Смоленский Форум

Всем привет!

Такой вопрос! У клиента стоит банк-клиент Сбера. Когда приходил спец из банка и создавал ключи доступа, на флеху залился вирус, Avast его идентифицирует как Autorun-am [Wrm].
Из за этой хни клиент не может конектится с банком.

Удаление файла autorun.inf а так же его лечение Авастом, Нодом не проходит, так как пишет что диск защищен от записи.

Есть соображения, но не знаю подействуют ли:
Попробовать грохнуть обычным антивирусом в безопасном режиме.
Попробовать грохнуть вирусяку через LiveCD Dr.Web или через LiveCD Zillye.
Попробовать инфицировать флеху с помощью PANDAUSB Vaсcine -которая могет быть перезапишет autorun.inf (маловероятно)
Попробовать запустить AVZ (нужных скриптов нет)
И накрайняк попробовать форматнуть HPUSBDisk (но пока не знаю на сколько ключ Сбера после этого будет корректно работать с файлами перезалитыми с харда)

Резюме: как удалить вирус и сделать флешку читаемой (или наоборот)

Производителя флешки можно идентифицировать только вскрыв корпус флехи, что крайне не желательно.
Может кто сталкивался с подобной проблемой.

Советы типа: попробуйте, приветствуются только как АП)

В безопасном режиме должно сработать, а вообще у меня такие вещи спокойно с помощью Cureit от DrWEb удалялись. В крайнем случае с помощью любого LifeCD должно удалиться влет. Вот тебе скрипт для AVZ для удаления авторанов, посмотри, может быть допишешь туда путь к флешке или букву нужную для флешки пропишешь, если она по другому определится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\d6fagcs8.cmd','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\d6fagcs8.cmd');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\d6fagcs8.cmd');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\d6fagcs8.cmd');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

А вообще проверь права доступа к флешке, может быть парень из сбера поставил Все папки на флешке только для чтения...

legens, скрипт попробую.

В общем, надо пробовать

Spitfire писал(а):Всем привет!
И накрайняк попробовать форматнуть HPUSBDisk (но пока не знаю на сколько ключ Сбера после этого будет корректно работать с файлами перезалитыми с харда)

А просто скопировать файлы ключевые на другую флешку и с нее работать?
Если сбер ставил BSS и криптопро, то все должно работать.

ZindigaR писал(а):

Spitfire писал(а):Всем привет!
И накрайняк попробовать форматнуть HPUSBDisk (но пока не знаю на сколько ключ Сбера после этого будет корректно работать с файлами перезалитыми с харда)

А просто скопировать файлы ключевые на другую флешку и с нее работать?
Если сбер ставил BSS и криптопро, то все должно работать.

Еще не был у клиента, но этот вариант рассматривал),однако может быть какая то привязка ID флешки к ключам, хотя не уверен.
Даже если и заработает, то с флешкой все равно что то нужно будет делать.

может быть какая то привязка ID флешки к ключам

Я такого пока не встречал у банк-клиентов.

Даже если и заработает, то с флешкой все равно что то нужно будет делать.

Отформатировать, перекинуть ключи обратно и работать дальше.

vitek36 писал(а):

может быть какая то привязка ID флешки к ключам

Я такого пока не встречал у банк-клиентов.

Даже если и заработает, то с флешкой все равно что то нужно будет делать.

Отформатировать, перекинуть ключи обратно и работать дальше.

Так в том то вся и штука, что влешка может быть только Read. Остальные действия, такие как запись и форматирование не доступны из за вирусяки.
Может сегодня буду у клиента попробую ковырнуть.

А если ее сунуть в ось отличную от windows? Или это не в тему.

У меня мандрива стоит, третьей системой, однако заказчик вряд ли даст ключ на дом)

А если live дистр типа slax'а грузануть с другой флешки и подрубить заблокированную?

Гениально :good: сам не дотумкал

Live загрузочников в каком только виде нету ... и виндусы и линуксы и флешки многие из них без проблем видят.

Хо-хо! Господа!
Вся штука в том, что действительно флеша по умолчанию в банк-клиенте (сбер) исключительно READ для простых авторизованных пользователей, однако стоит зайти в б-клиент как админ, вуаля.

Подчистил подправил. Оказалось на месте все проще, чем удаленно.

З.Ы. Клиенту говорю ну вот, все в порядке можете теперь спокойно кидать платежки в банк, вирус и его продукты жизнедеятельности) удалены, теперь ничто не сможет препятствовать корректной работе б.-клиента. А он и отвечает, да вообще то и так работало нормально, но только уж было очень страшно, что антивирус ругается :rolleyes: ..


Вот такая вот история...
Спасибо за идеи!