Как удалить вирус авторан с компьютера
С флешки попал вирус autorun.
На трех локальных дисках создает файлы autorun.inf, *.pif, *.exe (имена меняются) Все файлы скрыты.
Винда была на диске C:\ , вирус загружал процессор на 100%
После переустановки системы на диск D:\ загружать процессор перестал.
Но все равно остались проблемы в виде отключения диспетчера/реестра. В безопасный режим выйти нельзя (вирус удалил ветку реестра)
Cure It! , AVZ его не видят.
Хочу перекинуть данные со старого жесткого диска на новый. Может ли вирус перекочевать туда? Как вылечить эту дрянь?
Я не знаю где сидит тело вируса, без его удаления удалять автораны и .pif бесполезно, он создает их снова. Восстановление системы отключеноЭтот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.
Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;
– найти раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква неоткрывающегося диска)] ;
– удалить в нем подраздел Shell.
1. Будьте осторожны с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\] диски обозначаются не только буквами (C:, D:, E:…), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа . Поэтому ищите диски не только по буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква_диска) ] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено) .
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч (X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.
Пример избавления через реестр:
а) Удаление параметров из ключей:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"
б) Удаление файлов:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf
Удаление Autorun (RECYCLER) вирусов с флешек вручную!! !
Предположим, вам принесли флешку, которая может быть заражена вирусом.
Не торопитесь вставлять ее! Действуйте по списку и у вас все получится.
Соберитесь с духом.
Обезопасьте свой компьютер при помощи утилиты Flash Guard. (в гугле введи название и тебе выдаст) .
Установите файловый менеджер: Total Commander или FreeCommander (можно попробовать использовать и стандартный Проводник, но тогда вам будет сложнее отделить файлы вируса от остальных (не советую) .
Включите в файловом менеджере показ скрытых и системных файлов. (Каждая программа настраивается посвоему, прочитайте справку — там все написано. )
Вставьте флешку и дождитесь, пока установится драйвер (это произойдет автоматически) .
Если флешка заражена, вы увидите отчет Flash Guard о том, что на ней есть autorun.inf.
Запустите файловый менеджер и откройте в нем флешку.
Не открывайте файлы двойным кликом или клавишей Enter! Если нужно просмотреть содержимое файла, воспользуйтесь клавишей F3.
Теперь удалите незнакомые файлы и папки. Как правило, подлежат удалению:
файлы autorun.
Если Антивирусы ничего не нашли - значит вируса нет, а файлы - всего лишь следы активности.
если нажмешь контролА то выделишь и вирус, атак-же винт определяться пока будет - подцепит вирусняк.
Если семерка винда - то отключи автозапуск (в панеле управления)
Если ХП - то xptweaker и отключение автозапуска
Если вам интересна тема компьютерных вирусов, то почитайте еще о таком вирусе как червь. Он очень распространен и его последствия могут быть не сразу заметны.
Что такое Autorun.inf и зачем он нужен?
Autorun.inf – это файл, который автоматически запускает установку драйверов, приложений, программного обеспечения с накопителя. И изначально был создан для того, чтобы облегчить жизнь простого пользователя, когда тот, например, решит переустановить Windows. Безусловно, авторан полезен, если использовать его по назначению.
Но, как говорится, нет худа без добра… Есть горе-программисты, которые создают вирусы и с помощью Autorun.inf их распространяют. И чаще всего это осуществляется через разнообразные портативные устройства хранения информации, которые как раз и выступают в качестве носителя компьютерного паразита.
Отсюда следует, что сам файл автозапуска абсолютно безвреден и устанавливает лишь то, что было в нём прописано.
Как работает вирус Autorun.inf?
Как можно догадаться, вирус Autorun.inf размножается путём автоматического копирования самого себя на различные съемные носители. Таким образом, зараженные флешки, карты памяти, съемные диски и т.д. продолжают цепь «эпидемии» и, подключаясь к ПК или ноутбуку, заражают его.
На самом деле, не нужно сразу же переживать, если Вы обнаружили файл Autorun на флешке или CD диске. Возможно, что в данном случае он будет использоваться по назначению, например, запустит игру и т.д. А вот смутные сомнения должны терзать вас в том случае, если вы обнаружили авторан, например, на карте памяти фотоаппарата или видеокамеры. Ведь, понятно и так, что никаких установок не предвидится.
Как обнаружить вирус на флешке?
Стоит отметить, что многие владельцы флешек чаще всего не догадываются о наличии в них вируса, поскольку вирусные файлы обычно содержатся в скрытых папках. Чтобы до них добраться, открываем любое окно «Документы», «Компьютер» и сверху в левом углу нажимаем на «Упорядочить», а потом на «Параметры папок и поиска». После выплывет окно, выбираете вкладку «Вид». Прокрутите до конца список и поставьте галочку напротив «Показывать скрытые файлы, папки и диски».
Теперь возвращаемся к содержимому накопителя. Если вы обнаружили папки, которые не отображались ранее и имеют при этом название autorun.inf, то попробуйте их открыть. Если попытка не увенчается успехом, и выплывет окно «Доступ запрещен/невозможен», то, скорее всего, это вирус worm autorun.
Как удалить вирус Autorun.inf?
