пн - 9.00 - 18.00

вт - 9.00 - 18.00

ср - 9.00 - 18.00

чт - 9.00 - 18.00

пт - 9.00 - 18.00

сб - выходной

вс - выходной

обед 13.00 - 14.00

   



Последние статьи
Хиты

Вам не нравится RSS?

Подпишитесь на рассылку по e-mail и Вы будете первыми узнавать о появлении новых статей на сайте pcservice24.ru


Введите Ваш e-mail:

FeedBurner

Конфиденциальность гарантирую, никакой рекламы, от рассылки можно отказаться.


Последние файлы

Десять самых скачиваемых файлов


Последние видеоуроки
Последние инструкции

Календарь праздников от
Calend.Ru

Праздники России

Прогноз погоды от Яндекс.Погода

Яндекс.Погода

Курс валют от
RosInvest.Com

Информеры - курсы валют

TOP-10 вирусов от
Kaspersky Lab





Экспресс анализ сайта
Добавить в избранное Сделать стартовой Написать письмо Подписаться на рассылку Подписчики
Вы находитесь на странице "Как удалить вирус «AUTORUN»?"
 
На главную

главная статьи
   
о нас FAQ
   
услуги инструкции
   
контакты скачать
   
вакансии видеоуроки
   
о рекламе объявления
   
гостевая ссылки
   
разработки форум

 

 

Как удалить вирус «AUTORUN»?

Автор: Василий Седых

Дата: 2010-02-27

Также Вы можете прочитать схожие статьи: «Что делать без антивируса, когда он так необходим?», «Как избавиться от вирусов с помощью одноразовых антивирусов».

Цель данной статьи показать Вам некоторые способы, направленные на выявление и уничтожение вирусов типа «Autorun», то, с чего нужно начинать и в каком направлении двигаться. Я укажу Вам только направление, а дорогу осилит идущий. Вирусов, которые запускает/запустит пресловутый «Autorun», уже написано большое количество и предусмотреть всевозможные варианты лечения компьютера от них просто не представляется возможным, приходится «ориентироваться на местности», но все попытки начинаются именного с того, о чем пойдет речь в моей статье.

Каждые 10-ть минут к нам в офис приходят Клиенты с «флешками» и так же стабильно через одну, наш Антивирус Касперского обнаруживает и удаляет на них вирусы. Нам везет и такого, чтобы Касперский пропустил вирус, в нашем офисе пока не было, а может быть деструктивная деятельность вируса еще не была замечена, что мало вероятно. Так или иначе, все компьютеры у нас работают без нареканий, и я делаю вывод, что нас спасает антивирус, мы постоянно его обновляем и особых проблем пока не испытывали.

Также мы обратили внимание, что Клиенты, посредством своих флеш накопителей, сами того не предполагая, чаще всего норовят «наградить» наши компьютеры вирусом под названием «Autorun». К слову, флешки не единственное «место обитания» подобных программ. Данный вирус обязательно проникнет на жесткие диски компьютера и успешно запустится при входе на них.

Autorun-вирусы – это вирусы, записывающие себя на флешку (или другое внешнее устройство) и заражающие компьютер пользователя при заходе последнего на флешку через Проводник (Explorer), не путать с Internet Explorer.

Вирус записывает себя на флешку в паре с файлом «autorun.inf». В файле «autorun.inf» указывается, что вирус необходимо запустить при двойном клике на флешке в Проводнике и/или при вставке флешки в компьютер, если автозапуск для сменных устройств (флешки, CD-DVD-приводы) не был отключен.

Т.е. сам по себе файл «autorun.inf» это системный файл, лежащий в корне флэшки или CD-DVD-диска и указывающий Windows, какие программы нужно запускать автоматически при подключении носителя и/или входе на него.

Приведу пример файла «autorun.inf»:

[autorun]
open=atisetup.exe
ICON=Atisetup.ico
shell\launch\command=atisetup.exe
shell\launch=ATI Setup

Когда к Вам на компьютер попадает вирус «Autorun» от создает от 4 до 13 файлов маски «autorun.*»…

Autorun.~ex
autorun.bat
autorun.bin
Autorun.exe
Autorun.ico
AUTORUN.INF
autorun.inf
Autorun.ini
autorun.reg
autorun.srm
autorun.txt
autorun.vbs
autorun.wsh

…в корневых каталогах разделов жесткого диска («C», «D» и т.д.), а также в папке «Windows/System32».

