| Как бороться с червями на флеш-дисководах и картах памяти |
[Aug. 4th, 2008|10:18 pm] |
 Последовательность борьбы с червями долгая, но простая:
1. Убить руками в Task Manager процесс RavMone.exe
2. Найти RavMone.exe, AVP.exe на всех дисках и стереть (у меня они лежали прямо в стартменю-стартапе, искать было нечего).
3. CTFMON мимикрирует под системный файл MS Office (языковую панельку). Для этого надо сперва найти законный ctfmon.exe и его не трогать, а все левые такие ж exe-шники прибить.
4. Стереть в windows/prefetch файлы автозапуска RavMone и CTFMON
Фаза 2.
5. SAFEBOOT (можно через msconfig)
6. Убить в регистре все-все ключи с упоминанием этих файлов. Особенно проверьте HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg - там записи программ, которые будут заново вноситься в реестр на запуске.
7. Не открывая explorer, зайти командной строкой на все флешки и все карты памяти. Делать так:
a) menu-run
b) cmd
c) h: (или та драйв-буква, где у вас съемные носители)
d) dir /ah
Увидите
Recycled
autorun.inf
ctfmon.exe
ravmone.exe
info2
и еще какую-то скрытую хрень.
e) del *.* /f /ah
Стереть надо все, и все содержимое Recycled тоже. Это не законная системная директория, это хранилище троянов, замаскированное под нее.
Повторите процедуру d)-e) и на всех имеющихся в системе жестких дисках.
!! Внимание! Будьте предельно аккуратны на диске С - там много важных системных файлов. IO.SYS, MSDOS.SYS, BOOT.INI, PAGEFILE.SYS, NTUSER.* - все они законные. Руками не трогать, команду запускать в виде del *.* /p /f /ah - чтобы вы получили запрос на подтверждение удаления каждого из файлов и на эти имена смогли ответить "нет" /!!
8. Откройте msconfig и сотрите все стартовые ключи для троянов.
9. Нормальная перезагрузка.
Все, система здорова.
Сложнее было предотвратить опасность заражения. Дело в том, что заражение происходит так. Когда флешка или карта памяти вставляются в гнездо, то при первом открытии их Windows Explorer автоматически проигрывается файл autorun.inf - который и исполняет все трояны, заражая систему. Отключение AutoPlay не поможет - ведь рано или поздно флешку все равно открывать надо будет. Долго я искал способ - и наконец нашел! Вот здесь http://nick.brown.free.fr/blog/2007/10/memory-stick-wormsумелец пишет, что надо перенаправить имя autorun.inf показывать на несуществующий файл. Тогда перестанут, правда, сами играться компакт-диски с играми и разными промушенами, открывая стартовую заставку - но что мы их, ручками не запустим?
Делается это так:
1. Откройте notepad ("блокнот" в русских виндах).
2. Скопируйте туда текст:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
3. Сохраните файл как NOAUTRUN.REG
4. Закройте notepad и запустите NOAUTRUN.REG , что добавит в реестр описанный в нем ключ.
К сожалению, в LJ нет файлопомойки, а то б я мог туда этот файлик просто для вас положить. Закачал и закрыл калитку для червей. by ammosov |
|
|
