Перейти к содержанию
Lemmit

Радикальное решение проблем автозапуска

Recommended Posts

Lemmit

В последнее время у знакомых то и дело на флэшках и компьютерах появляются вирусы (в ассортименте), использующие autorun.inf.

Доблестные вендоры не дремлют, но по понятным причинам 100% результат по борьбе антивирусов с этим злом так и не достигнут.

Предлагают варианты радикальной борьбы: запрещать автозапуск съемных носителей через групповую политику - консоль групповой политики: "gpedit.msc", "Административные шаблоны - Система (System) - Отключить автозапуск(Turn off autoplay)". Предлагаются и другие варианты с "ковырянием" в реестре.

Опять же, от двойного клика по съемному диску не спасает.

AVZ предупреждает о включенном автозапуске, но как его отключить умалчивает.

Хотелось бы узнать рекомендации видных профи по данному вопросу, кроме, само собой, использования антивируса. (переход на никсы не предлагать :) )

P.s.: кому интересно, могут проверить на ВирусТотале autorun.inf следующего содержания:

[AutoRun]

open=notepad.exe

shell\open\Command=notepad.exe

shell\open\Default=1

shell\explore\Command=notepad.exe

Выводы каждый сделает сам.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

Давно сделал это дома и на работе (на уровне политик). Но я выбрал там All Drives и это как раз спасает от двойного клика по съемному диску.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Я тож дома отключил)) думаю антивирусные вендоры должны делать на антивирусах так чтобы привключении нового сёмного носителя блокировать и проверить на вирь потом разблокировать автозагрузку))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax

к сожалению, у меня без автозапуска биометрика на флешке не работает. а так - способ с шаблонами вполне действенный. только формулировка несколько другая, "включить(!!) отключение автозапуска".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vidocq89

что бы все не пересказывать - лучше дам две ссылки - там достаточно интересные обсуждения идут из которых можно почерпнуть много интересного по данной теме:

скрипт для АВЗ

разбор данной темы по косточкам

:)

можно выбрать оттуда избранное и обсудить тут)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Lemmit

Чтож не приложили манипуляции с реестром для Хомяков? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Спасибо за полезные ответы, особенно vidocq89!

Lemmit

Чтож не приложили манипуляции с реестром для Хомяков? ;)

Потому что, те манипуляции, о которых читал на форумах, были малоэффективны.

Предложен еще один оригинальный способ, который, говорят, неплохо работает:

создать в корневом каталоге съемного или жесткого диска папку с названием "AUTORUN.INF".

В результате существующие вирусы не могут создать там же файл с тем же названием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo
AVZ предупреждает о включенном автозапуске, но как его отключить умалчивает.

Неправда! :)

В АВЗ Файл - Мастер поиска и устранения проблем

Выведет примерно следующее:

Мастер поиска и устранения проблем>>  Разрешен автозапуск с HDD>>  Разрешен автозапуск с сетевых дисков>>  Разрешен автозапуск со сменных носителей

Ставим галочки, "исправить отмеченные проблемы"

И все...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Спасибо rubin-VInfo за ценное уточнение! Я ж не гуру, я только учусь :)

IMHO, такая важная функция не должна быть так запрятана. После сканирования выводятся проблемы, но не пути их решения а в меню-то не каждый полезет. И help изучать, как всегда некогда ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Я сделал себе и импортировал в реестр такой файл, и калькулятор через inf перестал запускаться:

REGEDIT4[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=dword:000000FF"NoDriveAutoRun"=dword:03FFFFFF[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=dword:000000FF"NoDriveAutoRun"=dword:03FFFFFF[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergo

изменение в реестре ключей запрещает только автоплай, но не запрещает авторан, т.е. по даблклику на сьемном носителе будет запускаться авторан.inf

помогает отключение службы Shell Hardware Detect

вот

PS. касается этих ключей

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000FF

"NoDriveAutoRun"=dword:03FFFFFF

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000FF

"NoDriveAutoRun"=dword:03FFFFFF

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
помогает отключение службы Shell Hardware Detect

Но мой же скрипт работает и без отключения службы.

Даже если оствить только "@SYS:DoesNotExist", то авторан автоматически не сработает.

Сейчас проверил. Возникает только окно с выбором действия. Калькулятор автоматом не запускается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
perek

dr dizel какая у тебя операционка?

у меня отключение службы Shell Hardware Detect на обработку inf файла никак не влияет ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr dizel какая у тебя операционка?

