Не знал куда писать, нигде не нашел...
Хрень передается через флешки! В корне диска появляется папка runauto..
Весит 0 байт, удалиль нельзя, переименовать нельзя, замочил мне DR.Web'а (мож не он, но веб сканер не работает) (при удалении пишет, что нет такой папки)

Вставляю мобильник, так и там на флешке папка уже болтается!!!
Даже из загрузочного диска пробовал удалить, не какнает!!!! Опять пишет, что нет файла!

Может кто уже убиват такого? Чего делать?

PS
Вместо regedit.exe у меня теперь regedit.exe.exe

Это вирус, сталкивался как-то, вычистил вручную (убил в процессах, в автозагрузке, прошёлся касперским). Если касперский его не увидит, обновите базы.
Чьи-то мучения в жж.

самое интересное, что такая (подобная) дрянь уже на каждой третьей (если не второй) флешке из тех, которые мне приносят. "Касперский" даже уже не матерится и не визжит - просто молча трёт эти файлы с заразой и всё. А ни про какую эпидемию никто из антивирусных компаний не заикается даже

В жж прям какие то ужасы написаны! Я так понял, что никто не смог его до конца убить! все равно эта дрянь гдето оставляет свой мусор. Убил вчера пол реестра, а папка как висела, так и висит! Доктор Веб удалил из нее какой то файл runauto.pif, назвал вирусом и все... папка как была так и есть. Ох, не нравится мне эта штука....

И никто не знает, что этот вирус делает! Может это зародышь искуственного интелекта? Такое ощущение, как будто эта дрянь мутирует (перестраивается, подстраивается). Потому что болезнь вроде у всех одиа, а симптому разные....

Ну, в принципе, методы борьбы там написаны вполне правильно. ВЫвести его полностью - можно, а вот противостоять повторному внесению, полагаясь на автоматику - нет. Все дело в том, что запуск вируса происходит не запуском некоего exe, что любой авирь отловит, а через shellexecute, что ведет к обману любого антивируса. По крайней мере, распространенные в новейших версиях и с актуальнейшими базами на раз пропускают дрянь, если даблкликнуть по флэшке. И "NoDriveTypeAutorun" не поможет... Он отключает только автозапуск по вставке, а даблклик в проводнике все равно вызывает авторан-скрипт. Выход - не пользовать даблклик, а привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню. В этом случае нормальный антивирь увидит западло и почистит. Проблема в том, что у винды нет документированного механизма нотификации о подключении съемного диска, что не позволяет антивирусам иметь функцию "Автосканирование подключенного съемного диска".

Если вирус уже есть, вывести его можно при помощи быстрой реакции. Щас расскажу.

1) Качаем Sysinternals Autoruns
2) Качаем скрипты из аттача
3) Кладем скрипт RUDel.bat куда нить на рабочий стол
4) пускаем Autoruns (вирус, кста, его иногда видит и закрывает, сука... но повторно можно запустить всегда) и ищем закладку Image Hijacks. В ней будет несколько галок. Нас интересует cmd.exe. Нужно выбрать эту строку, навести курсор мыши на RUDel.bat, не кликая по нему, чтобы фокус остался на окне Autoruns. Нажать на клаве Del и согласиться на удаление ентером, СРАЗУ ЖЕ даблкликая по RUDel. Если успел - скрипт запускается и выносит западло. Если нет - отказ в запуске, что значит, что реакция не супер :-) Повторяем, тренируемся. Как RUdel отработает, можно удалить в Autoruns все хайджеки, кроме того, что подписан Майкрософт - он там должен быть.

Вариант с прибоем сервиса kknc не всегда проходит... Он бывает, что тут же перезапускается.

Дальше. Чтобы не занести заразу вновь можно
а) Убрать автозапуск на всех типах устройств и не пользовать даблклик, а, опять же, привыкать открывать флэшку или файлманагером, или используя "Открыть" в контесктном меню.б) Убрать автозапуск на всех типах устройств и взять за правило сразу после вставки прогонять по флэшке антивирусом вручную
в) Убрать автозапуск на всех типах устройств и после вставки прогонять скрипт Fldel.bat - он трет файло autorun.inf и остальное по всем найденным логическим дискам, после чего флэшку можно открывать хоть дабл-кликом, но если будет ошибка открытия, то это значит, что на ней был вирус :-) Тогда перевтыкаем и пользуемся.


UPD. Опа, а где аттач?
Ладна... качаем это тогда с http://ifolder.ru/4221693

аааа, я тож поймала. симптомы абсолютно те же, Симантек Нортон не спасает. папка не удаляется, не переименовывается...

сдается мне, что дрянь эта сугубо азиатская (читай русско-китайская) и никто акромя азиатов про нее не слышал (или не хочет слышать) в т.ч. и евре.... тьфу... европейско-американские антивирусы

Это как в кино:
"Не думай, что ты в безопасности..."

