бібліотеку .DLL

Потім вбиваємо в корені всіх дисків знайдені файли Autoran.inf і прив'язані до нього програмні модулі (інсталятори фантома). Вони на всіх дисках однакові. Перезавантажуємося, система чиста. ФАНТОМ сильно паскудить в системі, так що після його видалення, багато глюки можуть залишитися.

Фантом поширюється завдяки величезну дірку в безпеці системи, яку з благих спонукань зробила для нас Microsoft. Ця діра називається - Автозапуск. Коли ви вставляєте в CD-Rom диск, або в USB роз'єм флешку, система в першу чергу шукає на носії файл Autoran.inf і, якщо знаходить, запускає прописану в ньому програму, нічого не питаючи у користувача ПК. І за замовчуванням, в системі ця опція люб'язно включена! Цим і користуються численні завантажувальні віруси.

Насамперед треба вирубати автозапуск:
Пуск-Виконати-gpedit.msc

Справа в вікні вибираємо:
відключити Автозапуск

У вікні вибираємо ВКЛЮЧЕНИЙ!

Увага, ВКЛЮЧЕНИЙ не означає, що ми включили автозапуск, це означає, що ви включили опцію настройки управління автозапуском. Багатьох це бентежить і вони вибирають ВІДКЛЮЧЕНИЙ, тим самим залишивши всі системні настройки як є.

Вибираємо значення параметра - "Відключити автозапуск на всіх дисках" - застосувати. Перезавантажуємо комп'ютер.

Автозапуск вимкнений. АЛЕ! При відкритті диска або флешки ніколи її не відкривайте клікаючи по значку носія в провіднику! Чи спрацює примусовий автозапуск. Виділіть потрібний носій правою кнопкою миші і виберете відкрити. Ніяка гидота не запуститься. Хай щастить.

Прошу вибачення, у мене не русифікована версія. Думаю за змістом цю настройку знайде будь-хто.

---
Про видалення хитрих вірусів:

Є деякі AUTORUN віруси, які запускаються від імені системи. У цьому випадку вони будуть запускатися з системними правами, і що найнеприємніше, навіть в безпечному режимі.

Я зустрічав кілька вірусів, які використовують для автозапуску Winlogon з наступного розділу реєстру

Правильний ключ повинен посилатися на файл
C: # 92; WINDOWS # 92; system32 # 92; userinit.exe

Але вірус зазвичай підміняє цей ключ, наприклад, так
C: # 92; WINDOWS # 92; userinit32.exe

Де userinit32.exe - вірус, який запускається першим, а потім вже запускає справжній userinit.exe.
Природно userinit32.exe швидше за все контролює цю гілку реєстру і не дасть її змінити.

Вбити userinit32.exe в диспетчері завдань теж не вийти. Вірус, створює процес клон, який перевіряє, чи запущений userinit32.exe, а сам userinit32.exe перевіряє наявність клону в пам'яті. На жаль, диспетчер задач не має можливості вбити два процеси одночасно. А вбити їх окремо не можна. Так як залишився тут же запустить свою копію. Такий ось замкнуте коло.

На гілки Winlogon тиснемо правою кнопкою миші - дозволу. Прибираємо, все галочки крім пункту - ЧИТАННЯ для SYSTEM - цим ми забороняємо системі доступ до зміни цього розділу, адже вірус має привілеї системного процесу.

Потім потрібно створити в системі нового користувача обов'язково з обмеженими правами.
Пуск - Панель управління - управління користувачами.

Потім треба вийти з облікового запису адміністратора.
Пуск - Вихід із системи.

Усе. У вірусу буде прав на те, щоб змінити цей ключ! СИСТЕМІ доступ на запис заборонений, а адмінських прав в цій учетке у Вірусу немає!

Потім потрібно буде перезавантажитися і видалити з системи файл, на який раніше посилався ключ
HKEY_LOCAL_MACHINE # 92; SOFTWARE # 92; Microsoft # 92; Windows NT # 92; CurrentVersion # 92; Winlogon # 92; Userinit

У нашому прикладі це
C: # 92; WINDOWS # 92; userinit32.exe

Таким способом мною було видалено кілька шкідливих вірусів.
Все написане тут вірно для ОС ХР, в Віста або WIN 7, можуть бути деякі відмінності, але принцип той же.

Все це написано для досвідчених користувачів. Якщо ви нічого не зрозуміли, не розумієте різниці між правами адміністратора і обмеженим користувачем, не намагайтеся нічого міняти в системі самостійно. Якщо ви видалите помилково справжній файл userinit.exe, або невірно відновите його ключ, то не зможете увійти в систему. Я не несу відповідальність за ваші дії.

1 - Не можу налаштувати в Тотал командер відображення прихованих файлів, адже як я зрозумів, за замовчуванням Тотал Коммандер теж не відображає системних прихованих файлів, щоб чайники куди не треба НЕ залізли.

2 - перезавантажити, зайшов в безпеки режимі, але Autorun все одно з'являється на флешці. Чому? У зазначених вами ключах реєстру нічого підозрілого не знайшов.

відповідь:
Поки ви не знайдете вірус на комп'ютері, і не видалите його з системи, флешку чистити марно. Вона буде заразаться знову і знову.

Те що файл Autorun.inf використовується нормальними виробниками ПО для запуску оболонок інсталаторов програм, що безсумнівно полегшує життя чайникам, це теж зрозуміло.

Але мені незрозуміло інше! Чому винда дозволяє обробляти приховані файли Autorun.inf, але ж вірус завжди створює ПРИХОВАНИЙ файл Autorun.inf який в провіднику виндовс непомітний. Адже перевірити атрибути файлу просто як два байти переслати, і легальні виробники ПЗ ніколи цей файл приховувати не будуть! Отже якщо файл прихований - це 100% вірус.

Адже флешовие віруси - це Бічь корпоративних мереж, офісів і т.д. А адже саме за рахунок таких платоспроможних користувачів і тримається ринок платного ПО.

Дозволити? Та ні? І всі справи! Адже реалізувати таку перевірку елементарно, тим більше в антивирусах вже все для цього є, я маю на увазі повний конроль за файлової системою.

Все просто, але віз і нині там.

відповідь:
Звідки ви знаєте є він чи ні, якщо у вас ця опція вимкнена? Дивитися треба в тотал командер, або FAR менеджері.