LINUX.ORG.RU
ФорумTalks

Как выгнать авторан? С помощью линукса.


0

0

Есть машина, дуалбут в оффтопик и бубунту, оффтопик подхватил один из авторанов, только вот ни я ни какой либо из антивирусов его найти не может (чтобы хоть пределить хто это), но следы его деятельности налицо: системный и скрытые папки, если их отображение включить, через некоторое время опять становятся невидны. Остальную его вредоносную деятельность не обнаруживаю, найти исполняемый файл также не могу. В безопасном режиме он грузится, кламав из под линукса находит vgen.1055.0 в файле подкачки, удаляем, при загрузке чудеся заново. На компе стояла авира - ничего не заметила, была снесена по несоответствию занимаемой должности.

Как эту хрень найти?

★★☆

Старый виндузячий метод: пробовать все антивирусы по очереди. Если не поможет, то, наконец, переустановить венду, напоследок запустив все антивирусы сразу и устроив битву на выживание между ними (for lulz).

Deleted
()

лайв сд в виндой в зубы и ковыряй реестр на предмет авторана.
к стати, в них часто имеются антивирусы.

lvv
()

ППЦ, какие линуксоиды беспомощные пользователи, невысокой квалификации, я бы даже сказал.

А включить аудит доступа к файловой системе и удалить autorun.inf, и затем посмотреть в логах кто его создал - никак?

Типа filemon или какие еще продукты, не?

katafeyki
()
Ответ на: комментарий от katafeyki

эта штука ничего не создает
, хотя идею вы подкинули, если воткнуть флешку, то по идее он на нее должен нагадить, тогда удасться и вычислить его, только чую я что заражен один из драйверов иначе яб его уже увидел в нетстате.

wfrr ★★☆
() автор топика
Ответ на: комментарий от Korrvin

Спасибо, про антивирус зайцева я банально забыл, а про авторанс и не знал.

wfrr ★★☆
() автор топика
Ответ на: комментарий от Vanilin

Ты телепат видимо, авторанов туева хуча модификаций.

wfrr ★★☆
() автор топика

А белки кололись, но продолжали поедать свой кактус...

subj

GFORGX ★★★
()

> системный и скрытые папки, если их отображение включить, через некоторое время опять становятся невидны

Возможно, проблемы с разрешениями на ветки реестра.

> кламав ... находит vgen.1055.0 в файле подкачки

2 года назад он у меня в JPEG-ах и не такое находил :)

Как уже сказали -- ставить все антивирусы подряд. Если под виндой, рекомендую триальный NOD32. ИМХО, ложная тревога.

question4 ★★★★★
()
Ответ на: комментарий от Korrvin

А авторансом лишнего можно вытереть? Ибо я понятия не имею, чего именно вытирать... Ну логон трогать не буду, а про стальных оно предупредит? Их же там куча... Прибьешь не того, а потом переставляй маздайку...

EmStudio
()

А я вполне так нормально ручками выковыриваю. :) Частенько планктон от флешек страдает.

Lumi ★★★★★
()

Тю, да они ручками прекрасно сносятся. неужели линуксятники совсем работать с ОС не умеют? Да, авира многих расстраивает. Avast среди бесплатных наверное лучшее. Но зачем нужен аваст, когда NOD32 стоит жалкие копейки, работает быстрее, да и качественнее.

Orlangoor ★★★★★
()
Ответ на: комментарий от EmStudio

> А авторансом лишнего можно вытереть? Ибо я понятия не имею, чего именно вытирать...

В своё время я пользовался программой starter. Полезно, чтобы чистить автозапуск и как менеджер задач. http://codestuff.tripod.com/ http://codestuff.mirrorz.com/ Там хорошо видно, что запускается, какой файл и т.п.

question4 ★★★★★
()
Ответ на: комментарий от katafeyki

> включить аудит доступа к файловой системе

а такое в ХП есть? О_о

isden ★★★★★
()

Иногда винду быстрее переставить, чем копаться и искать причину. разве что для коллекции троянчик вытянуть себе.

AiFiLTr0 ★★★★★
()

К сожелению, у меня на каждой первой флешке обычно сидят эти трояны(авторан у меня выключен), причем эта хрень есть на всем, на мобилах, плеерах, вплоть до флешок из НАВИГАТОРОВ %)))) Вообщем туго с этим у вендузятников.

