Koldun One Опубликовано 20 января, 2007 Опубликовано 20 января, 2007 В общем недавно принёс его домой на флэшке,за день он появился на всех жёстких дисках,через пару часов с помощью Касперского я его удалил,но после перезагрузки он снова появился и теперь,когда я хочу зайти на жёсткий диск,то компьютер выдаёт ошибку "Не удаётся найти файл сценария C:\autorun.vbs" кто-нибудь сталкивался с этим вирусом?как с ним бороться?
CbIP Опубликовано 20 января, 2007 Опубликовано 20 января, 2007 Вот как удалить: Terminating the Malware Program This procedure terminates the running malware process. Open Windows Task Manager. • On Windows 95, 98, and ME, press CTRL+ALT+DELETE • On Windows NT, 2000, and XP, press CTRL+SHIFT+ESC, then click the Processes tab. In the list of running programs*, locate the process: WSCRIPT.EXE Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system. To check if the malware process has been terminated, close Task Manager, and then open it again. Close Task Manager. *NOTE: On systems running Windows 95, 98, and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions. If you were not able to terminate the malware process as described in the previous procedure, restart your system. Editing the Registry This malware modifies the system's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft: Removing Autostart Entries from the Registry Removing autostart entries from the registry prevents the malware from executing at startup. If the registry entries below are not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter. In the left panel, double-click the following: HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run In the right panel, locate and delete the entry: WinUpdate2004 = "%Windows%\fr33.vbs" (Note: %Windows% is the default Windows folder, usually C:\Windows or C:\WINNT.) Close Registry Editor. Deleting Malware File Right-click Start then click Search… or Find…, depending on the version of Windows you are running. In the Named input box, type: FR33.TMP In the Look In drop-down list, select the drive that contains Windows, then press Enter. Once located, select the file then press Delete. Взял с trendmicro.com
JIABP Опубликовано 20 января, 2007 Опубликовано 20 января, 2007 А теперь по русски, может он не знает английского, например как я
FKA Опубликовано 20 января, 2007 Опубликовано 20 января, 2007 У меня было то-же самое. Проблема в том что Каспер удалил не вирус, он удалил зараженные файлы целиком, поэтому-то Вы и не можете зайти на лог. диски. Вот что мне посоветовали в Тех. поддержке: по вирусу virus.vbs.small.a: Открываем раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer и в значении двоичного параметра "NoDriveTypeAutoRun" вместо "95" вписываем "91". После изменения реестра надо перегрузить сеанс Windows. Проверить этот способ я не смог, т.к. к тому моменту уже переустановил Винду, отформатировав диски, но вдруг у Вас получится. Мой сосед, с чьей флешки я подхватил вирус, после его удаления вообще ничего не делал, проблема исчезла сама собой после того как он произвел обновление Виндоус (автоматическое).
i.b. Опубликовано 20 января, 2007 Опубликовано 20 января, 2007 (изменено) нифига не понятно Изменено 20 января, 2007 пользователем igor7b
ZXDemon Опубликовано 6 октября, 2007 Опубликовано 6 октября, 2007 (изменено) Отключите автозапуски с дисков в Windows: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ AutoplayHandlers\CancelAutoplay\Files] "*.*"="" -строковый параметр [HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet\Services\CDRom] "Autorun"="0" -параметр DWORD [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer] "NoDriveTypeAutoRun"="FF" -параметр DWORD И открывайте диски правой кнопкой и "открыть", либо Total Commander'ом или др. подобной программой! В дополнение ссылка ! Изменено 7 октября, 2007 пользователем ZXDemon
starik Опубликовано 7 октября, 2007 Опубликовано 7 октября, 2007 (изменено) Это скрипт ! Всего навсего скрипт написанный на обычном Бэйсике , исходник вируса откройте к прмеру Notepad++ проанализируйте код вируса в какие ветви реестра прописывается что куда внедряет . Если кто может скинте исходный код вредоноса , напишем лечилку .... Изменено 7 октября, 2007 пользователем starik
Олег777 Опубликовано 7 октября, 2007 Опубликовано 7 октября, 2007 На самом деле, всё гораздо проще! Включите показ скрытых файлов и удалите из корневого каталога на всех дисках все файлы с именем аutоrun.inf а так же и другие файлы аutoran.* Всё будет работать! Успехов!
ZXDemon Опубликовано 7 октября, 2007 Опубликовано 7 октября, 2007 (изменено) Помимо Autorun.vbs, там ещё Autorun.bat, Autorun.inf, Autorun.exe и много других Autorun.* ! Они все пытаются, взависимости от того где они находятся, откуда запускаются, кто из них запускается, размножить друг друга на все имеющиеся диски (в корень), в том числе и съёмные, прописываюся в реестр для автозапуска на жёстких дисках, ещё копируются в %SysemRoot% (system32 или system), далее приписываются в автозапуск в реестре после "userinit.exe, " и запускаются вместе с "wscript.exe", и так каждый раз по кругу, когда тупо кликаете на диск где они прописались или стартует автозапуск с диска! Лечение - отключить все виды автозапусков, удалить все эти Autorun.*, подчистить от них реестр и открывать диски как указано моим постом ранее! Сам вирус помимо размножения, ещё ставит всем файлам аттрибут скрытых и в свойствах папок Windows переодически ставит галочку не показывать скрытые файлы ! Более он вроде ничего не делает, хотя EXE-шник может быть и пытается что-то загрузить более вредоносное с интренета или открывает какую дыру - в нём не ковырялся! Изменено 7 октября, 2007 пользователем ZXDemon
starik Опубликовано 7 октября, 2007 Опубликовано 7 октября, 2007 Если получить исходник , можно из этого же вируса нипась антивирус . Вернуть всё на свои места
ZXDemon Опубликовано 27 апреля, 2011 Опубликовано 27 апреля, 2011 (изменено) Обновил софт для удаления этих гадостей-пакостей: ARSKill и AutoKFD Строгое предупреждение от модератора thyrex Устное предупреждение за подъем древней темы Изменено 28 апреля, 2011 пользователем thyrex
Рекомендуемые сообщения