у меня отключение службы Shell Hardware Detect на обработку inf файла никак не влияет ...

У меня Win XP (5.1.2600) SP2 c последними патчами.

Мои настройки для реестра помогают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
perek

Просто меня смутил редактор реестра 4 версии (REGEDIT 4) . . .

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist" - не помогает

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"="" - не помогает

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] - работает, но пока незнаю как, НА ЧТО ЕЩЕ МОЖЕТ ПОВЛИЯТЬ???

остальные, как я понимаю, отключают только автозапуск .... ???

p.s. зачем изменять параметр в hkcu, если те же изменения в hklm ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Просто меня смутил редактор реестра 4 версии (REGEDIT 4) . . .

Это для портабельности. Формат 5-й версии с юникодом тут ни к чему.

Кстати! После импорта настроек нужно перегружаться.

За подробностями - на msdn.

p.s. зачем изменять параметр в hkcu, если те же изменения в hklm ?

Да шоб было. Выйдет ещё какой-нибудь патчик от мелкомягких и опа...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
Разрешен автозапуск с HDD

что это дает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Фенечку это дает. Можено присвоить иконки интересные. Я увлекался этим, когда ПК только появился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

А утилиты VirusHunter'а не пробовали? Помогают.

http://daxa.com.ua/rar/VirusHunter_utilities.rar

http://daxa.com.ua/rar/STSS.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Коллеги, некоторые сообщения, содержащие самплы вредоносных программ были перенесены в закрытый раздел. Самплы интересные, спасибо тем, кто их выложил, но лучше делать это в закрытом разделе. Иначе у нашего форума могут возникнуть реальные проблемы. Прошу с пониманием к этому отнестись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Для тех, кто впервые столкнулся с проблемой AutoRun-вирусов и пришёл на форум по этому поводу!

Кроме вышеуказанных мною средств, есть ещё одно.

В новой версии утилиты klwk от ЛК есть неплохое лекарство от этой флешечной и AutoRun-болезни. :)

Запишите на CD-диск и лечите. :)

Описание см. тут.

Всё предельно ясно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Don't.Care.A.Fig

Файл autorun_1_.inf получен 2008.09.14 09:22:38 (CET)

Результат: 13/36 (36.12%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 -

AntiVir 7.8.1.28 2008.09.12 VBS/Autorun.BA

Authentium 5.1.0.4 2008.09.13 IS/Autorun

Avast 4.8.1195.0 2008.09.13 VBS:Malware-gen

AVG 8.0.0.161 2008.09.13 -

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6087 2008.09.12 INF/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 IS/Autorun

F-Secure 8.0.14332.0 2008.09.14 -

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 VBS:Malware-gen

Ikarus T3.1.1.34.0 2008.09.14 VBS.Autorun.BA

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 -

McAfee 5383 2008.09.12 Generic!atr

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/AutoRun.Y

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 Sus/AutoInf-A

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 -

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 -

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Autorun.BA

Дополнительная информация

File size: 105 bytes

MD5...: 2c92967989d3c858aa65faee9c21b3ce

SHA1..: ebaf7ddd02022674f810d091e64ae8c939c8aeae

SHA256: 8c29d76b2125a949cb3e7c81af7a74d90fdccf9a233202a32f33834f74e8a1ff

SHA512: 5fc824351a22387398f3bd57bb7e2ea913ba2956e314f264f6298ecca6b3f8d0

06d0e26d3620b1ca3a5c696fdd4c1c6186abaf102f285ae3fc1c65dcf89b9f1a

PEiD..: -

TrID..: File type identification

Generic INI configuration (100.0%)

PEInfo: -

Файл io_1_.bat получен 2008.09.14 09:25:14 (CET)

Результат: 17/36 (47.23%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 BAT/Agent

AntiVir 7.8.1.28 2008.09.12 BAT/Runner.A

Authentium 5.1.0.4 2008.09.13 BAT/Agent.D

Avast 4.8.1195.0 2008.09.13 BV:Malware-gen

AVG 8.0.0.161 2008.09.13 -

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 Trojan.BAT.Agent-7

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6087 2008.09.12 BAT/DosLoop.A

