Перейти к содержанию
Lemmit

Радикальное решение проблем автозапуска

Recommended Posts

Lemmit

В последнее время у знакомых то и дело на флэшках и компьютерах появляются вирусы (в ассортименте), использующие autorun.inf.

Доблестные вендоры не дремлют, но по понятным причинам 100% результат по борьбе антивирусов с этим злом так и не достигнут.

Предлагают варианты радикальной борьбы: запрещать автозапуск съемных носителей через групповую политику - консоль групповой политики: "gpedit.msc", "Административные шаблоны - Система (System) - Отключить автозапуск(Turn off autoplay)". Предлагаются и другие варианты с "ковырянием" в реестре.

Опять же, от двойного клика по съемному диску не спасает.

AVZ предупреждает о включенном автозапуске, но как его отключить умалчивает.

Хотелось бы узнать рекомендации видных профи по данному вопросу, кроме, само собой, использования антивируса. (переход на никсы не предлагать :) )

P.s.: кому интересно, могут проверить на ВирусТотале autorun.inf следующего содержания:

[AutoRun]

open=notepad.exe

shell\open\Command=notepad.exe

shell\open\Default=1

shell\explore\Command=notepad.exe

Выводы каждый сделает сам.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

Давно сделал это дома и на работе (на уровне политик). Но я выбрал там All Drives и это как раз спасает от двойного клика по съемному диску.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Я тож дома отключил)) думаю антивирусные вендоры должны делать на антивирусах так чтобы привключении нового сёмного носителя блокировать и проверить на вирь потом разблокировать автозагрузку))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax

к сожалению, у меня без автозапуска биометрика на флешке не работает. а так - способ с шаблонами вполне действенный. только формулировка несколько другая, "включить(!!) отключение автозапуска".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vidocq89

что бы все не пересказывать - лучше дам две ссылки - там достаточно интересные обсуждения идут из которых можно почерпнуть много интересного по данной теме:

скрипт для АВЗ

разбор данной темы по косточкам

:)

можно выбрать оттуда избранное и обсудить тут)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Lemmit

Чтож не приложили манипуляции с реестром для Хомяков? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Спасибо за полезные ответы, особенно vidocq89!

Lemmit

Чтож не приложили манипуляции с реестром для Хомяков? ;)

Потому что, те манипуляции, о которых читал на форумах, были малоэффективны.

Предложен еще один оригинальный способ, который, говорят, неплохо работает:

создать в корневом каталоге съемного или жесткого диска папку с названием "AUTORUN.INF".

В результате существующие вирусы не могут создать там же файл с тем же названием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo
AVZ предупреждает о включенном автозапуске, но как его отключить умалчивает.

Неправда! :)

В АВЗ Файл - Мастер поиска и устранения проблем

Выведет примерно следующее:

Мастер поиска и устранения проблем>>  Разрешен автозапуск с HDD>>  Разрешен автозапуск с сетевых дисков>>  Разрешен автозапуск со сменных носителей

Ставим галочки, "исправить отмеченные проблемы"

И все...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Спасибо rubin-VInfo за ценное уточнение! Я ж не гуру, я только учусь :)

IMHO, такая важная функция не должна быть так запрятана. После сканирования выводятся проблемы, но не пути их решения а в меню-то не каждый полезет. И help изучать, как всегда некогда ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Я сделал себе и импортировал в реестр такой файл, и калькулятор через inf перестал запускаться:

REGEDIT4[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=dword:000000FF"NoDriveAutoRun"=dword:03FFFFFF[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=dword:000000FF"NoDriveAutoRun"=dword:03FFFFFF[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergo

изменение в реестре ключей запрещает только автоплай, но не запрещает авторан, т.е. по даблклику на сьемном носителе будет запускаться авторан.inf

помогает отключение службы Shell Hardware Detect

вот

PS. касается этих ключей

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000FF

"NoDriveAutoRun"=dword:03FFFFFF

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000FF

"NoDriveAutoRun"=dword:03FFFFFF

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
помогает отключение службы Shell Hardware Detect

Но мой же скрипт работает и без отключения службы.

Даже если оствить только "@SYS:DoesNotExist", то авторан автоматически не сработает.

Сейчас проверил. Возникает только окно с выбором действия. Калькулятор автоматом не запускается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
perek

dr dizel какая у тебя операционка?

