Vírusok számítógépek flash
Boot vírusok Autoran
Az első fertőzés jeleit ezzel vírus nagyon különleges, azt nem tudja beállítani a Windows Intéző mutassa a rejtett rendszerfájlok. A vírus kikapcsolja ezt az opciót, a registry annak eltitkolása. Mivel a vírus fájlok attribútumait rejtett, rendszer fájl, a System Explorer egyszerűen nem lát. Total Commander - ugyanakkor úgy látja, csak finom.
FANTOM jól működik. Amikor behelyezzük a számítógép fertőzött a FANTOM flash meghajtó, az autorun rendszer Autoran.inf beolvassa a fájlt és végrehajtja az ott előírt vírus. Ezután a vírus írja magát a rendszer indítása, beállítja a dll könyvtár, amely össze van ragasztva az összes folyamatot, valamint nyilvántartások a gyökere minden hajt Autoran.inf fájlt és egy kiterjesztésű fájl .COM .exe. variruetsya nevét, de ugyanazon a számítógépen, minden meghajtó ugyanaz lesz.
A fertőzés tünetei:
Nem lehet aktiválni a karmester windose lehetőséget „Rejtett rendszerfájlok”
A gyökér valamennyi merevlemez számítógépén jelen lesz Autoran.inf fájlt és egy kiterjesztésű fájl .COM .exe fájl kiterjesztés nevét, és változik számítógépről a másikra.
Helyezze be a fertőzött számítógép minden bizonnyal egy tiszta bottal. Ezután nyissa meg a Total Commander. Látni fogja, hogy egy flash meghajtót megjelent Autoran.inf fájlokat és kiterjesztésű fájl .COM .exe. Amikor megpróbálja törölni ezeket a fájlokat a flash meghajtót vagy merevlemez, akkor megjelenik egy pár másodpercig.
kezelés:
Sajnos, ha a fertőzött, antivírus programok nem segítenek. Minden lesz, hogy a fogantyúkat. Mi a legfőbb eszköze - Total Commander, vagy a Távol-menedzser, hiszen a karmester Vind akkor nem fogja látni semmit.
Ne feledje, a létrehozás dátuma Autoran.inf fájlok már jelen vannak a gyökér. Emlékszem nézni a Total Commander. És mi meg azt mutatja fájlok létrehozásának dátuma.
Ellenőrizze a következő rendszerleíró kulcsot felelős Kocsi:
És nézd meg az összes fájlt, hogy töltik a rendszer könyvtár system32 mappában, a többiek nem érdekelnek minket.
úgy néz ki:
C: # 92; WINDOWS # 92; system32 # 92; .COM vagy fájlnév.exe
Vagy egyszerűen csak „filename.exe vagy .COM” futni, system32 teljes elérési út nem szükséges.
Aztán találunk a system32 ezeket a fájlokat, és hasonlítsa össze a fájl létrehozásának dátuma Autoran.inf a merevlemez gyökér és fájlokat az adatbázisból. Úgy kell létrehozni egy nap (ha még nem próbálta eltávolítani Autoran.inf magukat). A közelben kell lennie egy DLL könyvtárat létrehozni ugyanazon a napon és órában, és a gyanúsított. Ha minden elfér, ez egy fantom, de távolítsa el, amíg csak.
Ehhez először is, mi távolítsa el a registry kulcsot, és indítsa újra a számítógépet. Amikor újraindítja, fontos, mi F8 és válassza ki a Safe Mode.
Csökkentett módban indul, fut a Total Commander és a system32 pusztulás előtt a fájlokat. Phantom magát és könyvtár .DLL
Majd megöli a gyökere minden meghajtó Autoran.inf talált fájlokat és az ahhoz kapcsolódó alkalmazás modulok (szerelők fantom). Ezek ugyanazok az összes meghajtón. Reboot, a rendszer tiszta. PHANTOM sok fennakadás a rendszerben, így eltávolítása után, sok hiba maradhat.
Phantom terjed, köszönhetően a hatalmas lyukat a biztonsági rendszer, amely a jóhiszemű Microsoft tett értünk. Ezt a lyukat nevezzük - Automatikus lejátszás. Amikor betesz egy CD-ROM lemezen vagy USB flash meghajtót az USB port, a rendszer először megkeresi a támogatott fájl Autoran.inf, és ha talál, akkor elkezd regisztrálni a programot anélkül kér semmit a felhasználó számítógépén. És alapértelmezés szerint ez az opció már benne jóvoltából! Ezek, és élvezze a boot vírusok.
Az első lépés az, hogy kivágták a autorun:
Start-Futtatás-gpedit.msc
A választás joga az ablakon:
Automatikus lejátszás tiltása
A megnyíló ablakban válassza ki a BE!
Figyelem, beleértve nem jelenti azt, hogy benne az automatikus indítás, az azt jelenti, hogy engedélyezve van az automatikus vezérlési beállítások opciót. Sokan vannak zavarodva, és válassza ki, miáltal a rendszer beállításait, mint ők.
Válassza érték - „Automatikus lejátszás kikapcsolása elemre az összes meghajtón” - kell alkalmazni. A számítógép újraindítását.
