Как избавиться от вирусов в авторане

Обновлено: 25.04.2024

Вообще, в файле autorun.inf нет ничего криминального — он предназначен для того, чтобы операционная система Windows могла автоматически запустить ту или иную программу. Тем самым существенно облегчить жизнь пользователю, особенно начинающему.

К сожалению, довольно часто этот файл используется вирусами. Если ваш компьютер заразился подобным вирусом, то вы можете даже не зайти на ту или иную флешку или раздел диска. В этой статье попробуем разобраться, как можно удалить файл autorun.inf и избавиться от вируса.

1. Способ борьбы №1

1) Первым дело скачайте один из антивирусов (если у вас его нет) и проверьте полностью весь компьютер, в том числе и флешку. Кстати, хорошие результаты показывает антивирусная программа Dr.Web Cureit (к тому же, ее не нужно устанавливать).

2) Скачайте специальную утилиту Unlocker (ссылка на описание). При помощи нее можно удалить любой файл, который не удается удалить обычным образом.

3) Если файл удалить не удалось, попробуйте загрузить компьютер в безопасном режиме. Если удалось — то удалить подозрительные файлы, к том числе и autorun.inf.

4) После удаления подозрительных файлов, установите какой-нибудь современный антивирус и полностью проверьте компьютер еще раз.

2. Способ борьбы № 2

2014-04-04 07_57_06-Диспетчер задач

2) Закрываем все лишние и подозрительные процессы. Оставляем только*:

explorer.exe
taskmgr.exe
ctfmon.exe

* — удаляете процессы только те, которые запущены от имени пользователя, процессы помеченные от имени SYSTEM — оставляете.

3) Убираем из автозагрузки все лишнее. О том, как это сделать — см. в этой статье. Кстати, отключить можно практически все!

2014-04-04 08_02_26-Total Commander (x64) 8.01 - BurSoft

5) Чтобы в дальнейшем не испытывать с подобным вирусом проблем, рекомендую установить какой-нибудь антивирус. Кстати, хорошие результаты показывает программа USB Disk Security, предназначенная специально для защиты флешек от подобной заразы.

3. Удаление autorun.inf с помощью аварийного диска

Вообще, конечно, аварийный диск нужно сделать заранее, чтобы в случае чего он был. Но ведь все заранее не предусмотришь, тем более, если с компьютером вы еще пока только знакомитесь…

1) Для начала нужен диск CD/DVD или флешка.

2) Далее нужно скачать образ диска с системой. Обычно такие диски называются Live. Т.е. благодаря ним можно загрузить операционную систему с CD/DVD диска, практически такую же по возможностям, как если бы она была загружена с вашего жесткого диска.

3) В загруженной операционной системе с Live CD диска мы должны спокойно смочь удалить файл autorun да и многие другие. Будьте аккуратны, когда вы загрузились с такого диска, вы можете удалять абсолютно любые файлы, в том числе и системные.

4) После удаления всех подозрительных файлов, установите антивирус и проверьте полностью ПК.

4. Еще один способ удаления autorun с помощью антивируса AVZ

Про то, как при помощи AVZ, проверить компьютер на вирусы, см. в этой статье .

1) Открываете программу и жмете по « файл/мастер поиска и устранения проблем «.

2014-04-04 08_32_15-Мастер поиска и устранения проблем

2014-04-04 08_32_24-Мастер поиска и устранения проблем

5. Профилактика и защита от вируса autorun (Flash Guard)

Часть антивирусов не всегда способна надежно защитить ваш компьютер от вирусов, распространяющихся через флешки. Именно поэтому появилась такая замечательная утилита как Flash Guard.

Эта утилита способна перекрыть полностью все попытки заразить ваш ПК через Autorun. Она легко блокирует, способна даже удалять эти файлы.

Чуть ниже представлена картинка с настройками программы по умолчанию В принципе, их достаточно, чтобы оградить вас от всех неприятностей, связанных с эти файлом.

6. Заключение

В статье мы рассмотрели несколько способов удаления вируса, который используется для распространения флешки и файл autorun.inf.

Собственно на этом все. Кстати, знаете еще способ удаления подобного вируса?

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Или как удалить вирус Autoran c флешки?

Антивирусы уже научились блокировать вирусы вида "autorun.inf", который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту – очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак – это все папки на флешке превратились в ярлыки.

Если на флешке важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов – вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: “Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид”:

Свойства папки Windows XP

На вкладке “Вид” отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) – снимаем галочку
  2. Показывать скрытые файлы и папки – устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: ”Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид”.

Свойства папки Windows 7

Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Вот так вот выглядит вирус (ярлыки, папки)

Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск – первый открывает Вашу папку, а второй – запускает вирус:

Строка запуска вируса

Нас интересует строка “Объект”. Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

Вот тот самый путь: RECYCLER\6dc09d8d.exe - папка на флешке и вирус в ней.
Удаляем его вместе с папкой – теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок – они не нужны.
2. Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем “Пуск”-Пункт “Выполнить”-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ – это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл – Вы можете скачать мой: Bat файл для смены атррибутов

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

wikiHow работает по принципу вики, а это значит, что многие наши статьи написаны несколькими авторами. При создании этой статьи над ее редактированием и улучшением работали, в том числе анонимно, 15 человек(а).

Ваш антивирус удалил вирусы, но локальные диски все еще не открываются двойным щелчком мыши? Следуйте простой процедуре, описанной ниже.

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 1

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 2

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 3

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 4

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 5

Повторите тот же процесс с другими локальными дисками: введите "d:" и сделайте то же самое. Затем введите "е:" и сделайте то же самое.