Ewido 4.0 2008.09.13 Trojan.Agent.w

F-Prot 4.4.4.56 2008.09.14 BAT/Agent.D

F-Secure 8.0.14332.0 2008.09.14 Trojan.VBS.Agent.w

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Trojan.VBS.Agent.w

Ikarus T3.1.1.34.0 2008.09.14 Trojan.VBS.Agent.w

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Trojan.VBS.Agent.w

McAfee 5383 2008.09.12 -

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/Agent.W

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 -

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 VBS_AGENT.FLQ

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Runner.A

Дополнительная информация

File size: 658 bytes

MD5...: bc9d8b5f2e8b351a74bd554d4d733a26

SHA1..: 912cff5610d1915fe406f11aca0e2577a8627b2a

SHA256: 1d74620980082da86150c802544a9dc602e54a62ab510c9c9700a8c93ace545c

SHA512: 5246b95104909ff520eee28324187735eccf962e8c16eea86c61a400f753437a

f905d86b1558aa4181ab3b461864f016827f73031e86aaa223d218f96025d8c9

PEiD..: -

TrID..: File type identification

file seems to be plain text/ASCII (0.0%)

PEInfo: -

Файл run_1_.bat получен 2008.09.14 09:27:46 (CET)

Результат: 19/36 (52.78%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 BAT/Sled

AntiVir 7.8.1.28 2008.09.12 VBS/Autorun.y2

Authentium 5.1.0.4 2008.09.13 BAT/Autorun.D

Avast 4.8.1195.0 2008.09.13 BV:Malware-gen

AVG 8.0.0.161 2008.09.13 Worm/Autoit.ACP

BitDefender 7.2 2008.09.14 Trojan.Autorun.QP

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6086 2008.09.12 BAT/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 BAT/Autorun.D

F-Secure 8.0.14332.0 2008.09.14 Virus.VBS.AutoRun.y

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Virus.VBS.AutoRun.y

Ikarus T3.1.1.34.0 2008.09.14 Virus.VBS.AutoRun.y

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Virus.VBS.AutoRun.y

McAfee 5383 2008.09.12 VBS/Autorun.worm.k!bat

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/AutoRun.Y

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 Trojan Horse

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 VBS_AUTORUN.ADA

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Autorun.y2

Дополнительная информация

File size: 913 bytes

MD5...: d7b7fee406cba841a88fa7900e27b0cb

SHA1..: a8b2edcf455fbc55ecae0904b8fd7b87bbdf692f

SHA256: 8ab6c9719a149da6c8e7bc23886e2fa4197d53a799d6f58a1b175092f764ae32

SHA512: 55b00e1af4944c5cc5c3cd5994ff81d190e5503700ce546667447569cd14090b

f603e6740cdcdca0e755eb96d69b9b3948dcddafae3f7d7d345a3c29c2a86054

PEiD..: -

TrID..: File type identification

file seems to be plain text/ASCII (0.0%)

PEInfo: -

Файл run.reg получен 2008.09.14 09:19:21 (CET)

Результат: 13/36 (36.12%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 -

AntiVir 7.8.1.28 2008.09.12 -

Authentium 5.1.0.4 2008.09.13 REG/Autorun.D

Avast 4.8.1195.0 2008.09.13 VBS:Malware-gen

AVG 8.0.0.161 2008.09.13 Worm/Autoit.ACQ

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6087 2008.09.12 REG/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 REG/Autorun.D

F-Secure 8.0.14332.0 2008.09.14 Virus.VBS.AutoRun.y

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Virus.VBS.AutoRun.y

Ikarus T3.1.1.34.0 2008.09.14 Virus.VBS.AutoRun.y

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Virus.VBS.AutoRun.y

McAfee 5383 2008.09.12 VBS/Autorun.worm.k!reg

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/AutoRun.Y

Norman 5.80.02 2008.09.12 REG/Small.A

Panda 9.0.0.4 2008.09.13 -

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 -

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 -

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 -

Дополнительная информация

File size: 542 bytes

MD5...: 69c157e2422606c8847c2ef8cdb55093

SHA1..: 238bc80066b6feb830bbab83727c2abdc6bf2b6c

SHA256: 1d3807978398be53fcc0b393fea8f080f4781a19c7bb441dcb6ffa4bc2808b13

SHA512: 5b4fd7b051efa57d6b4c30cb3058969ed13ba6ac8c66fd835a8a2790d18f98af

6142e4bfa1af49f6ebeb674fef914244b6937f268d0fcadf4f9133a3f4f5ca5e

PEiD..: -

TrID..: File type identification

Windows Registry Data (Ver. 5.0 - UTF16) (96.8%)

Text - UTF-16 (LE) encoded (2.0%)

