dlinyj | Выцепил очередной вирус.

Надо сказать мне непонятно, почему до сих порт антивирусники не научились ловить вирус авторан. Тот же аваст, столько понта, сканер и т.п., но провафлил этот вирус, заметил его только когда тот начал шпарить авторан на все флешки. Вирус оказался достаточно примитивным, но достаточно умным чтобы придушить аваст. На работе винда, приходится мирится. Заразу выкорчевал достаточно просто, оказалось что вирусня слишком примитивна.

Как было дело: Аваст начал орать благим матом, что на флехе появился авторан, и все дела. Я давно не использую проводник для просмотра файлов, как-то привык к файловым манагерам. Лезу на флеху фаром, вижу авторан, атрибут скрытый (но мне до лампочки). Удаляю его, и он тут же создаётся заново. Заразился, понял я. Я был бы не я, если бы не придушил заразу. Аваст очень глючно пустился, провёл первичный тест, и дальше не пошёл (раньше открывалось окошко для широкого тестирования). Аваст ранее намекал, что поймал какую-то заразу, я удалял её и не обращал внимания. Но оказалось что вирус давно жил у меня. Просто прошёл период инкубации, и он перешёл к размножению. К слову сказать, если грохнуть процесс explorer, но оставить включённым фар, то можно без труда вычистить всю заразу.

Как выглядит на флешке: Если смотреть FARом, то будет скрытый файл autorun.inf, который не будет доступен для просмотра. Так же будут отключена возможность просмотра скрытых файлов и папок в проводнике (и её никак не включишь). Так же на флешке будет скрытая папка RECYCLER, в которой подпапка с исполняемым файлом. В моём случае это был CphF.exe. Попытки удалить это добро на заражённом компе не увенчаются успехом.

Лечение: оказалось простым и банальным. Инфицированную флешку я отложил, чтобы принести зверька домой. Грузанул винду в защищённом режиме. Отключил весь автозапуск (для тех кто в танке Пуск->Выполнить->msconfig->автозагрузка->отключить всё). Затем вооружаемся тяжёлой артилерией: Пуск->Выполнить->regedit. Жмакаем ctrl-f, и вводим CphF.exe и выкорчёвываем все записи содержащую эту строку. Но не просто корчуем, а внимательно смотрим ещё что зверёк с собой несёт. У него были какие-то файлы типа *.scr в систем32. В общем глядим что откуда вызывается. После чистки реестра, лезем по всем путям откуда он пускался из реестра и вытираем файлики.

Итого: Мне выпала большая удача, что вирусня оказалась столь примитивной, но большая неудача, что антивирус оказался столь говённым. По моему можно сразу блокировать флешки содержащие autorun, ибо нормальный человек такого держать у себя не будет. Можно даже самому написать примитивный антивирь.

Что хотелось бы: Хотелось бы отключить авторан :). Сделаю это, кто в танке пусть воспользуются поиском у меня в ю-инфо, я писал о том как это сделать. Так же хотелось бы пустить вирусню так сказать в лабораторных условиях, чётко мониторя куда прописывается зараза, что делает и куда стучится. Но не знаю как это сделать, и не имею таковой возможности (винда на виртуалке не хочет цеплять ЮСБ из линуха :().