Virusii de boot Autoran
Primele semne de infecție cu acest virus este foarte specific, nu aveți posibilitatea să configurați Windows Explorer pentru a afișa fișierele de sistem ascunse. Virusul dezactivează această opțiune în registru pentru ascunderea acestuia. Deoarece fișierele de viruși au atributele ascunse, fișierul de sistem, sistemul Explorer pur și simplu nu vede. Total Commander - în același timp, vede foarte bine.
FANTOM funcționează bine. Atunci când introdus într-un calculator infectat cu unitatea flash Fantom, sistemul autorun Autoran.inf citește fișierul și execută prescris acesta virusului. Apoi, virusul se scrie la punerea în funcțiune a sistemului, stabilește biblioteca DLL, care este lipit de toate procesele, precum și registre la rădăcina tuturor conduce fișier Autoran.inf și un fișier cu extensia .COM .exe. Numele variruetsya, dar pe același computer, toate unitățile vor fi la fel.
Simptomele de infecție:
Nu puteți activa opțiunea conductor windose „fișierele spectacol de sistem ascuns“
La rădăcina tuturor hard disk-uri de pe computer va fi prezent fișier Autoran.inf și un fișier cu extensia .exe .COM nume de extensie de fișier și variază de la computer la computer.
Introduceți computerul infectat este cu siguranță un stick curat. Apoi, deschide în Total Commander. Vei vedea ca pe o unitate flash a apărut fișiere Autoran.inf și fișier cu extensia .COM .exe. Când încercați să ștergeți aceste fișiere de pe o unitate flash sau hard disk-uri, acestea vor apărea în câteva secunde din nou.
tratament:
Din păcate, în cazul în care infectate, programe antivirus nu ajuta. Toți vor trebui să facă mânere. Care este instrumentul principal - Total Commander, sau manager Far, deoarece conductorul nu va Vind vedea nimic.
Amintiți-vă data de creare a fișierelor Autoran.inf care sunt deja prezente în rădăcină. Îmi amintesc uitam-l în Total Commander. Și ne-am stabilit arată fișierele după data creării.
Verificați următoarea cheie de registry responsabil pentru AutoRun:
Si uita-te la toate fișierele care sunt încărcate din directorul System32 directorul de sistem, ceilalți nu ne interesează.
ei arata astfel:
C: # 92; WINDOWS # 92; system32 # 92; .COM sau filename.exe
Sau pur și simplu „numefișier.exe sau .COM“ pentru a rula de la System32 cale completă nu este necesară.
Apoi, vom găsi în System32 aceste fișiere și comparați data creării fișierului Autoran.inf în rădăcina hard disk și fișierele din registru. Acestea trebuie să fie create într-o singură zi (dacă nu ați încercat să eliminați Autoran.inf ei înșiși). In apropiere ar trebui să existe o bibliotecă .DLL creată în aceeași zi și oră, și suspectul nostru. Dacă totul se potrivește, acest lucru este o fantomă, dar scoateți-l până la doar.
Pentru a face acest lucru, în primul rând, îl eliminăm din cheia de registru și reporniți computerul. Când reporniți, este important să apăsați F8 și selectați Safe Mode.
Boot în Safe Mode, executați Total Commander și System32 ucide înainte de a fișierelor. Phantom el însuși și biblioteca lui .DLL
Apoi, ucide rădăcina toate unitățile Autoran.inf găsite fișiere și legate de acesta module de aplicații (instalatori fantomă). Ele sunt aceleași pentru toate unitățile. Reboot, sistemul este curat. PHANTOM mult colmatarea în sistem, astfel încât după îndepărtarea acestuia, multe bug-uri pot sta.
Phantom se extinde, datorită gaura imens în sistemul de securitate, care este în bună credință Microsoft a făcut pentru noi. Aceasta gaura se numește - AutoPlay. Când ai pus într-un disc CD-ROM sau o unitate flash USB în portul USB, sistemul caută prima pentru un fișier acceptat Autoran.inf și, dacă este găsit, începe să se înregistreze în program, fără a cere nimic de la PC-ul utilizatorului. Și, în mod implicit, această opțiune este deja inclusă favoare! Acestea și se bucură de mulți viruși de boot.
Primul pas este de a reduce în jos autorun:
Start-Run-gpedit.msc
Dreptul de a alege fereastra:
Dezactivați AutoPlay
În fereastra care se deschide, selectați ON!
Atenție, inclusiv nu înseamnă că am inclus autostart, înseamnă că ați activat opțiunea de setare automată de control. Mulți sunt confuzi și ei aleg, lăsând astfel toate setările de sistem în care acestea sunt.
Alegeți o valoare - „Turn off Autoplay pe toate drive-urile“ - se aplică. Repornirea calculatorului.
Autoplay este oprit. DAR! Când deschideți unitatea de disc flash sau nu a fost deschisă, făcând clic pe pictograma de mass-media în Windows Explorer! Fortei de Munca Autorun. Evidențiați media dorită, faceți clic dreapta și selectați Deschidere. Nu Muck nu începe. Mult noroc.
