Проблема с флешкой

Проблема с флешкой, похоже флешка является источником вируса

palazh

Консультант сайта

Сообщений: 1099 Баллов: 114 Регистрация: 17.07.2007

03.02.2009 19:23:29

Модератор исправьте , если этот пост появится второй раз.
Первый почему-то не появился.Может в чем-то ошибся.

Вот какое послание я отправил на http://my.drweb.com/ .

На флешке Kingsnon объемом 2Гб Антивирусом
Avast обнаружен вирус.
В окне информации:
Имя файла - autorun.inf .
Имя вируса - VBS:Malware-gen.
После выполнению команды "удалить" , через несколько секунд снова появляется информационное предупреждающее окно.Вместе с файлом "autorun.inf "
на флешке появляется файл "system.exe" .Оба эти файла имеют атрибуты системных , но легко удаляются TotallCommander_ом. При обращении к флешке пояаляются и антивирус сразу фиксирует это.
Пробовал форматировать флешку.Никаких изменений.
Скачанный и установленный DrWeb-5.0 при сканировании флешки обнаруживает зараженный
файл autorun.inf вирусом Win32.HLLW.Autorun.2630.
DrWeb-5.0 также удаляет или переименовывает пораженный файл , но он снова появляется.
На других дисках никаких вирусных проявлений нет.
Поведение флешки не изменяется в других стстемах.
Прошу дать совет.
Флешку практически невозможно использовать при включенном дежурном режиме антивируса.
Могу переслать файлы (если нужно) , но пока не нашел адрес.

Обещают помочь в течение 12 часов.
А пока построю догадки.
По содержанию autorun.inf похоже , что кто-то пытался сделать флешку загрузочной.
И возможно прибегли к услугам какого-то вируса.
Вообще то я нашел метод , как нейтрализовать подобные файлы , которые иногда появляются в разных местах системы и даже пытаются внедриться в автозагрузку и самовольно
выходить в интернет , о чем очень хорошо предупреждает установленный
Ashampoo FireWall.
А теперь вопрос знатокам.
Что вы об этом "фокусе" думаете?

Юрий Профессор Сообщений: 585 Баллов: 68 Регистрация: 01.06.2006	#2 04.02.2009 18:17:45 Сама система заражена. Сам вирус находится в корзине. Если щелкнуть правой кнопкой мыши на флешке, то появляется что-то вроде "Open (0)"? Правильно?

palazh

Консультант сайта

Сообщений: 1099 Баллов: 114 Регистрация: 17.07.2007

04.02.2009 21:50:17

Цитата
"Open (0)"? Правильно?

Нет не так.
Сразу после присоединения появляется autorun.inf (150b) вот такого содержания

[autorun]
open=system.exe
shellexecute=system.exe
shell\Explore\command=system.exe
shell\Open\command=system.exe
shell=Explore
Оставил только текст,все "закорючки" убрал.Вот его и не терпит Антивирус каа Avast.так и
DrWeb. Спустя мгновение появляется "system.exe"(24064b).
К последнему антивирус равнодушен.
Если бы не реакция Avast,требущего принять незамедлительно меры по постоянно возрождающемуся
нарушителю спокойствия,то не обратил бы на него внимания.Паузы бывают не более 5 сек.Понятно
что кто-то занимается созданием autorun.inf.Выловить его ничем не удается ( AD-AWARE и другими).
Провел эксперимент.На совсем пустой отформатированный диск установил систему и подсоединил флешку.Все спокойно.После входа в сеть через какое-то время появился autorun.inf.
После удаления длителное время тишина.И опять.Так что заражение оттуда.
Собрал много справки из Интернета. Понял,что прав кто-то из пользователей , что это настоящая эпидемия с этими autorun_ами.Проявления очень разные.Не спят злоумышленники.
Раньше я упомянул о противоядии.
Так вот.Создаю короткий текстовый файл autorun.inf,присваиваю ему системные атрибуты и заменяю на-
рушителя.
Флешка периодически мигает,но запись не происходит.

