17 лет назад 5 сентября 2007 в 17:54 2240
В UPgrade #11 (308) описана проблема с доступом к жесткому диску, вызванная вирусом. Я столкнулся с этой проблемой, исследовал ее и решил вполне бескровно. Итак.
Вирус называется (по классификации Dr.Web) VBS.Igidak. После попадания в систему он выполняет следующие действия:
1. В корне всех логических дисков, а также в папке SystemDrive:Windows
System32 создает более десятка файлов с именами вида autorun*.* самых разных типов.
2. В папках System Volume Information и ее подпапках создает файлы с именами вида A00*.bat и A00*.vbs.
3. Все свои файлы вирус помечает как скрытые и системные, а также отключает отображение таких файлов (выставляя в реестре значение параметра ShowSuperHidden равным нулю).
4. Добавляет в ветку реестра HKEY_
LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit значение autorun.bat.
В итоге получается вот что:
1. При подключении съемного носителя заражается и этот носитель тоже.
2. Невозможно зайти в любой диск из «Моего компьютера» или по ярлыку, в то же время программы типа Total Commander или просто команда вида Х: позволяют легко получить доступ к любому из дисков.
3. Вирус не позволяет удалить себя вручную.
Решение проблемы:
1. Запустить утилиту CureIt (взять с сайта www.drweb.ru) и прошерстить ею диски. Она поубивает файлы вируса типа autorun*.bat и autorun*.vbs, правда, остального не тронет. Это «остальное» сохранит пока возможность размножаться и блокировать доступ к дискам, но собственные файлы антивируса утратят иммунитет к сочетанию клавиш Shift + Del.
2. Включить отображение скрытых и защищенных системных файлов.
3. Запустить поиск по маскам autorun*.bat и autorun*.vbs, удалить все, что расположено в указанных выше местах и не имеет отношения к известным вам программам.
4. Убрать из HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
WinlogonUserinit значение autorun.bat.
5. Перезагрузить машину.
Следует иметь в виду, что антивирус Avast! на эту заразу не реагирует (надо бы написать разработчикам письмо. Сообщение о вирусе я им уже оставил, правда, там форма отчета этого довольно бестолковая), а Dr.Web вычищает ее лишь частично. Антивирус Avira со свежими обновлениями просто не пускает вирус в систему (проверено на другой машине), а на зараженной флэшке убивает те же файлы, что и CureIt, т. е. необходимость добить вирус вручную остается.
Вирус называется (по классификации Dr.Web) VBS.Igidak. После попадания в систему он выполняет следующие действия:
1. В корне всех логических дисков, а также в папке SystemDrive:Windows
System32 создает более десятка файлов с именами вида autorun*.* самых разных типов.
2. В папках System Volume Information и ее подпапках создает файлы с именами вида A00*.bat и A00*.vbs.
3. Все свои файлы вирус помечает как скрытые и системные, а также отключает отображение таких файлов (выставляя в реестре значение параметра ShowSuperHidden равным нулю).
4. Добавляет в ветку реестра HKEY_
LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit значение autorun.bat.
В итоге получается вот что:
1. При подключении съемного носителя заражается и этот носитель тоже.
2. Невозможно зайти в любой диск из «Моего компьютера» или по ярлыку, в то же время программы типа Total Commander или просто команда вида Х: позволяют легко получить доступ к любому из дисков.
3. Вирус не позволяет удалить себя вручную.
Решение проблемы:
1. Запустить утилиту CureIt (взять с сайта www.drweb.ru) и прошерстить ею диски. Она поубивает файлы вируса типа autorun*.bat и autorun*.vbs, правда, остального не тронет. Это «остальное» сохранит пока возможность размножаться и блокировать доступ к дискам, но собственные файлы антивируса утратят иммунитет к сочетанию клавиш Shift + Del.
2. Включить отображение скрытых и защищенных системных файлов.
3. Запустить поиск по маскам autorun*.bat и autorun*.vbs, удалить все, что расположено в указанных выше местах и не имеет отношения к известным вам программам.
4. Убрать из HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
WinlogonUserinit значение autorun.bat.
5. Перезагрузить машину.
Следует иметь в виду, что антивирус Avast! на эту заразу не реагирует (надо бы написать разработчикам письмо. Сообщение о вирусе я им уже оставил, правда, там форма отчета этого довольно бестолковая), а Dr.Web вычищает ее лишь частично. Антивирус Avira со свежими обновлениями просто не пускает вирус в систему (проверено на другой машине), а на зараженной флэшке убивает те же файлы, что и CureIt, т. е. необходимость добить вирус вручную остается.
Отличный подход к решению проблемы – всем читать и учиться! Добавить тут нечего. Разве что стоит еще раз обратить внимание всех читателей на утилиту CureIt – это бесплатный антивирусный сканер, полностью аналогичный программе Dr.Web, при этом не конфликтующий с другими антивирусами. Настоятельно всем рекомендую иметь его под рукой. Усердие требует поощрения в виде видеокарты Palit 8600 GT Sonic от компании Palit (www.palit.biz). Звоните в редакцию.
Класс!
Уже так намучалась, что единственным желанием было выкинуть железяку с балкона. Спасибо большое, спасли 🙂