Троян в локальной сети

12.03.2012, 10:17. **Показов** 3640. **Ответов** 3

Author24 — интернет-сервис помощи студентам

Здравствуйте, такая проблема. По школе ходит вирус, передается через флешки - все папки на флешке становятся ярлыками и скрываются, на ней же создается папка Recycle в которой и содержится сам ехе файл вируса. Прикол в том, что др веб вирус ловит только когда явно запускаешь проверку флешки. Непутевые учителя об этом забывают и открывают ярлыки, в следствие чего на комп устанавливается вирус с руткитом D: который приходиться чистить с лайв сд. Можно ли какой-нибудь скрипт завести на компьютерах, чтобы папка с вирусом автоматически удалялась с флешки или может быть есть какие-нибудь другие способы предохраниться? честное слово задолбали.
вирус на компьютере в /%username%/AppData/Roaming/*.exe имя выглядит как 6 латинских знаков

Добавлено через 11 минут
backdoor.irc.ngrbot.42 сам вирус

@~~Katharsis~~ · 12.03.2012, 18:46

сначала пролечить всю сетку централизованно чем есть (штатный антивирь) или к примеру drweb Curenet (не бесплатная), потом:

чтобы не заражал компы при открытии флешек - команда:

Код

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f

вернуть доступ к скрытым папкам на флешках:

Код

attrib -s -h -a -r X:\* /s /d

X:\ - буква флешки

чтобы не создавал автораны и не плодился - лишить учителей админских прав, настроить нужные политики безопасности

настроить антивирь со свежими базами на скан автозапуска при старте винды. Можно и настроить запуск в песочнице антивируса всего что находится на флешках.

Сообщение от falcxn

Непутевые учителя об этом забывают и открывают ярлыки

вот с этим не согласен. Обязанность учителей - учить, а не носиться с флешками и вирьем, на это есть админ, и если он так выполняет свои обязанности, что у него в хозяйстве перманентно обитают троянцы и прочее, то учителям просто не повезло.

13.03.2012, 09:07

сетка у меня чистая, автозапуск отключен, автораны не создаются
в общем есть компы, около 50 штук, раскиданы по всему зданию, всех их сразу чистить смысла не вижу и к сетке не подключены, на компах стоит DrWeb, я уже написал как происходит заражение, после чего сканируй ,не сканируй - drweb 6 не видит нифига => никакая проверка при запуске винды не помогает...

настроить антивирь со свежими базами на скан автозапуска при старте винды. Можно и настроить запуск в песочнице антивируса всего что находится на флешках.

можно поподробней?

@~~Katharsis~~ · 13.03.2012, 12:03

Сообщение от falcxn

По школе ходит вирус

Сообщение от falcxn

сетка у меня чистая

это как?

Сообщение от falcxn

всех их сразу чистить смысла не вижу и к сетке не подключены,

читали наверное, что ваш троянец распространяется через флешки. И если у вас там заповедник непуганой живности, значит так и будет.

Сообщение от falcxn

я уже написал как происходит заражение

запускают ярлыки они допустим вручную, но если троянец получает управление - значит у учеток, под которыми он запускается есть права на запись в разделы автозапуска и прочее, соответственно рубите права пользователям

Сообщение от falcxn

можно поподробней?

веб не имеет встроенной песочницы (вроде бы), а вот comodo к примеру: http://svoi-dengi.ru/?page=comodo

Сообщение от falcxn

Можно ли какой-нибудь скрипт завести на компьютерах

можно команды удаления %username%\AppData\Roaming\*.exe и X:\*.lnk каким удобно способом прописать в автозапуск

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

falcxn
		1
	Троян в локальной сети 12.03.2012, 10:17. Показов 3640. Ответов 3 Метки нет (Все метки) Здравствуйте, такая проблема. По школе ходит вирус, передается через флешки - все папки на флешке становятся ярлыками и скрываются, на ней же создается папка Recycle в которой и содержится сам ехе файл вируса. Прикол в том, что др веб вирус ловит только когда явно запускаешь проверку флешки. Непутевые учителя об этом забывают и открывают ярлыки, в следствие чего на комп устанавливается вирус с руткитом D: который приходиться чистить с лайв сд. Можно ли какой-нибудь скрипт завести на компьютерах, чтобы папка с вирусом автоматически удалялась с флешки или может быть есть какие-нибудь другие способы предохраниться? честное слово задолбали. вирус на компьютере в /%username%/AppData/Roaming/.exe имя выглядит как 6 латинских знаков Добавлено через 11 минут* backdoor.irc.ngrbot.42 сам вирус

@~~Katharsis~~ Заблокирован
	12.03.2012, 18:46	2
	сначала пролечить всю сетку централизованно чем есть (штатный антивирь) или к примеру drweb Curenet (не бесплатная), потом: чтобы не заражал компы при открытии флешек - команда: Код reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f вернуть доступ к скрытым папкам на флешках: Код attrib -s -h -a -r X:\* /s /d X:\ - буква флешки чтобы не создавал автораны и не плодился - лишить учителей админских прав, настроить нужные политики безопасности настроить антивирь со свежими базами на скан автозапуска при старте винды. Можно и настроить запуск в песочнице антивируса всего что находится на флешках. Сообщение от falcxn Непутевые учителя об этом забывают и открывают ярлыки вот с этим не согласен. Обязанность учителей - учить, а не носиться с флешками и вирьем, на это есть админ, и если он так выполняет свои обязанности, что у него в хозяйстве перманентно обитают троянцы и прочее, то учителям просто не повезло. 0

falcxn
	13.03.2012, 09:07	3
	сетка у меня чистая, автозапуск отключен, автораны не создаются в общем есть компы, около 50 штук, раскиданы по всему зданию, всех их сразу чистить смысла не вижу и к сетке не подключены, на компах стоит DrWeb, я уже написал как происходит заражение, после чего сканируй ,не сканируй - drweb 6 не видит нифига => никакая проверка при запуске винды не помогает... настроить антивирь со свежими базами на скан автозапуска при старте винды. Можно и настроить запуск в песочнице антивируса всего что находится на флешках. можно поподробней?

@~~Katharsis~~ Заблокирован
	13.03.2012, 12:03	4
	Сообщение от falcxn По школе ходит вирус Сообщение от falcxn сетка у меня чистая это как? Сообщение от falcxn всех их сразу чистить смысла не вижу и к сетке не подключены, читали наверное, что ваш троянец распространяется через флешки. И если у вас там заповедник непуганой живности, значит так и будет. Сообщение от falcxn я уже написал как происходит заражение запускают ярлыки они допустим вручную, но если троянец получает управление - значит у учеток, под которыми он запускается есть права на запись в разделы автозапуска и прочее, соответственно рубите права пользователям Сообщение от falcxn можно поподробней? веб не имеет встроенной песочницы (вроде бы), а вот comodo к примеру: http://svoi-dengi.ru/?page=comodo Сообщение от falcxn Можно ли какой-нибудь скрипт завести на компьютерах можно команды удаления %username%\AppData\Roaming\.exe и X:\.lnk каким удобно способом прописать в автозапуск 0