ЗЫ. Отключайте авторан - это маст ниид.

FiXer ★★☆☆☆
()
Ответ на: комментарий от AiFiLTr0

>Иногда винду быстрее переставить, чем копаться и искать причину. разве что для коллекции троянчик вытянуть себе.

У меня венда второй год без переустановок, весьма стабильна :)

FiXer ★★☆☆☆
()
Ответ на: комментарий от FiXer

Он и был отключен, только родственники таки умудрились заразить комп. авторанз запустил поглядел повычищал куски авиры, посмотрел как в реестре с правами, один хрен все цивильно но эта штука сидит в памяти и возвращает старые значения, avz ничего не нашел, щас обновлю базу и потыкаю в него флешкой.

wfrr ★★☆
() автор топика
Ответ на: комментарий от wfrr

Проверь сыстем волумэ инфо, потом убей все что в корзинах, очисти все темпы, пероверь все документс унд сеттингс.

Я как раз с этой мразью на одном компе боролся. Снес таки.

FiXer ★★☆☆☆
()
Ответ на: комментарий от Lumi

Детские болезни? Авторан. Он лечится путем восстановения значений реестра. Сейчас даже дети знают как отключить автозапуск с носителей. Ибо родители ругаются на зараженные флешки из школы.

anonymous
()
Ответ на: комментарий от anonymous

> Как эту хрень найти?

Этой хрени нет, есть только подпорченный реестр, как уже упоминалось выше, редактируйте реестр. Если нельзя загрузить систему, используйте win-livecd, подмонтируйте разделы реестра больной системы и отредатируйте их.

Отключайте на домашней системе авторан и открывайте флешку через контекстное меню или другим способом.

Организуйте каталоги на флешке таким образом, чтобы в ее корне лежало только несколько служебных файлов и скрипт для удаления всех посторонних. Перед тем как отмонтировать флеху, запускайте скрипт, чтобы домой не нести подарков.

Для дочери написал такой батник, за формативание заранее извиняюсь:

:: clean.cmd

@echo off

setlocal

pushd %~dp0

md QUARANTINE 2>nul

findstr c:";; 123-asd-098" autorun.inf 1>nul || (

move autorun.inf QUARANTINE\autorun.inf.!!

)

for /f "tokens=*" %%i in ('dir /b /a-d') do (

echo %%i | findstr "clean.cmd autorun.inf 124.sdv usb.ico" 1>nul || (

attrib -s -h -r "%%i"

move "%%i" "QUARANTINE\%%~nxi.!!"

)

)

set cnt=0

for %%i in (QUARANTINE\*) do set /a cnt+=1

echo found %cnt% files

popd

pause 1>nul

Где `;; 123-asd-098`, заголовок файла autorun.inf, для проверки его на подлинность

"clean.cmd autorun.inf 124.sdv usb.ico" - файлы в корне флешки.

anonymous
()
Ответ на: комментарий от anonymous

>Этой хрени нет, есть только подпорченный реестр, как уже упоминалось выше, редактируйте реестр. Если нельзя загрузить систему, используйте win-livecd, подмонтируйте разделы реестра больной системы и отредатируйте их.

Телепат из вас плохой, она есть и я его уже вычистил. avz таки помог. Ларчик просто открывался - говно прятолось под названием csrcs.exe я его в течении двух часов не мог отличить от привычного csrss.exe (или как его там), в общем говно называть сервисы дурацкими именами.

wfrr ★★☆
() автор топика
Ответ на: комментарий от anonymous

Еще вариант, не знаю прокатит ли, вообщем суть такова... есть пустой нередактируемый(???) autorun.inf, ...набигают вирусы... Profit!

FiXer ★★☆☆☆
()
Ответ на: комментарий от FiXer

а у меня на висте аутораны банально отключены и стоит Trend Micro жызнь без проблем

sansei
()

сотни авторан ремуверов в сети, сколько не подхватывли юзеры на работе, всегда всё чистилось на ура, не пойму в чём проблема

mirtoff
()
Ответ на: комментарий от FiXer

> Еще вариант, не знаю прокатит ли, вообщем суть такова... есть пустой нередактируемый(???) autorun.inf, ...набигают вирусы... Profit!

Лучше директорию сделать. Создать файл уже будет нельзя (уже есть, директория - тоже файл), записать тоже.

EmStudio
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.