ВСТУПЛЕНИЕ:
Не знаю была ли эта тема на форуме, но я нигде не смог найти и решил открыть сей топик, дабы помочь другим пользователям решить проблему с новым узбекским трояном.

НАХОЖДЕНИЕ И ОПРЕДЕЛЕНИЕ:
Троян попав на вашу флэшку делает невидимыми все ваши папки и создает вместо них пустые папки, прописав к каждой папке расширение exe.
Кроме того, он создает в вашей системе папку и прописывается в автозагрузке. Найти этот троян можно с помощью Total Commander или аналогичной программы (я использовал для этого Free Commander, который работает без установки). Ищем троян по адресу: C:\WINDOWS\system32 там находим папку XP-4CE859F1.EXE.

УДАЛЕНИЕ:
Далее, через команду msconfig идем в автозагрузку и отключаем "XP-4CE859F1" и "уууууу", потом в процессах убиваем: XP-4CE859F1.EXE и смело удаляем троян через Тотал. Перезагружаемся, система чистая.

Надеюсь, что мои советы помогут вам в борьбе с этим неприятным зверьком.:biggrin:

Узбекский троян на флэшке и борьба с ним
А почему узбекский?
По каким признакам именно такая классификация?

Дело в том, что в названии троян использует узбекские буквы, те же "уууууу" у меня были написаны узбекскими буквами. Вот один из самых основных признаков :187:
Хотя я могу и ошибаться, но порылся в интернете и в разных антивирусных форумах и нигде не нашел упоминание о данном трояне. Его спокойно пропустил на моей машине ESET Smart Security, антивирус Зайцева даже не отреагировал на него, несмотря на то, что я указал даже путь к этому трояну. На другой машине стоял Касперский, он тоже прозевал этот троян. Поэтому, я решил, что этот троян имеет узбекские корни.

Узбекский троян на флэшке и борьба с ним
А почему узбекский?
По каким признакам именно такая классификация?
в тюбетейке был?

Узбекский троян на флэшке и борьба с ним
А почему узбекский?
По каким признакам именно такая классификация?
в тюбетейке был?

Лёпёшки продавал и доллары возле обменника барыжил :naughty:

2 4ijik и Logitech
Может свои тупые и местами расистские шуточки при себе придержите!!!
Вопрос не был вам задан, а мне. Давайте не будем флеймить.

Дело в том, что в названии троян использует узбекские буквы, те же "уууууу" у меня были написаны узбекскими буквами. Вот один из самых основных признаков :187:
Хотя я могу и ошибаться, но порылся в интернете и в разных антивирусных форумах и нигде не нашел упоминание о данном трояне. Его спокойно пропустил на моей машине ESET Smart Security, антивирус Зайцева даже не отреагировал на него, несмотря на то, что я указал даже путь к этому трояну. На другой машине стоял Касперский, он тоже прозевал этот троян. Поэтому, я решил, что этот троян имеет узбекские корни.

Так и надо было Касперскому послать - они б его так и назвали бы и официальную таблетку для него выпустили бы :)

А если серьезно, то посмотрите любой системный шрифт - будете приятно удивлены, найдя ý не только в латинской, но и в кириллической кодировке и даже в ASCII (код 247).

А помните анекдот про узбекский вирус?
Который при загрузке выводит:
Здравствуйте, я узбекский вирус. Так как мой производитель не достаточно освоил методику написания вирусов, я не могу нанести никакой вред вашей системе. Поэтому, я вас очень прошу, откройте папку "мои документы", или еще какую-нибудь, и удалите какой-нибудь очень важный для вас документ. Потом наберите пожалуйста в консоли "format c:". Спасибо большое, до свидания.

тоже самое, вспомнил анекдот...

насчёт вируса, мой McAfee его уже кушал.... тоже принесли на флешке...

дабы помочь другим пользователям решить проблему

Я скопировал экземпляр этого вируса у знакомых и проверил у себя, Nod32 не распознал, отправил копию в Eset. Вчера проверил после очередного обновления. Результат положительный.
NOD32 видит этот вирус как Win32/AutoRun.FlyStudio.L червь и очишает удалением.