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 6

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 7

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 9

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 10

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 11

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 12

В левой панели перейдите в: HKEY_LOCAL_MACHINE --> Software --> Microsoft --> Windows --> Current Version --> Run. Здесь удалите запись MS32DLL (используйте клавишу Delete).

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 13

В левой панели перейдите в: HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main и удалите запись “Hacked by Godzilla”

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 14

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 15

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 16

Изображение с названием Remove Autorun Virus from Hard Disk Drives Step 17

В компе вирус autorun я ещё могу удалить, но теперь он у меня на флешке в телефоне. Плюс создалась папка RECYCLER и не могу ничего сделать. Я её и форматировала, и что только не делала. Может кто-нибудь что подскажет)

Кроме файла autorun.inf, который содержит информацию о запуске вируса, обычно на диске еще бывает и сам вирусный файл с расширением exe, bat, com или pif. Часто мне удавалось бороться с этим вирусом обычным удалением этих двух файлов в безопасном режиме. Но недавно я не смог побороться с указанным вирусом даже переустановкой системы.

Разновидность вируса, который мне попался, кроме указанных двух файлов создавала еще исполняемый файл isi32.exe и прятала его не куда-нибудь, а в каталог, расположенный в папке RECYCLER, то есть непосредственно в корзину. Поэтому неудивительно, что антивирусы этот файл просто не находят. Причем, эта самая папка RECYCLER создается и на флешках, на которых никакой корзины отродясь быть не должно.

Таким образом, вирус заразил и мою флешку с дистрибутивами. Чтобы очистить ее от вирусов, приходилось загружаться с диска Alkid Live CD, который загружает винду в память компьютера. Ибо даже в безопасном режиме из-под уже зараженной винды удалить заразу невозможно: удаляешь папку RECYCLER - появляется "сладкая парочка" в корне диска, удаляешь их - тут же появляется папка RECYCLER с подкаталогом, в котором лежит указанный isi32.exe. Все-таки, связь вируса с реестром виндовс очевидна.

Попутно замечу, что поиск в интернете этого самого isi32.exe полезных результатов не дал.

Словом, после чистой переустановки винды я вставил очищенную от заразы флешку и попытался СРАЗУ установить KIS7, от греха подальше. Но не тут то было! Касперыч не установился, более того - сразу возникли те же проблемы. Это привело меня к мысли, что вирус каким-то образом мог заразить и исполняемые файлы моей флешки. На всякий случай пришлось ее отформатировать.

Также указанный вирус производит следующие действия:

2. Запрещает включить показ скрытых файлов в Проводнике, чтобы не дать увидеть себя. Проблема вроде решается Тотал Командером, в котором просмотр скрытых файлов включается независимо от Проводника. А если Тотала под рукой нет. .

4. После удаления себя или файла isi32.exe создает свой"комплект" заново, причем исполняемый файл в корне диска имеет всякий раз НЕ ТОЛЬКО ДРУГОЕ ИМЯ, сгенерированное из набора букв, но также и расширение, которое может быть exe, bat, com и даже pif (это тоже досовский командный файл) .

Словом, проблема реальная, поэтому я нашел в интернете и обобщил для вас все способы борьбы с ней.

1. Остановка всех лишних процессов через Диспетчер задач (ага, если он доступен. ) , которые запущены от имени текущего пользователя системы. Должны остаться только следующие:

Остальные процессы можно смело убить. ВНИМАНИЕ: отключать только те процессы, которые запущены от имени пользователя!! ! Процессы SYSTEM лучше не трогать.

2. Запускаем msconfig и на вкладке Автозапуск удалаем всё, кроме ctfmon.exe

3. Перезагружаемся, и удаляем с дисков всю известную нам заразу, желательно через Тотал Командер.

4. Если среди процессов был процесс с именем amvo.exe, немедленно идите в папку Windows\system32\ и удалите файл amvo.exe.

5. Если вирус запретил вам показ скрытых файлов, ..(напишу в комменте, как делать)

6. Чтобы в дальнейшем обезопасить все диски от заражения этим вирусом, создавать в корне всех дисков папку с именем autorun.inf . В том числе и на флешках!! ! При подключении такой флэшки к заражённому компу вирус запишет на неё свой исполняемый файл, но не сможет прописать команду его запуска, поэтому потом вы просто удалите созданный вирусом файл на своём компьютере, только не запускайте его.

Продолжение напишу в коммент.

Вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти. При этом в Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Сдается мне, что вирус может заражать также системные файлы, особенно он "любит" заражать explorer.exe и ctfmon.exe - тогда систему придется либо переустанавливать, либо попробовать заменить их "чистыми" файлами с другой винды, но заменять придется, естественно, загрузившись с какой-нибудь альтернативы (к примеру, с WindowsPE).

Подключите все устройства, которые могут быть заражены вирусом - перезагрузите компьютер и войдите в безопасный режим - там ставим на сканирование и обнаруженный вирус удаляем

Касперский Антивирус 7,0 с последними базами полное сканирование
Norton System 2007 с последними базами и полное сканирование
Nod 32 SmartSystem ож с последними базами=)

В добавок Сними Жесткий Диск Дай кому нить из знакомых у кого Стаит Антивирус с Обновлеными Базами пусть просканируеться полностью и удалит

Подключи все устройства которые могут быть заражены вирусом - перезагрузи компьютер и войдив безопасный режим - там ставим на сканирование и обнаруженный вирус удаляем

Самиое простое ты просто просканируй его идеальнот плюс к тому не одной антивируской а несколькими, и замени файл авторан, а в самом худшем условие, переустанови виндовс, и сразу после это все остальное форматни, он жывучий это вирус!

Вот скачай [ссылка заблокирована по решению администрации проекта] программу и просканируй с ее помощью комп, если есть вопросы стучи в агент.

Читайте также: