# Андеграунд > Андеграунд >  Вирусня на флешках ... кто какую видел ...

## vip.life

Какая защита кроме антивира есть ? 
и что з авирус Равмон ?

RavMonE.exe ...И что ето такое? на всех флешкак что комне попадали аваст ловит... при удалении перезаписываются вновь ..

плюс етот файлик msvcr71.dll

----------


## Steel Rat

то же самое, каспер 7.0.0.125 прибивает его исправно

----------


## vip.life

=) ок , попробую )) а ето н асамом компе иль на флехе корень?

----------


## Steel Rat

мне думается что на компе... флешка чисто как транспорт

----------


## LizzzzarD

RavMonE.exe типичный для Дальнего Востока VBS вирус привозится на флешках из Китая. В первой версии просто создавал в корнях разделов свои файлы. чтобы полечиться достаточно было из-под Total Comander-а или нечто подобное пройтись по разделам и удалть его файлы сейчас эта хрень создаёт еще несколько файлов в винде и прописывает ключ в реестре. пути точно не помню, как посмотрю отпишу

----------


## vip.life

> RavMonE.exe типичный для Дальнего Востока VBS вирус привозится на флешках из Китая. В первой версии просто создавал в корнях разделов свои файлы. чтобы полечиться достаточно было из-под Total Comander-а или нечто подобное пройтись по разделам и удалть его файлы сейчас эта хрень создаёт еще несколько файлов в винде и прописывает ключ в реестре. пути точно не помню, как посмотрю отпишу


ок =) спасибо за инфо ) а в винде нашол, сидит в папке виндовс, с безопасного удалил... )

----------


## L_ninyo

Заметил что Nod отлавливает такой вирусняк очень посредственно и как-то через раз. На предприятии, на котором я работаю большенство мобильных носителей сотрудников заражено подобным вирусом - никакие методы борьбы не помогают - кроме радикальных - запретить мобильные носители. Распространяется эта зараза очень быстро и локализовать его пока не получается. Вирус по моим наблюдениям не опасен.

----------


## LizzzzarD

Любой антивирус будет отлавливать этот вирусяк посредственно. Потому как это не вирус в чистом виде, а сценарий Vbs. Удалять его необходимо ручками. Это самое надежное. Он не опасен, но как трипер - жутко неприятен. А предложенное решение проблемы с сотрудниками самое простое, но при этом возникает куча траблов организационного характера.

Кстати за выходные наткнулся на новую версию. Умельцы, по слухам, учащиеся в одном из вузов нашего города, догадались прилепить к RavMon весьма неприятную заразу в народе называемую Пенитратор (Данный сценарий заменяет собой текстовые файлы и файлы изображений). Один из помогающих способов противодействия - запрет выполнения VBS, VBE, JAVA сценариев при помощи программы XPAntispy

----------


## vip.life

Вирусня опять засела, антивир видит но неможет удалить..... закрыт доступ..  с безопаски удалил на винде, а он с флехи опять прыгнул...

----------


## ixpict

первое что нужно сделать это отключить автозапуск!
http://forum.ixbt.com/topic.cgi?id=22:63213

далее включить на антивирусе автоматическую проверку сьемных дисков :)

----------


## sanitarium

Был в командировке на крупном предприятии...
мой бук заразили вирем... с флешки..я долго ржал над тамошними программерами )))
программеры чесали репы... говорили что это скрипт а не вирус...
короче я вам так скажу... некоторые виды лечутся НОДом и неплохо...) причём мгновенно а не через раз..)) а некоторые неполностью...так как имеют несколько файлов в наличии.. некоторые воще не вирусы а сценарии...  а многие вообще умеют только размножаться...)

----------


## split

Короче качаем AVZ(http://z-oleg.com/avz4.zip). Обновляем базу.
Запускаем мастер поиска и устранения проблем и запрещаем авозапуск со сменных носителей и HDD. Без авторана с флешек компы не будут заражаца. Потом тупо удаляем файлы червя из корня флешки и с жосткого. Можно ещё с помощью него просканить комп для верности)

----------


## mjach

я не понимаю, что мешает конвертить флэшку в нтфс и обрабить права на корень всему чему только можно+)
проблем становиться сильно меньше)

----------


## kelvin

А я 
game.exe и autorun.inf 
подцепил где-то..
каким-то образом сама себя восстанавливает..
но вроде не очень вредный.

----------


## kalinov

Качайте - Уничтожение Autorun.inf.rar Прога находит вирусы с автозапуском и убивает их, как только вы вставляете флешку.

----------


## cj512

Обычно такой вирус сидит в ОП компа сразу до загрузки антивируса, т.е. распространяет свой код с памяти на другие носители. 
Нужно удалить все ключи загрузки из реестра и в софт-режиме проверить комп AVZ + Cureit. Ну и запретить автозапуск со всех носителей )

----------


## setyanin

Есть svchost.exe маскируется под реальный процес, но копирует себя в папку с:/windows. Оригинальный svchost.exe лежит в папке с:/windows/system32/. Прячется до начала заражения в корзине, а из корзины извлекается файлом autorun.inf. Так как файл скрытый и системный, как и сама корзина - визуально обнаруживается не на всех машинах. Антивирусы практически все обнаруживают его успешно. Реально этот вирь блокирует виндовс и ждёт с вашей стороны отправки смс.

----------


## Slater

> блокирует виндовс и ждёт с вашей стороны отправки смс.


Через любой lifeCD открывайте редактор реестра, находите ветку:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

Значение параметра Shell должно быть explorer.exe (и никак по другому)

Кстати, после нормальной перезагрузки, необходимо проверить всю систему обновленным антивирусом, особенно обращая внимание на папки:
1) C:\Documents and Settings\%username%\Local Settings\ - там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ - из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, ...)
В 99% случаев это помогает без переустановки ОС;) и тем более без отправок смс!!!

Успехов всем!

----------