дабы помочь другим пользователям решить проблему

Я скопировал экземпляр этого вируса у знакомых и проверил у себя, Nod32 не распознал, отправил копию в Eset. Вчера проверил после очередного обновления. Результат положительный.
NOD32 видит этот вирус как Win32/AutoRun.FlyStudio.L червь и очишает удалением. Я вчера как удалил этот вирус. Но папки он не стирал по крайней мере на жестком диске. Удалил его еле-еле, он в системник записывается и после удаления но сразу перезапустить машину.

Какое может быть вообще доверие к NOD32?

Какое может быть вообще доверие к NOD32?
Какие Ваши доказательства? (с)

Какое может быть вообще доверие к NOD32?
Какие Ваши доказательства? (с)

Да хотя бы по http://www.antivirus.ru/AntiVirPS.html этой статистике :)

Да хотя бы по http://www.antivirus.ru/AntiVirPS.html этой статистике
Субъективные данные какой-то неизвестной лаборатории, не подкреплённые никакой официальной статистикой. Так и я могу.

Субъективные данные какой-то неизвестной лаборатории, не подкреплённые никакой официальной статистикой. Так и я могу.


Да вот допустим
У меня сейчас нод работает вроде хорошо,т.е. регулярно обновляется по 2-3 раза на день

или

Я тоже раньше парился с этими пиратскими взломами, потом достало и купил, тока у меня Eset smart scuirity для 64битовых ОС, лицензия на год стоит примерно 75 долларов, зато теперь непарюсь и все ок, и не так уж и ето дорого для такова хорошева антивируса.

P.S. относится ко всем бесплатным антивирусам...:187:

А почему узбекский?
По каким признакам именно такая классификация?
в тюбетейке был?

Лёпёшки продавал и доллары возле обменника барыжил :naughty:

:shok: там было написано следующее: Трафиствюуйтэ! Я узьбекский вирюс. Па причин ужасный бэдность моей создателя и низкий уровин развитиё технология наша страна я не способин причинять какая-либа уред Ваш компютыр. Патаму очина прашю Уас, пажальста, сами сатрите какая-нибут важная для Уас файл, а патом разашлиты миня па почта другой адриса. Зарания благадарин за паниманий и сатрудничийсва
:worship8nz:

там было написано следующее: Трафиствюуйтэ! Я узьбекский вирюс. Па причин ужасный бэдность моей создателя и низкий уровин развитиё технология наша страна я не способин причинять какая-либа уред Ваш компютыр. Патаму очина прашю Уас, пажальста, сами сатрите какая-нибут важная для Уас файл, а патом разашлиты миня па почта другой адриса. Зарания благадарин за паниманий и сатрудничийсва

олбонский палучаитса тагда

Подтверждаю. NOD32 обновляю систематически, он уже месяц как "научился" видеть и удалять этот вирус

ВСТУПЛЕНИЕ:
Не знаю была ли эта тема на форуме, но я нигде не смог найти и решил открыть сей топик, дабы помочь другим пользователям решить проблему с новым узбекским трояном.

НАХОЖДЕНИЕ И ОПРЕДЕЛЕНИЕ:
Троян попав на вашу флэшку делает невидимыми все ваши папки и создает вместо них пустые папки, прописав к каждой папке расширение exe.
Кроме того, он создает в вашей системе папку и прописывается в автозагрузке. Найти этот троян можно с помощью Total Commander или аналогичной программы (я использовал для этого Free Commander, который работает без установки). Ищем троян по адресу: C:\WINDOWS\system32 там находим папку XP-4CE859F1.EXE.

УДАЛЕНИЕ:
Далее, через команду msconfig идем в автозагрузку и отключаем "XP-4CE859F1" и "уууууу", потом в процессах убиваем: XP-4CE859F1.EXE и смело удаляем троян через Тотал. Перезагружаемся, система чистая.