Кроме того, файлы вируса и файл «autorun.inf» скрытые, их не видно в стандартном Проводнике Windows по умолчанию. Но и тут, казалось бы, в чем собственно проблема, открываем «Панель управления» -> «Свойствах папки», снимаем галку «Скрывать защищенные системные файлы», переключатель «Скрытые файлы и папки» переключаем в положение «Показывать скрытый файлы и папки» и все. Вирус больше не скрыт, находим его и удаляем. Боюсь Вас расстроить, сразу после первого запуска вируса, такая возможность становится, чаще всего, недоступной. Т.е. нажав кнопку «ОК», после вышеописанных процедур, не произойдет ровным счетом ничего, а открыв «Свойства папки» повторно, Вы огорчитесь, увидев старую картину, все галки и переключатели вернутся на прежнее место. Кроме того, даже увидев эти файлы и удалив их, вероятнее всего, что через несколько секунд они вернутся к Вам обратно, т.к. вирус работает и отслеживает состояние флешек и дисков и поспешит вернуть удаленных «братьев» сразу же после удаления.

На этом покончим с теорией, от нее не так много проку и перейдем к активным действиям, как пел один популярный музыкант: «Что будут стоить тысячи слов, когда важна будет крепость руки» (В. Цой), так поступим и мы, и для начала обнаружим врага, а точнее убедимся, что он где-то рядом.

Итак, если по двойному щелчку мышки флешка не открывается, и появляется сообщение об ошибке, что ее невозможно открыть, т.к. отсутствует какой-либо файл, то предстоит удаление вирусов. В контекстном меню флешки (по нажатию правой кнопки мыши на ней), при этом вместо привычных пунктов «Открыть», «Проводник» появляется многообещающая строка типа «ґтїЄ(O), ЧКФґ№ЬАнЖч(X)» или вполне здравомыслящее «Open» :)

Способ узнать есть ли нечто подозрительное на жестком диске компьютера также очень прост и фактически ничем не отличается от вышеприведенного. Так, если мы хотим определить, например, наличие вируса на диске «С», то открываем «Мой компьютер», наводим курсор мышки на диск «С» и щелкаем правой кнопкой мыши по нему. Откроется контекстное меню. Если первым сверху будет пункт «Открыть», то все нормально, но если там находится какая-то абракадабра, Вам опять-таки предстоит сводить счеты с вирусом.

Т.е. проблема появления вышеописанных вирусов заключается в том, что при поселении их на жестком диске компьютера становится невозможным открытие локальных дисков и флеш накопителя простым двойным щелчком, т.к. таким образом, Вы будете запускать вирус. Согласитесь, мелочь, а бесит…:)

Чтобы попросту не сотрясать воздух, я сейчас поищу в интернете какой-нибудь ужасный вирус, запущу его на своем компьютере и на моем примере, мы попытаемся от него избавиться различными способами.

Хорошо, что я не сотрудник какой-нибудь секретной научной лаборатории, занимающейся разработкой химического или биологического оружия, а то я бы сейчас попробовал… :)

Слава интернету, долго искать не пришлось, вот он:

 

 

Кстати, посмотрим на реакцию Касперского, распакуем этого мерзавчика (я имею в виду вирус :) на рабочий стол и подождем…

 

Реакция Касперского последовала незамедлительно:

 

 

 

 

Итак, на этом этапе Касперского можно выключить, чтобы он не мешался и рассмотреть некоторые возможные способы избавления от непрошенного гостя (в моем случае «прошенного») без полноценного антивируса. Все, закрываю Касперского, возвращаю вирус на место.

«Воткнули» флешку, поработали, все нормально. Теперь извлечем, поставим обратно и посмотрим на реакцию и пункты меню:

 

Иконка внешне поменялась, какой ужас :) Выбрав пункт меню «Open» ничего не открывается, но это только визуально :) На самом деле, этим нажатием мы запускаем на исполнение вирус «cfmon.exe» (backdoor.win32.ircbot.gcz), который тихонько «лежит» в папочке «RECYCLER». Этот же пункт срабатывает по умолчанию при вставке флешки в компьютер.

«…
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\cfmon.exe
shell\open\default=1

Исполнительный файл вируса по наименованию, очень похож на «нормальный» файл ctfmon.exe, который является программой производящей мониторинг активных окон и предоставляющей поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных.

Информация с сайта securelist.com

«Backdoor»

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Теперь попробуем сделать скрытые/системные файлы и папки видимыми. Сделали, оказалось, что их хорошо видно и «autorun.inf», и «RECYCLER»! Взглянем на них…

 

…и попробуем удалить с флешки, мы же их видим. Удалились сразу, но в скором времени оба появился снова.