Изменено: NoSmoke - 04.02.2009 23:48:00

Юрий Новаковский

Заглянувший

Сообщений: 26 Регистрация: 10.01.2008

06.02.2009 17:11:14

Цитата
Нет не так. Сразу после присоединения появляется autorun.inf

Сам по себе autorun.inf не троян и не вирус. В этом файле описывается как должна выглядеть в проводнике открываемая папка и какие программы при открытии надо запустить (например диалог выбора действия при открытии CD/DVD или флешки). Этой возможностью и пользуется троян
(и никакой это не вирус) Win32.HLLW.Autorun.2630 чтобы запустить свою копию. При запуске
троян создает autorun.inf в корне еще одного диска, если autorun.inf есть в корне всех дисков, то троян ждет открытия нового диска (флешки ,дискетки, сетевого) и так же создает autorun.inf в корне.
После этого троян создает свою копию, прячет ее среди временных файлов или в интернет кеше,
и выгружается из памяти.
Так что, если не открывать проводник и не пользоватся программами которые используют ресурсы проводника , так и заражения не будет. Лучше всего отключить автозапуск для всего, и про
Autorun можно забыть. Удачи!

palazh

Консультант сайта

Сообщений: 1099 Баллов: 114 Регистрация: 17.07.2007

06.02.2009 22:50:23

Цитата
Юрий Новаковский пишет: Сам по себе autorun.inf не троян и не вирус.

Это только ваше предположение.
Но если оба антивируса сообщают,что это вирус,то ничего не остается ,как поверить им.
А есть еше програмка anti_autorun.exe (110592 б),(созданная для стирания autorun.inf на
всех дисках) также определяет,что это вирус,а вот созданний для блокировки записи autorun.inf она определяет,что это не вирус.
И вообще советы желательно давать , практически убедившись в правильности сказанного.
Все не так просто.Сложно найти и выловить резидента,который производит запись на диск.
А антивирус исправно исполняет свои функции,обнаруживает , информирует и предлагает принять меры . Остановить повторную запись вируса он не может

Изменено: palazh - 06.02.2009 22:56:04

Юрий Новаковский

Заглянувший

Сообщений: 26 Регистрация: 10.01.2008

09.02.2009 12:55:16

Цитата
Сам по себе autorun.inf не троян и не вирус. Это только ваше предположение.

Почему-же предположение, если CD/DVD с автозапуском, то на нем обязательно есть autorun.inf.
Вот пример с CD с драйверами:

[autorun]
open = Bin\assetup.exe
icon = asrock.ico

Или CD/DVD с музыкой.

А антивирус реагирует на строчку с запуском трояна, но строчку он удалить не может, поэтому
удаляется файл целиком.

anti_autorun.exe к антивирусам не имеет ни какого отношения, это обычная программма,
искать autorun.inf по всем дискам, это задача для курсака на второй курс.

Цитата
И вообще советы желательно давать , практически убедившись в правильности сказанного.

Проверено и неоднократно! Дело в том что, антиврусные мониторы не всегда блокируют
запуск трояна, тогда в дальнейшем лечении нет смысла. А вот если автозапуск запрещен ДЛЯ ВСЕГО,
то запустиь троян можно только если найти сам файл с трояном (или троян сделал вид что он компонент Windows и его может запуситить система), и лечится тогда без проблем (при условии полного доступа к файлу).

palazh

Консультант сайта

Сообщений: 1099 Баллов: 114 Регистрация: 17.07.2007

09.02.2009 22:21:18

Автозапуск к вирусу никаого отношнения не имеет.Название его может быть любым.
Просто нашли метод его распространения , маскировки под очень распространенные
autorun.inf.Я привел текст и еще

Цитата
palazh пишет: Оставил только текст,все "закорючки" убрал

Вот в этих "закорючках" и находится по всей вероятности тело вируса.
Антивирусные программы выявляют их вирусную природу и включили в свой перечень сигнатур.
А теперь дайте совет.Как успокоить антивирус,чтобы он позволил пользоваться флешкой и дискетой.
Сегодня обнаружил,что и с дискетой та же проблема.
Я скачал более 10Мб информации , запустив поиск по "autorun.inf" и вся информация о вирусе.
Но для решения моей проблемы ничего не нашел.