Надеюсь, что мои советы помогут вам в борьбе с этим неприятным зверьком.:biggrin:

Вставлю и свои 5 копеек, теперь уже как совет Вам :)
Если флешка не будет использоваться в старых системах типа win ME (98, ect) - обычно такие ОС не понимают NTFS, проще всего прописать пустой autorun.bat в корне флешки, конвертнуть файловую систему из fat32 в NTFS (convert _ваша флешка_ /fs:ntfs - например convert I: /fs:ntfs ) и соотвественно в правилах безопасности запретить права на запись данного файла всем, кроме вас.
Такое "банальное" решение позволяет не беспокоиться больше за флешку - никто кроме Вас не сможет прописать туда вирусов :)
Лично я пошел дальше - свою системную флешку вообще залочил от записи с других компов кроме своего.
Удачи.

пустой autorun.bat в корне флешки
скорее autorun.inf...

Какую вы все жуть пишете... Ф не проще отключить запуск и просто смотреть глазками на то, что запускаешь? Еще можно установить линукс или ходить только через тотал-коммандер.... можно юзать альтернативный десктоп вроде litestep... А еще можно юзать мак.

Еще можно вообще не использовать флешку. А что? Старые дискеты никто еще не отменял ... Хотя они тоже влекут за собой вирняки, но.. зато звук от дисковода классный!

Ребята - где наш классный журнал?
Вовочка: Да что там классного. Вот Плейбой - классный журнал!

Ну... про тюбетейку и обменник я не знаю! Но все долго посмеялись!

А если по теме, гляньте судя: http://www.virscan.org/
И попробуйте Нашего первого.... ;)

скорее autorun.inf...

Оффтоп:
Какую вы все жуть пишете... Ф не проще отключить запуск и просто смотреть глазками на то, что запускаешь? Еще можно установить линукс или ходить только через тотал-коммандер.... можно юзать альтернативный десктоп вроде litestep... А еще можно юзать мак.
по поводу inf - согласен, а по поводу чуши.... приходите вы на чужую машинку - и начинаете... танцы с бубном.... а флешка она и на то флешка что фтыкать ее приходится куда угодно и к сожалению, "презервативы" для них были раньше в виде переключателя read only, а сейчас их почти нет ни у кого. Или на сой комп всегда бежать - проверять\чистить флешку ?

скорее autorun.inf...

Оффтоп:
Какую вы все жуть пишете... Ф не проще отключить запуск и просто смотреть глазками на то, что запускаешь? Еще можно установить линукс или ходить только через тотал-коммандер.... можно юзать альтернативный десктоп вроде litestep... А еще можно юзать мак.
по поводу inf - согласен, а по поводу чуши.... приходите вы на чужую машинку - и начинаете... танцы с бубном.... а флешка она и на то флешка что фтыкать ее приходится куда угодно и к сожалению, "презервативы" для них были раньше в виде переключателя read only, а сейчас их почти нет ни у кого. Или на сой комп всегда бежать - проверять\чистить флешку ?

А что, если просто зажимать клавишу Shift,чтоб не было загрузки autorun? Или на чужих машинах нет такой клавиши? :naughty:

по поводу inf - согласен, а по поводу чуши.... приходите вы на чужую машинку - и начинаете... танцы с бубном.... а флешка она и на то флешка что фтыкать ее приходится куда угодно и к сожалению, "презервативы" для них были раньше в виде переключателя read only, а сейчас их почти нет ни у кого. Или на сой комп всегда бежать - проверять\чистить флешку ?

Имхо, достаточно капитально отключить автозапуск на своем компьютере, и можно смело подключать флешку к чужим компам буде на то нужда. На своем потом просто вычистить. Слава богу, документы уже много лет не заражают, а все остальное реально лечится удалением. Главное чтобы у себя не запускалось.

Если установить KB950582 от Майкрософта, и после этого отключить через локальную политику автозапуск, то смело можно открывать флешки даже даблкликом, автозапуска не будет даже в списке опций по правой кнопке мыши.