Automatikus lejátszás ki van kapcsolva. DE! Ha megnyitjuk a lemezt vagy flash meghajtó soha nem volt nyitva a ikonra kattintva a média a Windows Intézőben! Work Force autorun. Jelölje ki a kívánt médiát a jobb egérgombbal, és válassza a Megnyitás parancsot. Nem sárban nem indul el. Sok szerencsét.
Sajnálom, én nem eloroszosodott változata. Szerintem értelmében ez a beállítás lesz talál.
---
Uninstall trükkös vírus:
Vannak AUTORUN vírusok futnak nevében a rendszer. Ebben az esetben, akkor lehet futtatni rendszer jogosultságokkal, és hogy a legkellemetlenebb, még csökkentett módban.
Találkoztam különböző vírusokkal, amelyeket az üzembe helyezéshez Winlogon a következő rendszerleíró kulcsot
A megfelelő kulcs kell utalni egy fájlba
C: # 92; WINDOWS # 92; system32 # 92; userinit.exe
De a vírus általában helyettesíti a kulcsot, például úgy,
C: # 92; WINDOWS # 92; userinit32.exe
Amennyiben userinit32.exe - egy vírus, amely megkezdte az első, majd elindul az igazi userinit.exe.
Természetesen userinit32.exe valószínűleg vezérli a ághoz, és nem fogja megváltoztatni.
Ölj userinit32.exe Feladatkezelőben szintén nem sikerül. A vírus létrehoz egy eljárást klónt, amely ellenőrzi, hogy userinit32.exe indult, és a userinit32.exe ellenőrzések klón a memóriában. Sajnos, a feladatkezelő nem képes megölni a két folyamat egyszerre. És öld meg őket egyenként lehetetlen. Mivel a fennmaradó azonnal elindítja a másolatot. Ilyen az ördögi kör.
Winlogon az ág jobb klikk - engedélyével. Kifelé, mind a négyzeteket, kivéve pont - olvasás SYSTEM - ez a rendszer nem enged hozzáférést változtatni ezt a részt, mert a vírus egy olyan rendszer folyamat kiváltság.
Akkor meg kell hozzon létre egy új felhasználót a rendszer szükségszerűen korlátozott jogokkal.
Start - Vezérlőpult - User Management.
Aztán van, hogy ki a rendszergazda fiók.
Start - Sign Out.
Minden. A vírus nem lesz a jogot, hogy módosítsa a kulcsot! SYSTEM írási tilos, és az admin jogok e uchetki nincs vírus!
Ezt követően újra kell indítani, és távolítsa el a fájlt a rendszer, amely korábban hivatkozott kulcs
HKEY_LOCAL_MACHINE # 92; SOFTWARE # 92; Microsoft # 92; Windows NT # 92; CurrentVersion # 92; Winlogon # 92; Userinit
Ebben a példában
C: # 92; WINDOWS # 92; userinit32.exe
Ezen a módon én több vírusos lett távolítva.
Minden írásbeli itt is igaz a Windows XP, Vista vagy Win 7, lehet némi különbség, de az elv ugyanaz.
Mindez meg van írva a tapasztalt felhasználók számára. Ha nem értik, nem értik a különbséget a rendszergazda és a korlátozott felhasználó, ne próbálja megváltoztatni semmit a rendszer önállóan. Ha töröl egy fájlt egy igazi userinit.exe hiba vagy helytelen helyreállítása a legfontosabb, akkor nem tud bejelentkezni. Nem vagyok felelős a tevékenységét.
1 - Nem tudom beállítani a Total Commander a rejtett fájlok megjelenítése, mert ha jól értem, alapértelmezés szerint a Total Commander is, nem mutat rejtett fájlok rendszer üstök, hogy nem hogy nem emelkedett.
2 - Restart, mentem Biztonsági mód, de Autorun még mindig megjelenik a flash meghajtót. Miért? Ezekben kulcsok, akkor nem talált semmi gyanúsat.
válaszolni:
Amíg nem talál egy vírus a számítógépre, és távolítsa el a rendszer, USB flash meghajtó, hogy tiszta haszontalan. Ez zarazatsya újra és újra.
Az a tény, hogy az autorun.inf fájl által használt normál szoftvergyártók indítani kagyló instalatorov programot, ami kétségkívül az élet könnyebb és kávéfőző, ez is érthető.
De nem értem a többi! Ezért a Windows tudja kezelni a rejtett Autorun.inf fájlokat, és mivel a vírus mindig létrehozni egy rejtett fájl Autorun.inf amely windose Explorer nem látható. A bejelentkezést követően fájlattribútumok csak két byte küldeni, és a jogos szoftvergyártók soha elrejteni a fájlt nem lesz! Ezért, ha a fájl rejtett - ez 100% vírus.
Miután fleshovye vírusok - ez Bich vállalati hálózatok, irodák, stb És ez volt rovására fizető ügyfelek, és a piac tartja a fizetett szoftver.
Hagyjuk? Igen, nem? És mindent! Végtére is, hogy észre egy ilyen teszt elemi, különösen az anti-vírus szoftver minden ehhez szükséges, mármint teljes konrolya a fájlrendszert.
Ez egyszerű, de a dolgok vannak.
válaszolni:
Honnan tudod, hogy létezik-e vagy sem, ha ez az opció ki van kapcsolva? Meg kell nézni a Total Commander vagy FAR manager.