Îmi pare rău, nu am versiunea rusificată. Cred că sensul acestei setări va găsi orice.
---
Dezinstalați virus complicat:
Există unele virusuri de autorun care se execută în numele sistemului. În acest caz, acestea vor fi executate cu privilegii de sistem, și că cel mai neplăcut, chiar și în modul de siguranță.
Am întâlnit mai multe virusuri, care sunt utilizate pentru pornirea Winlogon din următoarea cheie de registry
Cheia corectă trebuie să se refere la un fișier
C: # 92; WINDOWS # 92; system32 # 92; userinit.exe
Dar virusul este de obicei înlocuiește cheia, de exemplu, așa
C: # 92; WINDOWS # 92; userinit32.exe
În cazul în care userinit32.exe - un virus care a început mai întâi, și apoi începe userinit.exe reală.
Firește userinit32.exe probabil controlează ramura de registru, și nu se va schimba.
Ucide userinit32.exe în Task Manager este, de asemenea, nu reușesc. Virusul creează o clonă proces care verifică dacă userinit32.exe lansat, iar controalele userinit32.exe clona în memorie. Din păcate, managerul de sarcină nu este capabil de a ucide cele două procese simultan. Și ucide-i este imposibil în mod individual. Deoarece imediat lansa copia acestuia rămasă. Acesta este cercul vicios.
Winlogon pe ramura click dreapta - permisiune. Ieși afară, toate casetele de selectare cu excepția punctelor - citire SYSTEM - acest sistem nu permitem accesul să schimbe această secțiune, deoarece virusul este un privilegiu proces de sistem.
Apoi, aveți nevoie pentru a crea un utilizator nou pentru sistemul de drepturi în mod necesar limitate.
Start - Control Panel - User Management.
Apoi, trebuie să ieși din contul de administrator.
Start - Sign Out.
Toate. În virusul nu va fi pe drepturile de a schimba cheia! SISTEM Accesul la scriere este interzisă, iar drepturile de administrator în acest uchetki nu au viruși!
Acesta va trebui apoi să reporniți și eliminați fișierul din sistem, care anterior cheie invocate
HKEY_LOCAL_MACHINE # 92; SOFTWARE # 92; Microsoft # 92; Windows NT # 92; CurrentVersion # 92; Winlogon # 92; Userinit
În acest exemplu,
C: # 92; WINDOWS # 92; userinit32.exe
În acest fel mi-virus mai dăunătoare a fost eliminat.
Totul scris aici este valabil pentru Windows XP, Vista sau în WIN 7, pot exista unele diferențe, dar principiul este același.
Toate acestea sunt scrise pentru utilizatorii cu experiență. Dacă nu înțeleg, nu înțeleg diferența dintre administrator și utilizator limitat, nu încerca să schimbe ceva în sistem independent. Dacă ștergeți un fișier de pe o eroare userinit.exe reală sau incorectă a restabili cheia sa, nu vă puteți conecta. Eu nu sunt responsabil pentru acțiunile tale.
1 - Nu pot regla Total Commander pentru a vizualiza fișierele ascunse, pentru că așa cum am înțeles, în mod implicit, Total Commander, de asemenea, nu prezintă sistemul de fișiere ascunse pentru fierbătoare nu nu au urcat.
2 - Restart, m-am dus la modul de siguranță, dar Autorun apare în continuare pe unitatea flash. De ce? În aceste chei de registry, nu ați găsit nimic suspect.
răspundă:
Până când găsiți un virus pe computer și scoateți-l din sistem, o unitate flash USB pentru a curăța inutil. Se va zarazatsya din nou și din nou.
Faptul că fișierul autorun.inf este utilizat de către furnizorii de software normale pentru a lansa cochilii instalatorov de program, ceea ce va face, fără îndoială, viața mai ușoară Maker, este de asemenea de înțeles.
Dar eu nu înțeleg de altă parte! De ce Windows poate trata fișiere ascunse autorun.inf, și pentru că virusul este întotdeauna de a crea un fișier ascuns Autorun.inf care windose Explorer nu este vizibil. După verificare a fișierelor de atribute la fel ca doi octeți pentru a trimite, și vânzătorii de software legitim nu se va ascunde fișierul nu va fi! Prin urmare, dacă fișierul este ascuns - este 100% virus.
După viruși fleshovye - l Bích rețele de întreprinderi, birouri, etc. Și a fost în detrimentul clienților plătitori, iar piața păstrează un software-ul plătit.
Permiteți? Da, nu? Și toate lucrurile! La urma urmei, pentru a realiza un astfel de test este elementar, în special în software-ul anti-virus a tot ce este necesar pentru acest lucru, vreau să spun konrolya complet pentru sistemul de fișiere.
Este simplu, dar lucrurile sunt acolo.
răspundă:
De unde știi că există sau nu, dacă aveți această opțiune dezactivată? Ar trebui să arate în Total Commander sau managerul FAR.