вирус Virus.VBS.Small.a

[Koldun One]

В общем недавно принёс его домой на флэшке,за день он появился на всех жёстких дисках,через пару часов с помощью Касперского я его удалил,но после перезагрузки он снова появился и теперь,когда я хочу зайти на жёсткий диск,то компьютер выдаёт ошибку "Не удаётся найти файл сценария C:\autorun.vbs"

кто-нибудь сталкивался с этим вирусом?как с ним бороться?

[CbIP]

Вот как удалить:

Terminating the Malware Program

 

This procedure terminates the running malware process.

Open Windows Task Manager.

• On Windows 95, 98, and ME, press

CTRL+ALT+DELETE

• On Windows NT, 2000, and XP, press

CTRL+SHIFT+ESC, then click the Processes tab.

In the list of running programs*, locate the process:

WSCRIPT.EXE

Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.

To check if the malware process has been terminated, close Task Manager, and then open it again.

Close Task Manager.

*NOTE: On systems running Windows 95, 98, and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions. If you were not able to terminate the malware process as described in the previous procedure, restart your system.

 

Editing the Registry

 

This malware modifies the system's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:

 

Removing Autostart Entries from the Registry

 

Removing autostart entries from the registry prevents the malware from executing at startup.

 

If the registry entries below are not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.

Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.

In the left panel, double-click the following:

HKEY_CURRENT_USER>Software>Microsoft>

Windows>CurrentVersion>Run

In the right panel, locate and delete the entry:

WinUpdate2004 = "%Windows%\fr33.vbs"

 

(Note: %Windows% is the default Windows folder, usually C:\Windows or C:\WINNT.)

Close Registry Editor.

 

Deleting Malware File

Right-click Start then click Search… or Find…, depending on the version of Windows you are running.

In the Named input box, type:

FR33.TMP

In the Look In drop-down list, select the drive that contains Windows, then press Enter.

Once located, select the file then press Delete.

 

Взял с trendmicro.com

[JIABP]

А теперь по русски, может он не знает английского, например как я

[FKA]

У меня было то-же самое. Проблема в том что Каспер удалил не вирус, он удалил зараженные файлы целиком, поэтому-то Вы и не можете зайти на лог. диски. Вот что мне посоветовали в Тех. поддержке:

 

по вирусу virus.vbs.small.a:

 

Открываем раздел реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

и в значении двоичного параметра "NoDriveTypeAutoRun" вместо "95" вписываем "91".

После изменения реестра надо перегрузить сеанс Windows.

 

Проверить этот способ я не смог, т.к. к тому моменту уже переустановил Винду, отформатировав диски, но вдруг у Вас получится.

Мой сосед, с чьей флешки я подхватил вирус, после его удаления вообще ничего не делал, проблема исчезла сама собой после того как он произвел обновление Виндоус (автоматическое).

[i.b.]

нифига не понятно

Изменено 20 января, 2007 пользователем igor7b

[ZXDemon]

Отключите автозапуски с дисков в Windows:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ AutoplayHandlers\CancelAutoplay\Files]

"*.*"="" -строковый параметр

 

[HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet\Services\CDRom]

"Autorun"="0" -параметр DWORD

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]

"NoDriveTypeAutoRun"="FF" -параметр DWORD

 

И открывайте диски правой кнопкой и "открыть", либо Total Commander'ом или др. подобной программой!

 

В дополнение ссылка !

Изменено 7 октября, 2007 пользователем ZXDemon

[starik]

Это скрипт ! Всего навсего скрипт написанный на обычном Бэйсике , исходник вируса откройте к прмеру Notepad++ проанализируйте код вируса в какие ветви реестра прописывается что куда внедряет . Если кто может скинте исходный код вредоноса , напишем лечилку ....

Изменено 7 октября, 2007 пользователем starik

[Олег777]

На самом деле, всё гораздо проще! Включите показ скрытых файлов и удалите из корневого каталога на всех дисках все файлы с именем аutоrun.inf а так же и другие файлы аutoran.* Всё будет работать! Успехов!

[ZXDemon]

Помимо Autorun.vbs, там ещё Autorun.bat, Autorun.inf, Autorun.exe и много других Autorun.* !

Они все пытаются, взависимости от того где они находятся, откуда запускаются, кто из них запускается, размножить друг друга на все имеющиеся диски (в корень), в том числе и съёмные, прописываюся в реестр для автозапуска на жёстких дисках, ещё копируются в %SysemRoot% (system32 или system), далее приписываются в автозапуск в реестре после "userinit.exe, " и запускаются вместе с "wscript.exe", и так каждый раз по кругу, когда тупо кликаете на диск где они прописались или стартует автозапуск с диска!

 

Лечение - отключить все виды автозапусков, удалить все эти Autorun.*, подчистить от них реестр и открывать диски как указано моим постом ранее!

 

Сам вирус помимо размножения, ещё ставит всем файлам аттрибут скрытых и в свойствах папок Windows переодически ставит галочку не показывать скрытые файлы ! Более он вроде ничего не делает, хотя EXE-шник может быть и пытается что-то загрузить более вредоносное с интренета или открывает какую дыру - в нём не ковырялся!

Изменено 7 октября, 2007 пользователем ZXDemon

[starik]

Если получить исходник , можно из этого же вируса нипась антивирус . Вернуть всё на свои места

[ZXDemon]

Обновил софт для удаления этих гадостей-пакостей: ARSKill и AutoKFD

 

Строгое предупреждение от модератора thyrex

Устное предупреждение за подъем древней темы

Изменено 28 апреля, 2011 пользователем thyrex