Многие из вас наверняка сталкивались с траблами связанными с размножением вредносного ПО от одного накопителя к другому, посредством хорошо знакомых и прочно вошедших в наш быт флешек.
Сегодня принесли один из таких, зараженных накопителей, решил сделать скрины и объяснить все как говориться на живом примере.
Обычная флешка на 2Гб трансцендовская.
Первое, что бросилось в глаза, ето то, что вместо значка диска в Мой компьютер, отображается неизвесто что (см. скрин)
Второе: ето то что флешка незапускалась на другом компе.
Запускать такую флешку попыткой щелчка, будет равноценно тому, что запустить виря.
Совет!
не открывайте диски с помощью ярлыка "Мой компьютер"
для открытия дисков пользуйтесь проводником, который запускается комбинацией клавиш "ОКНО-WINDOWS" + "E"
Так как автозапуск со съемных носителей у меня отключен, решил рассмотреть носитель по ближе HEX-редактором WinHex при детальном рассмотрении обнаружил 2 мертвых авторана и 1 папку с названием LJUBOVNICA (Любовница) и вложенными в нее файлами vesnakurva.exe и Desktop.ini в корне диска так же были обнаружешы соответствующие файлы для запуска.
Данный зверек относиться к классу Cloaked Malware, судя по сервисам обнаружения, была впервые замечена 31 марта в перу, затем 10 апреля сего года в Украине, следовательно теперь добралась и до нас))
Сразу дополню, что ни один из сканеров ее невидят в упор!
Поступил следующим образом:
Пуск > Выполнить > cmd жмем ентер
В командной строке выполнил команды:
del /a:hrs X:autorun.bin
del /a:hrs X:autorun.reg
del /a:hrs X:AUTORUN.FCB
del /a:hrs X:autorun.srm
del /a:hrs X:autorun.txt
del /a:hrs X:autorun.wsh
del /a:hrs X:Autorun.~ex
del /a:hrs X:Autorun.exe
del /a:hrs X:autorun.inf_?????
del /a:hrs X:autorun.inf
X - это буква флешки. Желательно поискать и удалить эти же файлы из папки windows\system32.
Далее воспользовался тотал командером с функцией "показать скрытые файлы" и удалил файлы.
Те у кого нет тотала, могут в Мой компьютер -> сервис-> свойства папки->вкладка Вид->поставить счетчик в строке (показывать скрытые папки и файлы).
Флешка заработала, значок (иконка) носителя появилась.
Как отключить автозапуск флешек на компьютере можете подробно прочесть здесь или воспользуйтесь гибкой утилитой xp-AntiSpy благодаря которой можно так же неплохо отрубить все лишнее в винде.
Три классических способа защитить флешку от авторанов
1. Купить флешку с защитой от записи.
2. Отформатировать флэшку в NTFS но упадет скорость чтения данных
3. Создать на флешке две папки – autorun.inf и desktop.ini. наличие папок с такими именами не позволит ему записать свои файлы.
Тотальная "зачистка" компа от Нежити
Как скачивать видео
Как удалить braviax
Ну вроде все сказал, что хотел. Всем Удачного дня!
Большое спасибо за инфу, прочистил свою флешку!))
ОтветитьУдалитьЗдравствуйте,спасибо за информацию. У меня ситуация абсолютно такая, как Вы здесь описали, только хуже.. может Вы подскажете, что делать, если открыли уже флешку и троян попал в комп, и теперь он копирует себя на любые флешки, подключенные к компу. Как от него избавится?
ОтветитьУдалитьЗаранее спасибо за ответ...
можно на e-mail: morgan_18rb@yahoo.com