Тут еще фаервол пристал с вопросами:

 

 

Блокируем и завершаем «некое» приложение, естественно проводник полностью «слетел» и появились следующие окна:

 

Разрешаем :)

 

Hу и так далее, во всяком случае показать Вам примерное поведение вирусов удалось. Настало время наш вирус «попросить»... Надо удалить папку «virus» на рабочем столе, совсем забыл я про нее.

ПЕРВЫЙ СПОСОБ. САМЫЙ ПРОСТОЙ.

1-1. Скачайте программу – «Anti-Autorun». Скачать программу можно здесь (ссылка на программу) или на сайте разработчика: http://www.bombina.com/s3_anti_autorun.htm.

Если у Вас заражена «флешка» и/или мобильный телефон, вставьте их в компьютер перед запуском программы.

1-2. Запустите один единственный исполнительный файл «Anti-Autorun.exe».

1-3. Нажмите кнопку – «СТАРТ» или сначала «ТЕСТ», а потом «СТАРТ».

Предварительно Вы можете нажать кнопку «ТЕСТ», тогда программа протестирует Ваш компьютер на наличие вируса «Autorun» и по окончанию теста выдаст результаты проверки в текстовом файле «A_test_log.txt». В дальнейшем этот файл можно найти на рабочем столе.

Вот мой результат:

Перезагружаем компьютер, т.к. после нажатия кнопки «Старт» все программы были закрыты и выгружены, учтите этот факт. После перезагрузки, включаем фаервол, вставляем флешку.

 

Как видим, все нормально, теперь откроем ее:

 

Папку «RECYCLER» удалим. Открыв папку «autorun.inf» обнаружим в ней текстовый файл, открыв который прочитаем текст следующего содержания:

«Этот файл и папка "autorun.inf", в которой он находится,
созданы программой Анти-ауторан (bombina.com).
Папка позволяет защитить флэшку от автозапуска программ
(в том числе вирусов).
Этот файл препятствует удалению папки вирусами.
При необходимости Вы можете удалить её вручную.
***»

Фаервол молчит, никто ничего не просит, все спокойно. Запускаем Антивирус Касперского на быструю проверку. Все в порядке. Вставляем флешку, проверяем. Тоже все тихо.

Программе «Anti-Autorun» и ее разработчикам – ЗАЧЁТ!

ВТОРОЙ СПОСОБ.

Тут обойдемся без примеров, хочу Касперским полностью компьютер проверить и соединение с интернетом не хочу разрывать. Я его, когда с вирусами дела имею, всегда разрываю, так спокойней жить :)

2-1. Запускаем командную строку Windows. Для этого открываем меню «ПУСК» -> «Выполнить…» (или нажимаем комбинацию клавиш <Win+R>, последовательно, т.е. сначала <Win> и не отпуская последней <R>. Клавиша <Win> чаще всего находится между <Ctrl> и <Alt> и выглядит, как изображение окна).

2-2. В поле «Открыть» окна «Запуск программы» введите «cmd» (на английском языке) и нажмите кнопку «ОК».

2-3. Откроется командный интерпретатор Windows. Здесь можно набирать различные команды, все команды вводятся только на английском языке. В командной строке последовательно выполняем команды:

del /a:hrs X:\Autorun.~ex
del /a:hrs X:\Autorun.bat
del /a:hrs X:\autorun.bin
del /a:hrs X:\Autorun.exe
del /a:hrs X:\Autorun.ico
del /a:hrs X:\autorun.inf_?????
del /a:hrs X:\autorun.inf
del /a:hrs X:\autorun.ini
del /a:hrs X:\autorun.reg
del /a:hrs X:\autorun.srm
del /a:hrs X:\autorun.txt
del /a:hrs X:\autorun.vbs
del /a:hrs X:\autorun.wsh
del /a:hrs X:\AUTORUN.FCB

X – это буква флешки. Поищите и удалите эти же файлы из папки «Windows\system32».

2-4. Закрываем командный интерпретатор Windows.

2-5. Для нормальной работы после удаления вируса нужно открыть редактор реестра Windows: «ПУСК» -> «Выполнить…» -> regedit -> «OK».

2-6. Найдите раздел:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)] и удалить в нем подраздел Shell. Можно просто удалить раздел MountPoints2, но тогда удалится информация обо всех носителях.

ТРЕТИЙ СПОСОБ.

Для реализации третьего способа найду другой вирус. Пусть это будет «strongkey.exe» (Trojan.Win32.Buzus.asqt).