MP3 audio (1.0%)

Lumena CEL bitmap (0.0%)

Corel Photo Paint (0.0%)

PEInfo: -

packers (Authentium): Unicode

packers (F-Prot): Unicode

Файл run_1_.vbs получен 2008.09.14 09:30:35 (CET)

Результат: 13/36 (36.12%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 -

AntiVir 7.8.1.28 2008.09.12 VBS/Autorun.Y

Authentium 5.1.0.4 2008.09.13 VBS/Autorun.D

Avast 4.8.1195.0 2008.09.13 -

AVG 8.0.0.161 2008.09.13 Worm/Autoit.ACR

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6086 2008.09.12 VBS/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 VBS/Autorun.D

F-Secure 8.0.14332.0 2008.09.14 Virus.VBS.AutoRun.y

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Virus.VBS.AutoRun.y

Ikarus T3.1.1.34.0 2008.09.14 -

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Virus.VBS.AutoRun.y

McAfee 5383 2008.09.12 VBS/Autorun.worm.k

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 -

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 W32.SillyDC

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 -

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Autorun.Y

Дополнительная информация

File size: 8192 bytes

MD5...: 98bbc62324a9a22de1d7f3957081fd77

SHA1..: 7ff63e748f8cdc25701bf32395203f493ddd0979

SHA256: e7225c3ba862bc9338b1b581fab75cf9c915a80c1b0dc76893c042e5425622c8

SHA512: 877075efe73b156d51f88ff2e4c91a4dbf43e2427a1e2058ac8f07c7bbb2ec87

66ed90e2ad6ba30ad45c7dc26f7c19e7a2520a03e2b82920f93e250aed39dbd4

PEiD..: -

TrID..: File type identification

file seems to be plain text/ASCII (0.0%)

PEInfo: -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Недетект autorun.inf? Какой ужас-то. "Галактеко в опасносте" (с)перто

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Don't.Care.A.Fig

Кое-какие программы-шутки, кое-откуда. На вирустотале пока никем не детектятся. Безвреднейшие вещи, однако всегда найдутся дураки, которые, столкнувшись с такими проявлениями, начнут копаться в настройках симстемы или даже ее переустанавливать и таким образом могут удалить ценные для себя и/или для работы даные и т.д., и т.п., etc.

[вложение удалено модератором]

//Устное предупреждение. П. 11.17 распространяется на все типы вредоносного ПО, включая программы-шутки и фейковое защитное ПО.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И какая связь с темой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.99.2
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и снимает некоторые ограничения.
         Работа с удаленным рабочим столом вышла на новый уровень недостижимый для подавляющего большинства программ удаленного управления.
         Функция оптимизирована для работы в локальной сети, что обеспечивает минимальный, почти неощутимый лаг и высокий максимальный fps.
         Дополнительно это обновление исправляет проблему с анализом ответа от сервиса VT.

       o Для Windows 8 и старше для получения копии экрана теперь используется Desktop Duplication API + DX11,
         который уменьшает загрузку процессора в удаленной системе и изменяет FPS в зависимости
         от интенсивности изменения содержимого экрана, что позволяет устанавливать нулевую задержку
         для обновления экрана без существенной загрузки процессора, что в свою очередь обеспечивает
         минимальный инпут лаг. В этом режиме состояние кнопки "CAPBLT" игнорируется.
         Максимальный fps в этом режиме минимум в 2 раза выше, чем в устаревших системах.

       o В клиентской части для отрисовки экрана задействован Direct2D с поддержкой использования ресурсов видеокарты,
         что позволяет отображать удаленный рабочий стол с приличным FPS даже при масштабировании кадра.
         Качество масштабирования экрана при использовании аппаратного ускорения стало заметно выше.
         (!) Минимальные требования Vista SP2/Windows Server 2008 SP2.

       o Добавлена поддержка передачи стандартных курсоров, стандартные курсоры не рендерятся на рабочий стол,
         а устанавливаются в клиентской системе, что позволяет избежать лагов при движении курсора и повышает fps.
         (!) В удаленных системах без физической мыши для поддержки этой функции необходимо активировать отображение курсора мыши.
         (!) Win+U -> Мышь и выбрать "Управлять мышью с помощью клавиатуры".