у меня отключение службы Shell Hardware Detect на обработку inf файла никак не влияет ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr dizel какая у тебя операционка?

у меня отключение службы Shell Hardware Detect на обработку inf файла никак не влияет ...

У меня Win XP (5.1.2600) SP2 c последними патчами.

Мои настройки для реестра помогают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
perek

Просто меня смутил редактор реестра 4 версии (REGEDIT 4) . . .

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist" - не помогает

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"="" - не помогает

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] - работает, но пока незнаю как, НА ЧТО ЕЩЕ МОЖЕТ ПОВЛИЯТЬ???

остальные, как я понимаю, отключают только автозапуск .... ???

p.s. зачем изменять параметр в hkcu, если те же изменения в hklm ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Просто меня смутил редактор реестра 4 версии (REGEDIT 4) . . .

Это для портабельности. Формат 5-й версии с юникодом тут ни к чему.

Кстати! После импорта настроек нужно перегружаться.

За подробностями - на msdn.

p.s. зачем изменять параметр в hkcu, если те же изменения в hklm ?

Да шоб было. Выйдет ещё какой-нибудь патчик от мелкомягких и опа...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
Разрешен автозапуск с HDD

что это дает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Фенечку это дает. Можено присвоить иконки интересные. Я увлекался этим, когда ПК только появился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

А утилиты VirusHunter'а не пробовали? Помогают.

http://daxa.com.ua/rar/VirusHunter_utilities.rar

http://daxa.com.ua/rar/STSS.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Коллеги, некоторые сообщения, содержащие самплы вредоносных программ были перенесены в закрытый раздел. Самплы интересные, спасибо тем, кто их выложил, но лучше делать это в закрытом разделе. Иначе у нашего форума могут возникнуть реальные проблемы. Прошу с пониманием к этому отнестись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Для тех, кто впервые столкнулся с проблемой AutoRun-вирусов и пришёл на форум по этому поводу!

Кроме вышеуказанных мною средств, есть ещё одно.

В новой версии утилиты klwk от ЛК есть неплохое лекарство от этой флешечной и AutoRun-болезни. :)

Запишите на CD-диск и лечите. :)

Описание см. тут.

Всё предельно ясно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Don't.Care.A.Fig

Файл autorun_1_.inf получен 2008.09.14 09:22:38 (CET)

Результат: 13/36 (36.12%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 -

AntiVir 7.8.1.28 2008.09.12 VBS/Autorun.BA

Authentium 5.1.0.4 2008.09.13 IS/Autorun

Avast 4.8.1195.0 2008.09.13 VBS:Malware-gen

AVG 8.0.0.161 2008.09.13 -

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6087 2008.09.12 INF/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 IS/Autorun

F-Secure 8.0.14332.0 2008.09.14 -

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 VBS:Malware-gen

Ikarus T3.1.1.34.0 2008.09.14 VBS.Autorun.BA

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 -

McAfee 5383 2008.09.12 Generic!atr

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/AutoRun.Y

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 Sus/AutoInf-A

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 -

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 -

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Autorun.BA

Дополнительная информация

File size: 105 bytes

MD5...: 2c92967989d3c858aa65faee9c21b3ce

SHA1..: ebaf7ddd02022674f810d091e64ae8c939c8aeae

SHA256: 8c29d76b2125a949cb3e7c81af7a74d90fdccf9a233202a32f33834f74e8a1ff

SHA512: 5fc824351a22387398f3bd57bb7e2ea913ba2956e314f264f6298ecca6b3f8d0

06d0e26d3620b1ca3a5c696fdd4c1c6186abaf102f285ae3fc1c65dcf89b9f1a

PEiD..: -

TrID..: File type identification

Generic INI configuration (100.0%)

PEInfo: -

Файл io_1_.bat получен 2008.09.14 09:25:14 (CET)

Результат: 17/36 (47.23%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 BAT/Agent

AntiVir 7.8.1.28 2008.09.12 BAT/Runner.A

Authentium 5.1.0.4 2008.09.13 BAT/Agent.D

Avast 4.8.1195.0 2008.09.13 BV:Malware-gen

AVG 8.0.0.161 2008.09.13 -

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 Trojan.BAT.Agent-7

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6087 2008.09.12 BAT/DosLoop.A