Опять Касперский среагировал, поработать не дает :) Отключаем всю защиту, форматируем флешку, отключаем интернет, устанавливаем вирус :)

Информация с сайта securelist.com

« Trojan.Win32.Buzus.asqt»

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Содержимое файла «autorun.inf»:

«
[autorun]
shellexecute=strongkey.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey.exe
shell=default
»

Вставляем флешку и удаляем папку «virus» с рабочего стола.

Открываем флешку, ищем (были скрытые, но их можно сделать видимыми):

 

Попробуем удалить их вручную – безрезультатно (снова появились), но это и понятно, так как посмотрите на рисунок ниже. Открываем «msconfig», кто тут у нас?

 

Я знаю, что у меня не было никакого «services.exe», поэтому я стал его подозревать. Вы можете попробовать найти в интернете, что это за элемент, у Вас в автозагрузке. Я нашел, были подобные проблемы у людей.

Далее последовала, знакомая нам уже модификация меню, а вот иконка сохранилась:

 

Фаервол показывает очень активную сетевую активность :)

 

Ладно, я добился чего хотел, вирус есть и работает, Вы это тоже увидели. Теперь я хочу убрать этот вирус с глаз долой :) Так всегда, летом ждешь зиму, зимой мечтаешь о лете.

Только предположим, что с помощью Проводника Windows, я не смог увидеть злостный вирус (просто потому, что такие встречаются очень часто и мне нужно показать Вам, как их можно обнаружить), как быть в этом случае?

3-1. Сейчас нам понадобится программа Total Commander, я работаю с ней, Вы можете воспользоваться любым удобным для Вас. Сначала удалим файлы вируса, для этого открываем программу и на панели инструментов находим кнопку, которая позволяет включать/отключать просмотр скрытых элементов, нажимаем ее. Т.е., если проводник не позволяет нам «прозреть», то «TC» нам в этом точно поможет.

Врезка для тех, у кого нет файлового менеджера:

Если у Вас нет файлового менеджера, тогда придется искать скрытые файлы вируса посредством поиска, через проводник Windows.

1. Откройте «ПУСК» -> «Поиск» (или сверните все программы, чтобы увидеть рабочий стол и нажмите клавишу <F3>).

2. В открывшемся окне «Результаты поиска», в левой части снизу, щелкаем по пункту «Дополнительные параметры» и ставим флажок напротив «Поиск в скрытых файлах и папках». В поле «Часть имени файла или…» вводим «autorun.inf».

3. Ждем результатов поиска. По окончании поиска открываем «autorun.inf» и, руководствуясь его содержимым, находим файл вируса. Вас будут интересовать только те «autorun.inf», которые находятся в корне диска («C», «D») или флешки.

Найти файл вируса можно точно также, с помощью стандартного поиска.

3-2. Теперь, когда мы увидели на флешке (м.б. на дисках «С», «D») скрытый файл «autorun.inf» откроем его, для этого нажмем кнопку <F3> или <F4> (если нашли с помощью поиска, тогда открывайте через «Блокнот»). Мы видим следующее:

«
[autorun]
shellexecute=strongkey.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey.exe
shell=default
»

То есть данный файл сообщает нам, что истинным корнем зла является файл «strongkey.exe», вот кто наш вирус. Теперь без колебаний можно уничтожить и «strongkey.exe», и «autorun.inf» его запускающий.

Чаще всего, при удалении этих двух файлов, они через какое-то время снова восстановятся. Это говорит о том, что вирус работает и следит за состоянием диска. В таком случае попробуем завершить все «подозрительные» процессы в оперативной памяти компьютера.

3-3. Итак, «убиваем» запущенный процесс. Одновременно нажимаем <Ctrl+Alt+Del> на клавиатуре, тем самым открываем «Диспетчер задач» Windows. Переходим на вкладку «Процессы». Начинаем отключение для начала с процессов, которые запускаются от Вашего имени. Об этом сообщит колонка под названием «Имя пользователя». Если значение в ней не равно «SYSTEM», значит данный процесс работает от Вашего имени.

Чтобы отключить «подозрительный» процесс, нажимаем кнопку в нижней части окна «Завершить процесс». Если вирусные файлы перестали восстанавливаться, значит, искомый процесс был отключен, вирус выгружен из памяти и не сможет следить за состоянием дисков и флешек. Можно «грохать» файлы.

На данном этапе я не обнаружил подозрительных процессов.

Что делать, если я уже знаю, что мне надо удалить и где это находится, но не могу это сделать, по причине восстановления файлов, которые я удалил, а просмотр запущенных процессов не увенчался успехом?