Миха Специалист Сообщений: 297 Баллов: 34 Регистрация: 29.12.2008 Когда доктор Зло в ярости - мистер Биклексфорд расстраивается. А когда мистер Биклексфорд расстраивается кого то ждет смерть!	#8 10.02.2009 13:54:52 Граждане - Avast! DoctorWeb - ни чего хорошего Вашему PС не принесут. Я уже писал в форумах о зашите [URL=http://winline.ru/forum/forum34/topic85/messages/?PAGEN_1=2]Winline.ru[/URL]. Кроме Каспера в данный момент ни чего не использую! И Вам его советую

Никита Соколов

Специалист

Сообщений: 273 Баллов: 32 Регистрация: 23.11.2008

Это я =)

10.02.2009 15:39:12

Цитата
Миха пишет: DoctorWeb

Он иногда находит то, что не находит Касперский!

palazh

Консультант сайта

Сообщений: 1099 Баллов: 114 Регистрация: 17.07.2007

#10

10.02.2009 16:40:58

Все , я ухожу из обсуждения,т.к. проблема решена.
На страже стоит все тот же Avast.
Флешка и дискета на месте.И никаких тревог.
Сколько всего перепробовал.А помог
Spyware Doctor® 6 для Windows® - новая версия.
Вот его ссылка для загрузки.
http://www.pctools.com/ru/spyware-doctor/
А это ссылка-рассказать другу о PC Tools
http://www.pctools.com/ru/tellafriend/index/product/spyware-doctor/.

Цитата
Миха пишет: Граждане - Avast! DoctorWeb - ни чего хорошего Вашему PС не принесут. Я уже писал в форумах о зашите Winline.ru. Кроме Каспера в данный момент ни чего не использую! И Вам его советую

Заявления Михи ,как всегда слишком категоричны,и очень часто безосновательны.
Для таких утверждений прежде всего нужно попробовать работать с разными антивирусами.
Я пробовал и остановился на Avast - в качестве "сторожа",
и DrWeb - сканера.
А в данном случае предьявлять претензии к Avast , как и к любому другому антивирусу было бы несправедливо.
В их функции (если это не универсальные программы) входит обнаружить и уничтожить,что Avast и делал.
А того паразита , который завелся в системе и провоцировал ситуацию могут,
точнее должны выявлять программы типа Ad-Aware.Но увы,не помогли.

Кстати , спасибо Никите Соколову ,это на его сайте
http://sokolovnm.ucoz.ru
я увидел ссылку на Spyware Doctor® 6 для Windows® - новая версия.

Изменено: palazh - 10.02.2009 17:04:49

Vova Заглянувший Сообщений: 2 Регистрация: 06.05.2009	#11 06.05.2009 16:38:18 Подскажите, что может тормозить копирование мелких файлов на флешку в Win7, именно мелких видео и архивы капируются нормально, проблема не в флешке и не usb

Дима

Профессор

Сообщений: 618 Баллов: 91 Регистрация: 22.01.2007

#12

06.05.2009 16:47:00

Цитата
Vova пишет: Подскажите, что может тормозить копирование мелких файлов на флешку в Win7, именно мелких видео и архивы капируются нормально, проблема не в флешке и не usb

Вы бы создали отдельную тему, а так смахивает на офтоп, снимите кэширование и будет Вам счастье. Как это сделать я описал похоже Вам http://www.winline.ru/articles/4898.php , модератор если одобрит увидите или создайте свою тему.

Дима

Профессор

Сообщений: 618 Баллов: 91 Регистрация: 22.01.2007

#13

06.05.2009 16:53:25

Личные наблюдения по данному топику, Аваст как и все другие оправдывает древнюю поговорку - бесплатный сыр только в мышеловке. Оправдания, типа, ну а что Вы хотели, зато бесплатный-это бред... создание autorun и указанием в нем на загрузку вируса столкнулся уже несколько лет назад, ставил Avast и верил ему.... ESET либо Касперский исправляют, после чего Avast для меня звучит как ругательство. Чем не работающий, лучше уж ни кого наверно.....

Vova Заглянувший Сообщений: 2 Регистрация: 06.05.2009	#14 06.05.2009 17:19:37 Снял кеширования не помогает

Дмитрий Заглянувший Сообщений: 67 Регистрация: 03.05.2009	#15 06.05.2009 17:54:31 Была такая проблема на ХР. Я скачивал Майкрософтскую утилиту (не помню как зовут) и с её помощью блокировал автозапуск съемных носителей. А в Висте в окне автозапуска прописывается любой вирус. Среди прочих вариантов появляется нечто типа "запустить dhyhenkkk.exe" Сразу понятно, что на флешке какая-то зараза. На Висте автозапуск можно не блокировать, но в настройках автозапуска надо поставить вариант "всегда спрашивать". Ну а прежде чем чистить флешку, надо основательно почистить систему. Запись вируса на флешку, на сколько я понимаю, происходит более бесконтрольно, чем переход вируса с флешки. А что касается Аваста, то он стал справляться с этой проблемой с 8 версии.

Читают тему (гостей: 1)