Ewido 4.0 2008.09.13 Trojan.Agent.w

F-Prot 4.4.4.56 2008.09.14 BAT/Agent.D

F-Secure 8.0.14332.0 2008.09.14 Trojan.VBS.Agent.w

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Trojan.VBS.Agent.w

Ikarus T3.1.1.34.0 2008.09.14 Trojan.VBS.Agent.w

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Trojan.VBS.Agent.w

McAfee 5383 2008.09.12 -

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/Agent.W

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 -

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 VBS_AGENT.FLQ

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Runner.A

Дополнительная информация

File size: 658 bytes

MD5...: bc9d8b5f2e8b351a74bd554d4d733a26

SHA1..: 912cff5610d1915fe406f11aca0e2577a8627b2a

SHA256: 1d74620980082da86150c802544a9dc602e54a62ab510c9c9700a8c93ace545c

SHA512: 5246b95104909ff520eee28324187735eccf962e8c16eea86c61a400f753437a

f905d86b1558aa4181ab3b461864f016827f73031e86aaa223d218f96025d8c9

PEiD..: -

TrID..: File type identification

file seems to be plain text/ASCII (0.0%)

PEInfo: -

Файл run_1_.bat получен 2008.09.14 09:27:46 (CET)

Результат: 19/36 (52.78%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 BAT/Sled

AntiVir 7.8.1.28 2008.09.12 VBS/Autorun.y2

Authentium 5.1.0.4 2008.09.13 BAT/Autorun.D

Avast 4.8.1195.0 2008.09.13 BV:Malware-gen

AVG 8.0.0.161 2008.09.13 Worm/Autoit.ACP

BitDefender 7.2 2008.09.14 Trojan.Autorun.QP

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6086 2008.09.12 BAT/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 BAT/Autorun.D

F-Secure 8.0.14332.0 2008.09.14 Virus.VBS.AutoRun.y

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Virus.VBS.AutoRun.y

Ikarus T3.1.1.34.0 2008.09.14 Virus.VBS.AutoRun.y

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Virus.VBS.AutoRun.y

McAfee 5383 2008.09.12 VBS/Autorun.worm.k!bat

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/AutoRun.Y

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 Trojan Horse

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 VBS_AUTORUN.ADA

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Autorun.y2

Дополнительная информация

File size: 913 bytes

MD5...: d7b7fee406cba841a88fa7900e27b0cb

SHA1..: a8b2edcf455fbc55ecae0904b8fd7b87bbdf692f

SHA256: 8ab6c9719a149da6c8e7bc23886e2fa4197d53a799d6f58a1b175092f764ae32

SHA512: 55b00e1af4944c5cc5c3cd5994ff81d190e5503700ce546667447569cd14090b

f603e6740cdcdca0e755eb96d69b9b3948dcddafae3f7d7d345a3c29c2a86054

PEiD..: -

TrID..: File type identification

file seems to be plain text/ASCII (0.0%)

PEInfo: -

Файл run.reg получен 2008.09.14 09:19:21 (CET)

Результат: 13/36 (36.12%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 -

AntiVir 7.8.1.28 2008.09.12 -

Authentium 5.1.0.4 2008.09.13 REG/Autorun.D

Avast 4.8.1195.0 2008.09.13 VBS:Malware-gen

AVG 8.0.0.161 2008.09.13 Worm/Autoit.ACQ

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6087 2008.09.12 REG/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 REG/Autorun.D

F-Secure 8.0.14332.0 2008.09.14 Virus.VBS.AutoRun.y

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Virus.VBS.AutoRun.y

Ikarus T3.1.1.34.0 2008.09.14 Virus.VBS.AutoRun.y

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Virus.VBS.AutoRun.y

McAfee 5383 2008.09.12 VBS/Autorun.worm.k!reg

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 VBS/AutoRun.Y

Norman 5.80.02 2008.09.12 REG/Small.A

Panda 9.0.0.4 2008.09.13 -

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 -

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 -

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 -

Дополнительная информация

File size: 542 bytes

MD5...: 69c157e2422606c8847c2ef8cdb55093

SHA1..: 238bc80066b6feb830bbab83727c2abdc6bf2b6c

SHA256: 1d3807978398be53fcc0b393fea8f080f4781a19c7bb441dcb6ffa4bc2808b13

SHA512: 5b4fd7b051efa57d6b4c30cb3058969ed13ba6ac8c66fd835a8a2790d18f98af

6142e4bfa1af49f6ebeb674fef914244b6937f268d0fcadf4f9133a3f4f5ca5e

PEiD..: -

TrID..: File type identification

Windows Registry Data (Ver. 5.0 - UTF16) (96.8%)