3-4. Следующим этапом нашей борьбы с вирусом станет работа с автозагрузкой. Если ваша операционная система расположена на диске «С», то можно открыть следующую утилиту «C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe». Для диска «D» и прочих путь соответственно изменится, ровным счетом, на первую букву.

Есть еще один вариант, через уже знакомую нам командную строку Windows. Нажимаем «ПУСК» -> «Выполнить…» (или комбинация клавиш <Win+R>, последовательно, т.е. сначала <Win> и не отпуская последней <R>. Клавиша <Win> чаще всего находится между <Ctrl> и <Alt> и выглядит, как изображение окна).

До командной строки можно добраться и так: <Ctrl+Alt+Del> (зажмите первые две клавиши и не отпуская их – последнюю), этим самым Вы запустите «Диспетчер задач Windows».

Далее, пункт меню «Файл» -> «Новая задача (Выполнить…)». Результат – командная строка Windows.

Какой бы вариант запуска командной строки Вы не избрали, в результате на экране должно появиться окно «Запуск программы».

Окно «Запуск программы» – это и есть командная строка Windows. Напишем в поле «Открыть:» команду «msconfig». Сейчас у нас в этом поле отображена команда, которую я набирал последней («regedit»). Наберем команду, которая нужна нам сейчас («msconfig») и нажмем кнопку «ОК». Появилось окно «Настройка системы», Вы видите его на рисунке ниже.

Нас будет интересовать закладка «Автозагрузка». Переходим на вкладку «Автозагрузка». Щелкаем по ней левой кнопкой мыши, и перед нами появится список программ, которые загружаются вместе с запуском Windows.

Если в поле «Элемент автозагрузки» установлена галочка – данная программа загружается в момент загрузки операционной системы (автоматически, при каждой загрузке Windows).

Автозагрузка – самое частое «местожительства» большинства вирусов, так как их запуск производится незаметно для пользователя и вместе с запуском ОС, что очень удобно.

Что же мы видим в окне «Настройка системы»: каждый элемент (программа или сервис) автозагрузки включается и отключается (нажатие левой кнопки мыши по квадрату) – если стоит галочка, как отмечалось выше, то элемент загружается, если нет, то соответственно не грузится.

Смотрим внимательно на название элемента («Элемент автозагрузки») и местоположение запускаемого файла («Команда»).

3-5. Отключаем все подозрительные элементы автозагрузки (снимаем галочки).

Отключайте все подозрительные элементы автозапуска безбоязненно, в случае если Вы отключаете какой-то важный элемент системы в автозагрузке, всегда есть возможность включить его обратно.

Не забываем, после выполненных действий нажать кнопку «Применить».

Затем нажмите кнопку «Закрыть», а на вопрос …

… ответьте «Перезагрузка».

После того, как Windows XP загрузится, появится окно с информацией о том, что был изменен способ запуска Windows. Поставьте галочку в свободном квадратике (он там один, не промахнетесь) и нажмите кнопку «ОК» (если не поставить галочку и закрыть окно, как есть, то это окно Вы будет лицезреть каждый раз после перезагрузки компьютера, до тех пор, пока не поставите назойливую галочку).

3-6. После перезагрузки находите на локальном диске уже известные Вам вирусные файлы и удаляете их.

Внимание! Не открывайте диски с помощью ярлыка «Мой компьютер», а делайте это с помощью Проводника, который запускается комбинацией клавиш <Win+E>.

Если вирус на флешке, тогда надо действовать через пункт 3-7.

3-7. После того как Вы отключили подозрительный элемент автозагрузки и перезагрузили компьютер, не торопитесь вставлять флешку для удаления с нее вируса, т.к. вирус у Вас, скорее всего, снова будет загружен в память. Т.о. предварительно нужно отключить автозагрузку для флешек. Делается это так:

3-7-1. Самый простой вариант, скачайте программы Autorun Guard v1.0 beta 1 и/или Autorun Guard 1.1 (в добавок, программа отслеживает появление нового съемного диска и проверяет его на наличие «autorun.inf»), которые отключат автозапуск за Вас, Вам нужно только убрать галочку или выбрать соответствующий пункт меню. Описание второй программы можно прочитать здесь.

3-7-2. Через групповую политику. «ПУСК» -> «Выполнить…» -> в поле «Открыть:» набрать «gpedit.msc».

В окне «Групповая политика»:
Конфигурация компьютера -> Административные шаблоны -> Система -> Отключить автозапуск

Правой кнопкой мыши -> Свойства -> Всех дисководах -> ВКЛЮЧЕНА -> Применить -> Перезагрузить компьютер.