Не знаю, об одном и том же речь или нет, но гугл выда это:

http://www.uninstall-spyware.com/uninstallRunAutoTrojan.html

http://www.spywaredb.com/remove-runauto-trojan/

не знаю, то или нет, но сегодня мне на флешке в контору опять такую хрень принесли. Доктор Веб выдает вот такое в лог файле:
21-11-2007 11:20:33 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
21-11-2007 11:20:44 [CR] \\Autorun.inf - ошибка удаления
21-11-2007 11:20:44 [CR] \\Autorun.inf - доступ к файлу запрещен
21-11-2007 11:21:13 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
21-11-2007 11:22:20 [CR] E:\Autorun.inf - исцелен

интересно, он его убил или нет? и что значит исцелен?

Вот мля! Еще одна флешка!!!!!

две из трех! это круто!


писакам вируса!

у меня флэшку тоже подобной заразили, вроде вэбом пролечил, даже флэшка пустая была, только имя флэшки поменять не мог, потом принес флэшку в другое место, ее вставили и касперский начал ругаться, попросил не лечить, принес на свой комп прогнал вэбом молчит вэб, грит все чисто, это было 16 ноября, сейчас еще прогоню версией от воскресенья, а папка появилась

поздарвляю
ваш др.ВЕБ подружился с троянцем

у меня такая картина наблюдается уже с полгода где-то... просто раньше была примерно одна из трёх, а последние 2 недели: 3 из 4х. Делаю вывод что ботнет заметно расширился

ЗЫ: прошу не считать рекламой, но с тех машин, где я сам лично, при составлениии конфигурации для домашнего компа, включал стороку расходов на покупку хотябы KAV - флешки несут чистые...

PN, спасибо! Помогло! Ни папок хреновых ни файлов! Скрипт удалил все за нех. делать!

Только вот не уверен я ни в одном антивире....

А зараза, кста, запросто может быть китайской.. Уже года два наблюдаю, что дешевые плееры, флэшки, карты памяти от производителей, входящих в китайский холдинг "Дядя Сяо и Тетя Ляо чердакс энд подвалс ману[censored]туринг" будучи новыми несут на себе разного рода гадость, запускающуюся авторан-скриптом. Так что вспомним старые времена, когда каждую дискету, принесенную извне, надо было сначала прогонять аидстестом, а уже потом открывать :-)

спокойно удалила вирус с обеих флэшек НОД32 с последнией базой

cmd.exe запускается?

Ну я уже к заразе этой приноровился.......
Др. Веб сразу удаляет с флешки плохие файлы, а потом макросом стираю все остальное......

Меня интересует автоматическая чистка реестра...

запускается, а что?

cmd запускается свободно....
а что значит автоматическая чистка реестра?

Дело в том, что этот (и не только) вирус оставляет в реестре следы своей жизнедеятельности. Что не радует. Какие именно следы - в ссылке на блог выше

Есть вот такой батовский файл


taskkill /fi "services eq kkdc" /f
taskkill /im regedit.exe.exe /f
taskkill /im r.exe /f
sc stop kkdc
net stop kkdc
sc delete kkdc
attrib -s -h -r c:\windows\lsass.exe
attrib -s -h -r c:\windows\setuprs1.pif
attrib -s -h -r c:\autorun.inf
attrib -s -h -r c:\autorun.pif
attrib -s -h -r c:\r.exe
attrib -s -h -r c:\regedit.exe.exe
attrib -s -h -r c:\cmd.exe.exe

rd c:\runauto...\ /s /q
del c:\windows\lsass.exe /q
del c:\windows\setuprs1.pif /q
del c:\autorun.inf /q
del c:\autorun.pif /q
del c:\windows\r.exe /q

del c:\windows\regedit.exe.exe
del c:\windows\regedt32.exe.exe
del c:\windows\cmd.exe.exe
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /v Debugger /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v Debugger /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /v Debugger /f
reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC" /f
reg delete "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC" /f
reg delete "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC" /f
reg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /f
reg delete "HKLM\SYSTEM\ControlSet002\Services\kkdc" /f
reg delete "HKLM\SYSTEM\ControlSet003\Services\kkdc" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /f
reg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
reg delete "HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
reg delete "HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
for /d %%i in (c d) do del %%i:\autorun.* /q
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
chkdsk c: /f



И вот такой:

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* attrib -s -h -r %%d:\autorun.*
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* del %%d:\autorun.* /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.* rd %%d:\autorun.* /s /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp attrib -s -h -r %%d:\autorun.*.tmp
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.*.tmp del %%d:\autorun.*.tmp /q
for /d %%i in (c d) do cacls %%i:\autorun.* /c /e /p everyone:f
for /d %%i in (c d) do attrib -s -h -r %%i:\autorun.*
for /d %%i in (c d) do del %%i:\autorun.* /q

Вроде все стирают...... Хотя это никому не известно.... Но после них все работает замечательно и дряни ни какой нет...