Имхо, достаточно капитально отключить автозапуск на своем компьютере, и можно смело подключать флешку к чужим компам буде на то нужда. На своем потом просто вычистить. Слава богу, документы уже много лет не заражают, а все остальное реально лечится удалением. Главное чтобы у себя не запускалось.
Да именно за свой комп я меньше всего переживаю, просто по роду деятельности мне с флешкой целый день приходится постоянно работать - то в один комп, то в другой, на ней у меня сервисные утилиты. Так что главное для меня, чтобы не у меня, а у других не запускалось.
Если после ухода инжинера IT у пользователя появляются вирусы - то кто-ж ему будет платить зарплату ?
Или представте себе ситуацию - на чужом компе без А\В заразились, на своем не успели прогнать флешку, воткнули во второй комп - а там А\В орет что у вас вири - как потом, рассказывать людям что ты не специально и прочее ?
Вот имеено про такие качели я и говорил в прошлом посте, думаю кто сталкивался с подобными ситуациями - тот поймет. А у себя, на своей машине, каждый может изголяться как хочет. Мне лично достаточно просто касперского с включеным анализом активности.
и в офтоп еще - насчет вирей и документы - недавно столкнулся с убитой вирусами виндой на ноуте с ntfs шифрованием документов. Документы были целые, но пользователь снес винду и пытался поставить снова - ессно были проблемы.

Тоже столкнулся с подобной проблемой: на флешке пропали все каталоги (или директории, если помните, так раньше папки называли), вместо них появились "папка.ехе", показ скрытых файлов ничего не дает, равно как и просмотр в ТоталКоммандере - просто не видно папок и все, хотя в свойствах флешки показывает, что данные там есть. Размер всех "папка.ехе" примерно 392 кб.
Прогон Нод32 с последней на сегодняшний день базой ничего не дает - тупо говорит, что нет вирусов, причем сканирует он только те "папка.ехе", а не 4ГБ файлов имеющихся в суперскрытых папках ))

Интересно, что предложенный на форуме вариант с "antiautoran.bat", который создает неудаляемую папку "autorun.inf" - не сработал, ибо вместо нее появился файл "autorun.inf.exe" )))

В инете нашел простое и рабочее решение, в комментариях к посту (http://adminxp.ru/na-fleshke-propali-vse-papki/):
Ратмир:
18.12.2010 в 6:08 пп

проблема решена!!!
Например. Если ваша флешка имеет букву «E», тогда процесс выглядит так:

Пуск -> Выполнить -> cmd -> OK

Далее в черном окошке необходимо поочередно вводить команды, после каждой команды нажимая клавишу Enter:

1) e:

2) dir /x

Первая команда делает диск Е активным. Если буква носителя отличается, вместо Е перед двоеточием указывайте вашу букву.

Вторая команда отображает список папок и файлов на носителе. Если в списке присутствует E2E2~1, выполните команду, которая переименует папку:

3) ren E2E2~1 NewFolder

После этого в проводнике должна появиться папка NewFolder. Вместо NewFolder можете указать другое название папки, по желанию.

Может кому интересно..

Чтобы вас вирусы с флешек не мучали, надо отключать автозапуск с флешек:
1. Пуск -> Выполнить -> gpedit.msc
Открывается груповая политика, в ней:

2. Переходим в Computer configuration -> Administrative templates -> System
Жмем на "Turn off Autoplay"

3. В нем говорим "Enabled" для "All drives"

Тоже столкнулся с подобной проблемой
Этот Вирус не новый. Когда я первый раз встретился вирусом.. (где то 3 месяца назад) в течение 2 минуты восстановил все без проблем. Интересно одно, что многие еще не знают ответ.. И применяют разные Рековире программы..
Прогон Нод32
У нас форуме есть такая тема, на счет Антивирусов. Там все уверяют что НОД32 это круче. После этой вируса, 99% знакомые и знакомые знакомых перешли в КИС..

Поделюсь своим опытом. Троян копировался на флешку под видом папок с расширением ехе Антивируса с новыми базами у меня не было.
Ручное удаление образовавшихся файлов не помогало. Просмотрел Диспечер задач. Нашел процесс :services.exe
Просмотрел автозапуск и список процессов. Там не было этого процесса. Пришлось через regedit его следы подчищать

Пуск -> Выполнить -> cmd -> OK Далее в черном окошке необходимо поочередно вводить команды, после каждой команды нажимая клавишу Enter: 1) e: 2) dir /x Первая команда делает диск Е активным. Если буква носителя отличается, вместо Е перед двоеточием указывайте вашу букву. Вторая команда отображает список папок и файлов на носителе. Если в списке присутствует E2E2~1, выполните команду, которая переименует папку: 3) ren E2E2~1 NewFolderА еще святой водой окропить можно.. с примерно тем-же успехом.