3-7-3. Автозагрузка флешки также снимается и в реестре. Вручную это делается так:
Нажимаем <Win>+<R> - пишем «regedit» ищем нижеперечисленное и ставим значение что в ( ).

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=( 0)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
"NoDriveTypeAutoRun"=(FF)


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=(FF)

Также перезагружаем компьютер.

Теперь автозагрузка на флешках не работает и вирусы не смогут распространиться без Вашей помощи, а помогать Вы им не станете.

3-8. После перезагрузки компьютера вставляете флешку и удаляете на ней вирус.

Внимание! Не открывайте диски с помощью ярлыка «Мой компьютер», а делайте это с помощью Проводника, который запускается комбинацией клавиш <Win+E>.

Я своего удалил, клонов не появилось.

Запускаю фаервол, запускаю Касперского и все проверяю.

Вот Касперский «нарыл» кусок от нашего вируса: «c:\windows\system32\drivers\sysdrv32.sys».

Дополнительно:

Рекомендую воспользоваться программой Autoruns (Архив WinRAR: 473 КБ (485 282 байт))
Язык: Английский.

Программа настройки системы (msconfig.exe) позволяет просмотреть и отключить некоторые файлы и службы, но есть еще большое количество элементов, которые она игнорирует: панели инструментов, объекты модулей поддержки обозревателя, расширения оболочки Windows Explorer. Кроме того, msconfig дает не слишком обширную информацию об объектах, загружаемых автоматически. Гораздо более удобным способом просмотра и управления ими является программа Autoruns от Sysinternals.

Программа Autoruns – это бесплатная служебная программа, обнаруживающая все элементы списка автозагрузки компьютера под управлением Windows. Она позволяет увидеть все автоматически загружаемые элементы, скрывающиеся в папках автозагрузки, в реестре и где бы то ни было еще.

Autoruns позволяет быстро – одним кликом – перейти в то место, откуда запускается интересующее приложение/сервис. Наконец, есть у этой программы и такая замечательная опция, как получение дополнительной (кроме той, что показывается в окне программы) информации о приложении или сервисе, для чего достаточно выделить интересующее приложение и нажать <Ctrl+G> (или выбрать в меню «Entry –> Google). Autoruns сформирует запрос и отправит его на поисковую систему Google; результаты запроса будут показаны в веб-браузере. Работает без инсталляции во всех версиях Windows, включая 64-битные.

По работе с программой «Autoruns» читайте следующую статью «Обзор утилиты Autoruns от Sysinternals.com».

Кроме того Вы можете воспользоваться еще одной бесплатной программой для борьбы с «Autorun»:

1. «USB_Tool» (версия 1.3)

USB_Tool – бесплатная, но мощная программа для борьбы с вирусами и троянами на флешках, картах памяти и жестких дисках, которые заражают ПК через autorun.inf.

Функции USB_Tool:
Моментальная блокировка скрытого автозапуска
Возможность выбора дисков для сканирования
Три режима работы – ручной и автоматический + режим «Иммунизация», при котором USB_Tool поможет ОС предотвратить проникновение вируса/трояна в систему
Удаление ошибочных AUTORUN.INF
Автоматическое удаление из процессов и автозапуска уже запущенного вируса
Функция скрытой работы USB_Tool
Ведение логов
Автоматическое создание архивных копий удаленных файлов
Управление USB_Tool через системный трей
Функция автоматической иммунизации
Режим карантин

Язык интерфейса: Русский
Операционная система: Windows XP, Windows Vista

Версию 1.3 Вы можете скачать у нас (672 КБ) или проверить новую на сайте разработчика.

Почитайте дополнительные статьи в интернете:

1. Удаление вируса autorun.inf
2. Лечение вируса Autorun.inf
3. AUTOSTOP – скрипт для защиты флешки от autorun-вирусов
4. Защита флешки от записи новых файлов

Еще раз напомню, что для решения проблем рассказанных в этой статье, Вам поможет прочтение статей «Что делать без антивируса, когда он так необходим?» и «Как избавиться от вирусов с помощью одноразовых антивирусов».

Думаю, что на этом пора поставить точку, мыслей много, т.к. много различных вариантов развития событий. Одна мысль цепляется за другую, ее перебивает третья, вспоминаешь, что был такой случай, и такой и…, и чем дальше, тем сильнее понимаешь, что описать все, что возможно в борьбе с вирусами, просто не реально. Как минимум нужно будет книгу писать, а не статью.