Text - UTF-16 (LE) encoded (2.0%)

MP3 audio (1.0%)

Lumena CEL bitmap (0.0%)

Corel Photo Paint (0.0%)

PEInfo: -

packers (Authentium): Unicode

packers (F-Prot): Unicode

Файл run_1_.vbs получен 2008.09.14 09:30:35 (CET)

Результат: 13/36 (36.12%)

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.13.0 2008.09.12 -

AntiVir 7.8.1.28 2008.09.12 VBS/Autorun.Y

Authentium 5.1.0.4 2008.09.13 VBS/Autorun.D

Avast 4.8.1195.0 2008.09.13 -

AVG 8.0.0.161 2008.09.13 Worm/Autoit.ACR

BitDefender 7.2 2008.09.14 -

CAT-QuickHeal 9.50 2008.09.13 -

ClamAV 0.93.1 2008.09.14 -

DrWeb 4.44.0.09170 2008.09.14 Worm.Sled

eSafe 7.0.17.0 2008.09.11 -

eTrust-Vet 31.6.6086 2008.09.12 VBS/Aurun.B

Ewido 4.0 2008.09.13 -

F-Prot 4.4.4.56 2008.09.14 VBS/Autorun.D

F-Secure 8.0.14332.0 2008.09.14 Virus.VBS.AutoRun.y

Fortinet 3.113.0.0 2008.09.14 -

GData 19 2008.09.14 Virus.VBS.AutoRun.y

Ikarus T3.1.1.34.0 2008.09.14 -

K7AntiVirus 7.10.454 2008.09.13 -

Kaspersky 7.0.0.125 2008.09.14 Virus.VBS.AutoRun.y

McAfee 5383 2008.09.12 VBS/Autorun.worm.k

Microsoft 1.3903 2008.09.14 -

NOD32v2 3440 2008.09.13 -

Norman 5.80.02 2008.09.12 -

Panda 9.0.0.4 2008.09.13 W32/Autorun.IJ.worm

PCTools 4.4.2.0 2008.09.13 -

Prevx1 V2 2008.09.14 -

Rising 20.61.42.00 2008.09.12 -

Sophos 4.33.0 2008.09.14 -

Sunbelt 3.1.1633.1 2008.09.13 -

Symantec 10 2008.09.14 W32.SillyDC

TheHacker 6.3.0.9.082 2008.09.14 -

TrendMicro 8.700.0.1004 2008.09.12 -

VBA32 3.12.8.5 2008.09.13 -

ViRobot 2008.9.12.1375 2008.09.12 -

VirusBuster 4.5.11.0 2008.09.14 -

Webwasher-Gateway 6.6.2 2008.09.13 Script.Autorun.Y

Дополнительная информация

File size: 8192 bytes

MD5...: 98bbc62324a9a22de1d7f3957081fd77

SHA1..: 7ff63e748f8cdc25701bf32395203f493ddd0979

SHA256: e7225c3ba862bc9338b1b581fab75cf9c915a80c1b0dc76893c042e5425622c8

SHA512: 877075efe73b156d51f88ff2e4c91a4dbf43e2427a1e2058ac8f07c7bbb2ec87

66ed90e2ad6ba30ad45c7dc26f7c19e7a2520a03e2b82920f93e250aed39dbd4

PEiD..: -

TrID..: File type identification

file seems to be plain text/ASCII (0.0%)

PEInfo: -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Недетект autorun.inf? Какой ужас-то. "Галактеко в опасносте" (с)перто

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Don't.Care.A.Fig

Кое-какие программы-шутки, кое-откуда. На вирустотале пока никем не детектятся. Безвреднейшие вещи, однако всегда найдутся дураки, которые, столкнувшись с такими проявлениями, начнут копаться в настройках симстемы или даже ее переустанавливать и таким образом могут удалить ценные для себя и/или для работы даные и т.д., и т.п., etc.

[вложение удалено модератором]

//Устное предупреждение. П. 11.17 распространяется на все типы вредоносного ПО, включая программы-шутки и фейковое защитное ПО.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И какая связь с темой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×