       o Исправлена и оптимизирована функция сжатия фреймов при работе с удаленным рабочим столом, из-за ошибки
         не поддерживались фреймы размером более 2560x1600 пикселей.
         Время сжатия фрейма уменьшено на 40%. (для 32/24 битных режимов)
         Коэффициент сжатия фрейма увеличен на 25%. (для всех режимов)
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные часть uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o В целях уменьшения трафика добавлена поддержка понижения цветности для 32/24/16bpp  режимов экрана
         (детализация не понижается, а лишь удаляется избыточная информация о цвете).
         Вы можете выбрать в списке 24bpp (24 бита на цвет), 15bpp (15 бит) и 7bpp (7 бит).
         7bpp это черно-белый режим со 128 градациями серого. Яркость в это режиме представлена средним арифметическим
         цветовых компонент, этот вариант смотрится лучше и требует меньше ресурсов процессора, чем "правильное" обесцвечивание.
         Каждый шаг понижения цветности экономит до 70% трафика относительно предыдущего режима, однако 24bpp
         позволяет достичь максимального fps (только при достаточной ширине канала), за счет минимального времени сжатия картинки.

       o Повышена точность трансляции координат курсора.

       o Добавлена дополнительная кнопка "1:1", при нажатии на нее устанавливается размер отображаемого рабочего стола 1:1
         (при физической возможности), а при нажатии на нее правой кнопкой мыши высота окна остается неизменной,
         а ширина окна подстраивается под соотношение сторон удаленного рабочего стола.

       o Изменена функция кнопки "[ ]", при при первом нажатии на нее высота удаленного рабочего стола становится максимальной
         с учетом высоты таскбара, при повторном нажатии размер удаленного рабочего стола масштабируется до максимума в соответствии
         с текущим разрешением клиентского монитора и учетом соотношения сторон исходного изображения вплоть до перехода в полноэкранный режим,
         заголовок окна и управляющие кнопки автоматически скрываются и проявляются если подвести курсор мыши к верхней границе дисплея,
         эффект от третьего нажатия на эту кнопку соответствует эффекту от первого нажатия.
         Горячая клавиша RWIN доступна и в полноэкранном режиме, при ее нажатии в клиентской системе полноэкранный режим будет отменен и будет
         активировано ближайшее окно другого приложения (эмуляция Alt+Tab), при повторном ее нажатии или переключении в окно удаленного рабочего стола
         полноэкранный режим будет восстановлен.

       o Передача удаленного рабочего стола и нажатий кнопок теперь производится через сокет открываемый на время
         передачи по случайному порту, что позволило дополнительно повысить FPS и отзывчивость удаленного интерфейса.
         Серверная часть uVS на удаленном компьютере автоматически добавляет себя в исключения брандмауэра Windows при запуске
         и удаляет себя из исключений при завершении. При использовании стороннего фаервола необходимо добавить uVS в исключения
         самостоятельно на удаленной машине, в этом случае необходимо прописать bFixedName=1 в settings.ini, что бы имя исполняемого файла
         было постоянным.
         В качестве имени удаленного компьютера допустимо использовать:
          o IPv4 (подключение по TCP-IPv4, максимальная скорость запуска серверной части)
          o Имя компьютера (автоматический выбор версии IP, скорость передачи картинки выше в случае TCP-IPv6 в пределах 4%)
          o Доменное имя   (автоматический выбор версии IP)
         (!) Приоритетным протоколом является IPv6, т.е. если у удаленной системы есть IPv4 и IPv6 адрес, то подключение будет по IPv6.
         (!) Если вы используете Ф или сторонний фаервол то в клиентской и удаленной системе необходимо разрешить исходящие запросы
         (!) по протоколу ICMPv6 для SYSTEM.
         (!) Подключение по IPv6 доступно начиная с WinXP.
         (!) Для работы с удаленной системой без отображения рабочего стола внесение изменений в настройки фаервола не требуется.

       o Новый параметр в settings.ini
         [Settings]
         ; Использовать IPv6 при подключении к удаленному рабочему столу.
           bIPv6 (по умолчанию 1)

       o В окне удаленного рабочего увеличено количество поддерживаемых мониторов с 6 до 10 (кнопки 1-10).

       o Окно удаленного рабочего стола теперь не приходится перезапускать при смене разрешения, положения или смены состояния
         текущего монитора в удаленной системе.