Тем не менее все сводится к тому, что чтобы постараться победить вирус, Вам нужно уметь работать с командной строкой, автозагрузкой, знать список основных служб, которые должны быть запущены на Вашем компьютере и т.д. Научитесь пользоваться файловыми менеджерами, программой «Autoruns» и пр. Дальше все будет зависеть от Вас.

И напоследок, как бы там ни было, но более менее полноценную защиту Вашего компьютера от назойливых вирусов сможет обеспечить только антивирус. А еще лучше антивирус и фаервол.

«Чистых» Вам флешек!

Просмотров 43246

Комментарии к этой статье:

Комментарий добавил(а): Sever
Дата: 2010-03-08

Это, конечно, все хорошо. Но я все же лучше к специалисту обращусь.

Комментарий добавил(а): Василий
Дата: 2010-03-10

Так всегда, нет чтобы голову включить :)

Комментарий добавил(а): Tata
Дата: 2010-04-14

Значит просто запуска проверки и лечения компа Касперским или доктором Вебом недостаточно? У меня на флешке этот strongkey.

Комментарий добавил(а): Vasso
Дата: 2010-04-14

В данном случае, если Касперский обновляется своевременно, его более, чем достаточно.

Комментарий добавил(а): Леонид
Дата: 2010-04-15

Я тоже сторонник того, чтобы каждый занимался своим делом. Т.е. речь о специалистах.

Комментарий добавил(а): ZXDemon
Дата: 2010-04-16

ARSKill + AutoKFD и забыть об AutoRunах на всю жизнь!

Комментарий добавил(а): Василий Седых
Дата: 2010-05-05

Отпишитесь, помогла Вам статья или нет? Хочется знать и делать какие-то выводы для себя на будущее.

Комментарий добавил(а): KOSS
Дата: 2010-05-07

ПОМАГЛА!

Комментарий добавил(а): Гукасян Грачья
Дата: 2010-05-16

Просто молодцы, все досконально описано, большое вам человеческое спосибо! Помогло, еще как помогло!

Комментарий добавил(а): Василий Седых
Дата: 2010-05-16

Пожалуйста! Вам спасибо за комментарий. Очень рады, что смогли Вам помочь. Значит направление мы вбрали правильное, будем продолжать в том же духе, по мере возможностей.

Комментарий добавил(а): Folder
Дата: 2010-06-10

Статейка - the best!!! Спасибо. Очень подробно и понятно даже нубу.

Комментарий добавил(а): Василий Седых
Дата: 2010-06-10

Спасибо!!! Приятно, что мои старания были ненапрасны.

Комментарий добавил(а): Владимир
Дата: 2010-10-28

Спасибо много нового узнал и попробую автоматизировать. Авторан можно вырубить в реестре чтоб даже с файликом авторан инф ни чего не запускалось. можно сделать несколькими способами с помощью ковыряния в реестре или с помощью программы подробнее можно посмотреть тут http://flashinspector.narod.ru/ на вкладке полезное(полное описание веток реестра для отключения авторана)

Комментарий добавил(а): Вадим
Дата: 2010-11-05

А я так и не понял как потом восстановить возможность отображать скрытые папки и файлы?

Комментарий добавил(а): Дмитрий
Дата: 2010-12-12

Большое спасибо автору. Много полезного вынес про лечение вирусов подобного типа, да и идей много своих стало появляться. Приятно когда человек к делу подходит не абы как, а увлеченно) Спасибо.

Комментарий добавил(а): Василий Седых
Дата: 2010-12-12

to Дмитрий: Пожалуйста, очень рад, что Вам понравилась моя статья. Вам спасибо за комментарий. Рад, что у Вас появились свои идеи, было бы замечательно, если бы Вы поделились ими с нами, особенно, если они удачно показали себя в "бою". Другие пользователи взяли бы их на вооружение. Удачи!

Комментарий добавил(а): Убийца авторанов
Дата: 2010-12-12

Есть такая утилита, Killauto называется... Позволяет избавиться от вирусов типа autorun и их последствий, а также защитить флешку от инфицирования файлом autorun.inf... http://www.hottabych.3dn.ru/

Комментарий добавил(а): Василий Седых
Дата: 2010-12-13

2 Убийца авторанов: Cпасибо за совет! Пошел смотреть...

Комментарий добавил(а): Валерий
Дата: 2010-12-14

Все бы ничего, да вот в корзине остался *.vmx который ничем не могу убить.

Комментарий добавил(а): Василий Седых
Дата: 2010-12-14

to Валерий: Какой вирус у Вас? Случайно не Net-Worm.Win32.Kido (Downadup, Conficker)?