У нас форуме есть такая тема, на счет Антивирусов. Там все уверяют что НОД32 это круче. После этой вируса, 99% знакомые и знакомые знакомых перешли в КИС.. при включенной в винде "автозагрузки" с флешки, не спасут ни НОД ни КИС ни молитвы.

Нашел процесс :services.exe Просмотрел автозапуск и список процессов. Там не было этого процесса. Пришлось через regedit его следы подчищать Из "Windows\System32" не забудте удалить. Что-б уж наверняка.

ни КИС
DarkUser, Вы когда последнюю версию КИС использовали?..

ни КИС
DarkUser, Вы когда последнюю версию КИС использовали?..
А вы когда нить хард святой водой окраплять не пробывали? Мне вот батюшка посоветовал, так теперь никакие вирусы не берут. АМИНЬ.

Мне вот батюшка посоветовал, так теперь никакие вирусы не берут. АМИНЬ.
А мой папа умер :(

А мой папа умер
Мой тоже, когда мне было 10. Потому хожу за мудрыми советами в церковный приход к тамошнему батюшке.

А еще святой водой окропить можно
Не хочется уходить в оффтоп, но мне ребята в НБУ лет 10 назад рассказывали как ездили в область потому что у них сервак (комп который под сервак сделан наверное) полетел подряд раза три и как они ужаснулись увидев там капли крови - оказывается мулла приходил и петуха резали возле компа :) Может байки, но рассказывали и клялись что было в одном из областных филиалов.

Я только не понял почему узбекский троян? Из за буквы Ў что ли, так как я понял последствия кода (ну типа когда набираешь Alt и цифровой код). А чтобы на заразиться нужно Касперского обновлять вовремя, а вот если уже вирус сидит в компе то касперский не вылечит, придется чуть чуть пошаманить, и не забыть из реестра почистить. А так помню года 4 или 5 назад этот вирус так затормозил компы в сети, что ходили сами и чистили с помощью ProcessExplorer и RegistryEditor.

DarkUser, Вы когда последнюю версию КИС использовали?..нет, как и предпоследнюю и пред-предпоследнюю... а что, это обязательное условие отсутствия вирусов на компе?

Вот касперский установите и обновление каждый день зделайте проблема не будеть сейчас у меня градус выше измениния за оибки граматику

нет, как и предпоследнюю и пред-предпоследнюю... а что, это обязательное условие отсутствия вирусов на компе?
Нет.
при включенной в винде "автозагрузки" с флешки,
При включение флешки, КИС автоматически блокирует autorun.inf с предлагает очистит флешку от вирусов.
А вы
Я не РУССКИЙ.. Так что шутка не по теме..
петуха резали возле компа
Выдал я таких в Японии, когда люди приходили к Монахам.. что бы они...

А мой папа умер Мой тоже:cray:

Я не РУССКИЙ.. Так что шутка не по теме..<br />
Я тоже не РУССКИЙ.

При включение флешки, КИС автоматически блокирует autorun.inf с предлагает очистит флешку от вирусов.
После этой вируса, 99% знакомые и знакомые знакомых перешли в КИС.. Ну блин, а что-ж не на Линукс тогда сразу-ж?
Ничего, в принципе, против КИС не имею (ну кроме того, что он половину системных ресурсов на себя перетягивает), но есть-же более простые и дешевые решения (это я про отключение автозапуска, а не про Линукс)

что он половину системных ресурсов на себя перетягивает
Это уже история. Почему так сложно забыт старую сказку? Знаю, тогда он жрал все что есть у компьютера. А вот последние версии каспера вообще стали не есть..
это я про отключение автозапуска
Объяснит нашим пользователям что такое отключение автозапуска = заново открытие Америки..

а я перешел на usb guard вернее не перешел а добавил . и никаких проблем и вообще, он не опасен если сразу нагло не тыкать на флэшку и пытаться ее открыть ! вставили , проверили антитварьювирусом и все ништяк!

