снова autorun.inf

Доброй ночи! Поймал у себя на копме autorun.inf. Если не ошибаюсь, то копирует себя только, когда врубается/вырубается флэшка. На логических дисках - нет. И еще, похоже, что инжектится в svchost.exe (а может он уже в нем и сидит?). Прилагаю аттач, кто знает, как вылечить, подскажите пож-та.

 

не грузится аттач, залей на файлообменник...

 

Отключи автозапуск со съемных носителей.
Для этого создай в реестре раздел:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer
Создайте в нем ключ NoDriveAutoRun типа DWORD со значением FFFFFFFFh. Это отключит автозапуск со ВСЕХ съемных устройств для всех учетных записей. Нужна перезагрузка.
Самый лучший способ. Теперь ни одна гадость со съемника сама не запустится!
P.S. Атач твой я не смотрел.

 

ок, залил, если у кого трабл с аттачем
http://exfile.ru/19356

AndreyMust19
Я не на своем компе, это уже поздно.

 

Ну так не беда - сделай это на своем коспьютере
А, кстати - на твоем компе служба WebClient не работает случайно?

 

Да, виновен svchost. Только это не инжект - по ходу он пропатчен. Решение будет таким: заменить свой svchost на чистый - незараженный. Вроде все.

 

_faq_, ты чем пакуешь? оба архива идентичны, но кривые .\

 

Имхо, это не архивы кривые, это файл какой-то странный. Кто еще его смотрел?

 

Ничего странного, просто типа обфусцированый ini всю ту ересь что идет с новой строки начиная с ; щитается коментами поэтому надо это все удалять.

 

Имя переменной = какойто путь
☻↨▼♠☼○○icon☺§ =♥♠♀∟¶☻%syStEmrOot%\sySTEM32\sHELL32.Dll ,4

Странно как оно работает но т.к. иниха вся в юникоде есть смысл.

 

Наверное винда при парсинге его пропускает и ищет только ключевые icon = <путь к иконке> и shellexecute = <пусть к запускаемой программе> так что советую искать в корзине файл.
ahaezedrn - название вызываемой функции(вероятно, что она экспортируется).

 

У меня не работает авторан. Вообщем-то он и не нужен мне.
Но вот я захотел зделать CD с этой фишкой.
Это я врубил
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom {autorun=0x000000001}
ну вроде в RightClick появилось AutoRun и даже на дисках стало срабатывать,
там где предусмотренно. Хотя ico нифига не прорисовывается. Карочи тестить проблемно.
Но я главное чё не понял, а что ексешник обязательно должен в корне лежать???

Я делал так
...
/ID/CD.ico
/ID/xmplay.exe
/autorun.inf

Код (Text):

1. open = ID\xmplay.exe
2. icon = ID\CD.ico

не пашет
и так тоже
\ID\xmplay.exe
.\ID\xmplay.exe
..\ID\xmplay.exe
"..\ID\xmplay.exe"
\\?\ID\xmplay.exe

так темболее ID\xmplay.exe ID\xmplay.m3u

что не поддерживается?
пршлось в корень бинарь поместить вызывающий, но загадка осталась - почему?

 

кстати, если не ошибаюсь, этой заразе уже неск. лет...

 

Semiono
Так и подмазывает меня сказать что этот способ:

Код (Text):

1. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom {autorun=0x000000001}

Неправильный!
Во-первых обязательно не ControlSet001, а CurrentControlSet. В 99,99% случаев это - одно и тоже. Но вот в остальных...
Во-вторых, он отключает автозапуск только с CD/DVD-приводов. Он делает так, что после появления в сидюке нового диска, драйвер привода не сообщает об этом операционной системе (см. Cdrom). Если ты посмотришь в "Моем Компьютере", то увидишь что после вставки другого диска картинка на сидюке не меняется. А значит, файл 'autorun.inf' экплорер не открыл и не узнал оттуда путь к иконке. Правильный способ - тот, который я дал в #3 посте. Только он отключает все "автозапуски". Там есть еще ключ NoDriveTypeAutoRun, который судя по названию определяет типы отключаемых устройств. Но насчет этого ключа - я не знаю. Надо найти хорошую книгу по администрированию или реестру - и прочитать оттуда.

P.S. Удивительно - первый способ знают все, а вот мой способ... Наверное просто у первого варианта более запоминающаяся внешность.

 

AndreyMust19
> способ - тот, который я дал в #3 посте ... отключает все "автозапуски"
Если ознакомишься с NoDriveAutoRun, то будешь давать более точную информацию.

> есть еще ключ NoDriveTypeAutoRun ... насчет этого ключа - я не знаю
Информацию можно найти за секунды NoDriveTypeAutoRun.

 

AndreyMust19, благодарю! Policy - действительно часто замешан бывает и не только в этом, просто
там параметры могут быть, а могут отсутствовать, поэтому из головы вылетает, служба то всегда на месте статично
Я как-то собирал Bart's PE сидюк и плагины сам делал, так я тогда туда вписал CurrentControlSet
в плагин, в итоге глюк был фатальный
С тех пор я зделал вывод что ControlSet001 жёсче! Видимо CurrentControlSet создаётся во время
загрузки профиля... Хотя для статичной windows наверное всёж правильней его юзать, и видимо
это для секьюрности всё. Кароче я везде ControlSet001 втыкаю, пока не подводит.
Хорошо, про policy напомнил, ато у меня твиков уже я и не помню где что когда было...
offtop: я вообще All Users снёс из системы и все прочие "лишние" профили, всё переделал на мну
Пока не глючило!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-... больше никого ;-]
нелюблю многопользовательский бред в домашней системе, надо было им разделить дистрибутивы,
кому сеть, а кому единолично ось!
--
У меня такое в HKCU
NoDriveTypeAutoRun = 0x000000ff
Это nLite овские твики.

 

Да, попробовал, что сказал pr0mix - помогло. Остальное, что говорили PaCHER & twgt оказалось так - файл нашел в корзине, удалил. Такой вопрос: shellexecute в данном случае может запускать и файло с расширением .vmx?

 

Поздравляю у тебя Conficker.AA пропатчи венду

 

Он запускает rundll32.exe который подгружает длл под видом vmx файла.

 

Добрый день.
Зацепил по своей глупости эту дрянь.
Удалить его пока не как, антивирус Solo его невидит. приходиться вручную, долбить rundll. Через который он плодится.
Смотрим.
http://xmages.net/show.php/89635_770.JPG.html
Копировать себя он уже неможет, но живой ещё собака. чем лечить пока неизвестно.
Вот всё чего в принципе я добился.