Комментарий добавил(а): Nike
Дата: 2011-01-13

Пока такой проблемы не было,а почитать интересно

Комментарий добавил(а): Петр
Дата: 2011-01-25

Сделал все по 2-му способу, все получилось, спасибо.

Комментарий добавил(а): Владимир
Дата: 2011-02-27

Спасибо,хорошая статья! Всё доступно и грамотно описано.

Комментарий добавил(а): Станислав
Дата: 2011-04-12

Я заметил на скриншотах папки "system volume information" и "recycler" насколько я знаю это вирусы и антивирь их не видит(во всяком случае у меня) , кто знает как от них избавиться???

Комментарий добавил(а): Василий Седых
Дата: 2011-04-12

to Станислав: Заметили правильно, но это не вирусы. Папка System Volume Information - это скрытая системная папка, использумая программой Восстановления (отката) системы для хранения своих данных и Точек восстановления системы. Папку можно удалить, предварительно отключив восстановление системы или через Свойства системы, умешьшить ее размер. Папка Recycler - это корзина. Под NTFS папка называется Recycler. На FAT32 - Recycled.

Комментарий добавил(а): Наталья
Дата: 2011-04-14

Спасибо за программу«Anti-Autorun».Очень помогла.Не могли удалить с флешек ни его, ни вирусы сопутствующие,комп. писал,что невозможно,занят другой программой.Сейчас всё нормально.Ещё раз спасибо !!!

Комментарий добавил(а): Kotohihi
Дата: 2011-04-19

Статейка очень интересная, главное с картинками! Огромное спасибо.

Комментарий добавил(а): анатолий
Дата: 2011-04-25

здравствуйте, у меня такая проблема: установил USBDiskSecurity,после чего комп перестал видеть флешки, и создал новый жесткий диск F,на котором папка AUTORUN.INF - при удалении ссылается на недоступное место, не знаю что делать,в правом углу показано что флешка подключена, но ее не видно в проводнике. у меня стоит виндоуз 7 максимальная.заранее спасибо. P.S. буду признателен если ваш совет будет отправлен мне на E-mail: isenin13@yandex.ru

Комментарий добавил(а): PERDUNATOR
Дата: 2011-05-29

Лучше всего выключить автозапуск через INI mapping У самого данного рег-файла уже нет, но инфа была на Википедии (английской) Но это рншает проблему только вашего ПК. Для самой флешки подойдёт трюк с папкой авторан - но сделать его лучше в безоп. режиме.

Комментарий добавил(а): Татьяна
Дата: 2011-06-20

Огромное спасибо за совет. Мне на самом деле очень помогло. Воспользовалась программой антиуаторан. Ааааа.... спасибо-спасибо-спасибо))) просто великолепно)

Комментарий добавил(а): vladGb
Дата: 2011-11-27

AntirunSetup не видно, не слышно, почти не весит при это еще и работает.

Добавить Ваши комментарии:

Введите сумму чисел с картинки*

* - поля, обзательные для заполнения

E-mail не публикуется!

 

   

Красноярский край,

662200, г. Назарово,

ул. Арбузова, 86/1

сот.+7-923-338-14-05

сот.+7-923-270-83-11

 

Никогда не бойся делать то, чего не умеешь!

Помни, Ковчег был построен любителем.

Профессионалы построили Титаник.

 

А МЫ ПРОСТО ДЕЛАЕМ ТО, ЧТО ХОРОШО УМЕЕМ!

www.Biteria.ru - Интернет-магазин комплектующих для ноутбуков

Наши сертификаты
Рекомендуем
Опрос

Как Вам понравились наши статьи?
Отличные статьи.
Хорошие статьи.
Слишком много лирики.
Ничего особенного.
Мне не понравились!
Букв слишком много.



Результаты




Бесплатное удаление баннера, рекламного модуля




ГЛАВНАЯ   |  О ФИРМЕ  |  УСЛУГИ  |  КОНТАКТЫ  ВАКАНСИИ  |  О РЕКЛАМЕ  |  ГОСТЕВАЯ  |  РАЗРАБОТКИ  СТАТЬИ  |  ЧА.ВО./F.A.Q. |  ИНСТРУКЦИИ  |  СКАЧАТЬ  |  ВИДЕОУРОКИ  ОБЪЯВЛЕНИЯ  ССЫЛКИ  ФОРУМ

Copyright © 2010 «Компьютер-сервис»
Копирование материалов разрешено только с указанием активной гиперссылки на "pcservice24.ru".