M$ выпустили обновление доступное через Windows Update которое отключает авторан с флешек(это для массовости охвата).
А лично я на всех своих флешках(внешних дисках и т.д., и т.п.) создаю фаил autorun.inf и удаляю все ntfs разрешения. все фаил не читаем, не удаляем...
А еще если при вставке любого накопителя можно зажать клавишу шифт и авторан не будет выполняться. У самого стоит MSE бесплатный антивирус от МС, всем доволен)

У самого стоит MSE бесплатный антивирус от МС, всем доволен)
Где его взять ??

создаю фаил autorun.inf и удаляю все ntfs разрешения.А чё, у вас флешка форматируется в НТФС ??

Угу, форматируется. Тут (http://www.microsoft.com/security_essentials/default.aspx?mkt=ru-ru) можно скачать MSE. Ставится только на лицензионную винду или, что лично я не рекомендую, на грамотно крякнутую винду.

https://img.uforum.uz/images/imfqztu7249235.jpg

А чё, у вас флешка форматируется в НТФС ??
Это же не новинка...

Кроме того, он создает в вашей системе папку и прописывается в автозагрузке
У меня была аналогичная проблема, только было еще хуже. Вирус добавляет в автозагрузку линк Microsft Update.lnk который сылается на "C:/mso.sys"(который даже в безопасном режиме не удаляется). Но этому сволочу мало, так он еще и создаёт и на диске C линк "RECYCLER.lnk" который тоже ссылается на системный файл "C:/mso.sys". Еле избавился: В безопасном режиме вырубил их всех из автозагрузки. Затем главное, написал на Visual Basic'е две строки:
kill "c:/recycler.lnk"
mkdir "C:/recycler.lnk"

и все, он создает на диске "С" папку "recycler.lnk" которая не даёт создаться файлу "recycler.lnk"

Затем главное, написал на Visual Basic'е две строки:
kill "c:/recycler.lnk"
mkdir "C:/recycler.lnk"

и все, он создает на диске "С" папку "recycler.lnk" которая не даёт создаться файлу "recycler.lnk"

Visual Basic то зачем? Или мы не ищем легких путей? :)

Кстати, один из самый простых и действенных способов противодействия вирусам, записывающимся на флешки и тд. - это создать в корне устройства ПАПКУ с именем AUTORUN.INF (регистр роли не играет). И тогда сама ОС не дает вирусам создать файл AUTORUN.INF, от тела вируса это не спасет конечно, но автозапуск будет невозможен, а нет автозапуска, нет и проблем

Visual Basic то зачем? Или мы не ищем легких путей? Ну просто для меня это удобней. Когда удаляешь вирус, то он через секунд пять появляется снова и иногда не успеваешь создать папку с именем вируса. А так удобно, можно даже добавить текстовое поле, куда если что вписывать имя вируса и программа сама его стерет.

Visual Basic то зачем? Или мы не ищем легких путей? Ну просто для меня это удобней. Когда удаляешь вирус, то он через секунд пять появляется снова и иногда не успеваешь создать папку с именем вируса. А так удобно, можно даже добавить текстовое поле, куда если что вписывать имя вируса и программа сама его стерет.

А чем .bat файлы провинились?

Машина завирусована что ль?

Машина завирусована что ль?

Не, машина наверное в сети с расшаренными ресурсами ;).

по теме. Давно сижу на винде7 в сети, без антивируса но с апдейтами. Авторан включен. Чего то нет вирусов совсем. Молодцы все таки МС, постарались в этот раз.

по теме. Давно сижу на винде7 в сети, без антивируса но с апдейтами. Авторан включен. Чего то нет вирусов совсем. Молодцы все таки МС, постарались в этот раз. У сотрудника, на работе, где-то с месяц назад, умерла от вируса семерка... Апдейты тоже включены были, антивирус какой-то стоял... так-что раз на раз...

Давно сижу на винде7 в сети, без антивируса но с апдейтами.
Как не кошерно-то, еще и на ИТ-форуме об этом писать ;)

Пора уже всем перейти на Линь-Бсде платформы и забыть про вирусы.

Надо под админом в винде не сидеть, и тогда никакие линухи и вирусы будут не страшны.