       o При работе с удаленным рабочим столом добавлена поддержка нажатия Ctrl+Alt+Del (кнопка CAD) для Windows Vista и старше.
         Для реализации этой функции добавлен новый модуль: usas.
         (!) На время его выполнения модифицируется групповая политика для разрешения использования SAS.
         (!) Чтобы эта функция работала в Windows Server 2008 и Windows Vista,
         (!) необходимо скопировать библиотеку(и) sas.dll из Windows 7:
         (!) C:\Windows\System32\sas.dll и C:\Windows\SysWOW64\sas.dll (для Vista x64 нужны обе)
         (!) и поместить их в C:\Windows\System32 и C:\Windows\SysWOW64 соответственно.
         (!) Эти библиотеки из Windows 7 были добавлены в STORE (каталоги NT60 и NT60x64).

       o Улучшена функция получения доступа к защищенным от чтения файлам на NTFS разделах.
         Теперь файлы, которые полностью защищены от открытия на уровне ядра, т.е. те что ранее не читались uVS,
         можно проверять по хэшу, копировать в Zoo и проверять их ЭЦП (в том числе и драйвер Ф).
         Добавлена поддержка чтения мелких защищенных файлов и файловых потоков полностью помещающихся в записи MFT.
         (новая функция прямого доступа к диску портирована из badNTFS Pro v2.21)

       o Обновлено окно лога для более быстрого добавления в него строк из нескольких потоков одновременно.
         Отображение строки лога ограничено 512 символами, однако при копировании строки или всего лога в буфер обмена копируется
         строка исходной длины, теперь лимита на длину строки нет.

       o Снят лимит на длину строк в окне информации о файле.

       o Снят лимит на путь и длину командной строки в окне истории процессов и задач.

       o Максимальный размер cmd/vbs и т.д. текстовых файлов, хранящихся в описании файла в поле #FILE#, увеличен до 128kb.
         Восстановить файл из образа автозапуска можно поместив значение данного поля в буфер обмена и далее
         сохранив его в любом текстовом редакторе.

       o В лог добавлено состояние брандмауэра. (0 - выключен, 1 - включен).

       o В окно установленных программ добавлена кнопка "Сохранить", которая сохраняет список программ в текстовый файл.

       o Обновлены start и start_x64: улучшена четкость шрифта в новых системах.

       o Обновлена функция разбора ответа от сервиса VT.
         Дополнительно в лог добавлены результаты из раздела sigma_analysis.

       o Окно истории процессов и задач стало немодальным.
         Перейти в это окно теперь можно из окна информации через его контекстное меню при щелчке правой кнопкой мыши по
         строке содержащей pid.
         (!) История процессов доступна лишь при активном отслеживании процессов и задач. (твик #39)

       o Исправлена критическая ошибка в функции обновления окна списка.

       o Исправлена критическая ошибка в функции проверки одного файла по списку критериев.

       o Исправлена критическая ошибка в функции сканирования реестра: длинные значения ключей полностью игнорировались.
         Теперь при обнаружении значения длиной свыше 1024 байт в лог выводится предупреждение с указанием ключа, имени значения
         и содержимого значения. Если в значении будет выделен файл то файл становится подозрительным.
         Эта ошибка присутствовала с v1.0.

       o Исправлена ошибка при открытии окна удаленного рабочего стола, задержка обновления экрана была 50мс
         вне зависимости от текущих настроек до ее изменения вручную.

       o Обновлена функция определения файлов запускавшихся неявно для совместимости с новыми билдами Windows.

       o Исправлена ошибка из-за которой в очень редких случаях мог не отображаться удаленный рабочий стол.

       o Исправлена функция обработки двойного щелчка кнопкой мыши.

       o Исправлена ошибка из-за которой клиент мог долго завершать работу с выдачей ошибок
         при штатном завершении серверной части.

       o Исправлена ошибка [Error: 0x80004002 - Интерфейс не поддерживается] в твике(27) удаления политик Chrome
         при работе с удаленной системой и при выполнении команды "regt 27" из скрипта.

       o Для Windows 11 возвращен оригинальный стиль чекбоксов, начиная с некоторого обновления их наконец-то исправили.

       
    • PR55.RP55
      Как бы это выявлять и исправлять в uVS ? https://forum.kasperskyclub.ru/topic/464495-pojmal-virusa-pereimenovalis-sluzhby/
    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.5.74. Добавлена поддержка macOS Sequoia (версия 15).
    • PR55.RP55
      Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini ) Для чего? Например в списке есть: oikgcnjambfooaigmdljblbaeelmeke odbmjgikedenicicookngdckhkjbebpd Но объект  может отображаться внятно: oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.8.
×