С этим как раз всё понятно.... Это адаптация китайского скрипта... Я об антивирусах говорил... Антивирусы вычищают али нет?

реестр вроде нет....
19-12-2007 13:42:38 [CR] E:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
19-12-2007 13:43:00 [CR] E:\Autorun.inf - удален
19-12-2007 13:44:34 [CR] E:\runauto..\autorun.pif - инфицирован BackDoor.Kais
19-12-2007 13:44:39 [CR] E:\runauto..\autorun.pif - удален
Это все что он делает когда вставляешь инфецированую флешку.... а дальше скриптом...

Дык если антивирус его ещё на флешке вылавливает - скрипт-то зачем запускать?

Потому что антивирус папку runauto.. не удаляет. она так и остается на флешке.. а после запуска скрипта, все чисто....

rd /q /s "c:\runauto...\"
не проще сделать?

Для меня не проще....
Для меня проще запустить коммандный файл и думать что все хорошо....

Дело привычки, конечно... Я привык к консоли. Быстрее напечатать команду, чем искать батник по все файлухе.

Я бы сказал, что это дело понимания происходящего... Если не понимаешь, что же происходит, то и привычка не поможет...

Я на всех своих компах всегда давлю автозапуск. Может поэтому эта бяка на винтах живёт, а на флэшки не перелазит.

не факт... хотя....
у меня сейчас тоже автозапуск отключен, но когда вставляешь чужую флэш и открываешь ее в проводнике, то dr.web орет как потерпевший и удаляет файлы-вирусы.

ЗЫ
Этот вирус был бы сущим адом, если мог бы записываться не только на флэш и локальные диски, но и на сетевые....


ЗЗЫ
командой subst можно создать еще один логический диск. Вопрос: А его эта дрянь сможет заразить? просто интересно....

У меня каспер старый-5 в упор не видит С флэшек переписываю всё (если он там есть) и форматирую.
Кстати товарищ шарящий говорит что из под Линуха стереть можно.

Кстати товарищ шарящий говорит что из под Линуха стереть можно.

Можно. Проверял.

ЗЫ: Из-под винды тоже можно - я выше команду давал.

п.9
Вот это?
rd /q /s "c:\runauto...\"
я конечно не совсем чайник, но непонятно что с этим делать...

запустить в командной строке

в командной строке:

del c{d|z}:\runaut~1\*.* /y
rd c{d|z}:\runaut~1

реестр чистить согласно скрипта.

У меня
Пуск->Выполнить->regedit
и
Пуск->Выполнить->cmd
не хочут выполняться...

это потому что они теперь называются cmd.exe.exe
этот вирус заменяет файлы cmd и regedit на свои.....

посмотрите в windows/system32 должен быть нормальный файл cmd.exe
вот его и запустите и удалите тот который с двойным

файлов *.exe.exe нету.
есть обычный cmd.exe в windows/system32. там же есть regedt32.exe, причём дата создания 2001, а у меня комп с 2005
regedit.exe в c:\windows
давлю на любой - "файл не найден".

Сделай то, что я описывал в начале топика (Sysinternal Autoruns, тренировка на быстроту запуска скрипта и пр.). Вирус ставит в реестре перхват на запуск цмд.ехе и регедит.ехе. Пока его сервис не прибьешь, не запустишь :-)

Дата создания - нормально. При установке винды системные файлы с диска копируются с оригинальной датой. Дату установки имеет то, что создается непосредственно в ее процессе - папки, логи, файлы реестра и т.п.

AVZ тебе в руки!!! причем срочно.

в авз настоятельно рекомендую обратить внимание на пункт - файл - восстановление системы, отметить все галки кроме последней и нажать выполнить, но до ребута после авз протрите еще cureit последним... и имхо щастье настанет, а то изза тривиального триппера стока стону...

Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe

Живая машинка есть? Если есть - сноси нафинг cmd.exe на больной и подкладывай cmd.exe со здоровой. То же самое с regedit.exe

Для этого есть стандартная функция, восстановления системных
файлов с установочного диска. Зачем огород-городить с *живыми машинками*?

Обращаюсь с просьбой вылечить за отдельную плату от этого autorun ноутбук и флешку.
Сама я полный ноль (т.е. все здесь описанное для меня - китайская грамота)
При открытии флешку (4 ГБ-там у меня вся жизнь и работа) компьютер теперь воспринимает как файл,
спрашивает с помошью какой программы открыть файл F
в ноутбуке через поиск обнаруживается 50 файлов с именем autorun, в т.ч. в базах 1С
+ какой-то троян есть.
Или подскажите пожалуйста, куда обратиться, чтобы 100% результат был.

autorun, это не RUNAUTO

Ну простите, я ж говорю - ничего в этом не понимаю
мои вирусы назывались
Worm.Win32.AutoRun.bdl
Worm.Win32.AutoRun.bur
Вопрос снят