Существует множество утилит, которые ищут и удаляют «вредителей». К самым известным отнесем Flash Guard и AVZ, обе программы просты в использовании и настраиваются на русский язык. Но самый простой способ распрощаться с вирусом – это форматирование накопителя.
Если вы решили воспользоваться вторым вариантом, не забывайте, что ВСЁ без исключения удалится навсегда. Поэтому скопируйте нужные файлы в папку компьютера, исключая, конечно, Autorun.inf.
Правой кнопкой мыши нажимаете на накопитель, далее выбираете «Форматирование» и убираете галочку возле «быстрое (очистка оглавления)». Можно сказать, что ваша флешка на данном этапе выздоровела, однако ей необходимо «подкрепиться после болезни»…
Как обезопасить накопитель от вирусов?
Рекомендуем скачать утилиту USB Defender, полезная штука, при этом бесплатная. После скачивания разархивируйте папку, запустите приложение. Оно сразу загрузится, без установки. И если ваша флешка ещё подключена к ПК, то приложение в своём окошке её отобразит. Там же будут две кнопки «protect = защитить» и «unprotect = снять защиту». Выбираем первое =)
Возвращаемся к содержимому флешки. Должна создаться папка от приложения USB Defender, которая будет называться Autorun.inf. Почему такое название? Потому, что если вы вновь наткнетесь на вирус Autorun.inf, то он уже не сможет заменить существующую папку Autorun.inf от USB Defender. Именно в этом и заключается профилактический механизм.
Вывод
Друзья, не пренебрегайте установкой антивирусных программ, они практически всегда реагируют на подобного рода «неприятности». И ещё, если вы уверены в том, что все ваши устройства и накопители без сюрпризов, то пользуйтесь автозапуском. При этом будьте начеку, подключая флешку друга/брата/свата. Когда вы подсоединяете съемный диск, выплывает окно для прямого вхождения в содержимое. Закройте его. Для переноса или копирования файлов используйте Total Commander.
Если у вас ПК никак не защищен, возможно, вам будет полезно узнать, как установить антивирус Касперского бесплатно.
Все начинается довольно необычно. Пользователь, как всегда, садится за свой компьютер, включает его, и операционная система начинает загружаться. Все проходит успешно, появляется рабочий стол, и, казалось бы, нет признаков для беспокойства. Ничего не тормозит, все открывается.
Однако стоит зайти в мой компьютер – и один из локальных дисков не открывается. Причем никакой ошибки не появляется, а после попытки открыть этот локальный диск почему-то открывается совсем другая папка.
Антивирусная программа молчит и ничего не находит, что еще больше ставит в тупик, ведь если верить антивирусу – то компьютер не заражен, но ведь и ошибки никакой не возникает! А если попытаться сделать клик правой кнопкой мыши по зараженному локальному диску, то в контекстном меню вместо пункта «Открыть» стоит надпись из непонятных иероглифов.
Нет, это не ошибка системы, и это не чья-либо шутка, виновник всех этих чудес вирус Autorun.inf. Он ухитряется обходить некоторые антивирусные защиты, после чего вытворяет такие вот фокусы. Как правило, этот вирус заражает только один диск, помещая свой исполняемый файл в корень локального диска жертвы.
Этот файл является скрытым, но даже если его удалить – при следующей загрузке он снова появится, поскольку небольшая часть вируса есть и в реестре. Из этого всего следует, что для удаления этой заразы придется лазить не только по локальному диску, но и покопаться в реестре.
Ну а теперь обо всем и поподробнее. Первое, что нужно сделать для избавления от вируса – это сделать его видимым. Для этого необходимо перейти в Панель управления через меню «Пуск» и добраться до «Параметров папок».
В появившемся окне на вкладке «Вид» важно не только поставить галочку на параметре «Отображать скрытые файлы папки и диски», но и снять галочку с параметра «Скрывать защищенные системные файлы», после чего, соответственно нажать «Применить» и «Ок».
Теперь главная цель – открыть зараженный локальный диск. Сделать это можно с помощью Проводника, любого файлового менеджера, или архиватора. В корне диска можно увидеть созданный файл с расширением «.INF». Обычно он носит название «Autorun.inf». Теперь необходимо его удалить. Голова гидры обезглавлена, но она отрастет снова, если не убить ее тело в реестре.
Сразу же после удаления «Autorun.inf» необходимо перейти в меню «Пуск» и поисковой строке ввести «regedit». Необходимо перейти по адресу «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2».
Кроме файла autorun.inf, который содержит информацию о запуске вируса, обычно на диске еще бывает и сам вирусный файл с расширением exe, bat, com или pif. Часто мне удавалось бороться с этим вирусом обычным удалением этих двух файлов в безопасном режиме. Но недавно я не смог побороться с указанным вирусом даже переустановкой системы.
Разновидность вируса, который мне попался, кроме указанных двух файлов создавала еще исполняемый файл isi32.exe и прятала его не куда-нибудь, а в каталог, расположенный в папке RECYCLER, то есть непосредственно в корзину. Поэтому неудивительно, что антивирусы этот файл просто не находят. Причем, эта самая папка RECYCLER создается и на флешках, на которых никакой корзины отродясь быть не должно.
Таким образом, вирус заразил и мою флешку с дистрибутивами. Чтобы очистить ее от вирусов, приходилось загружаться с диска Alkid Live CD, который загружает винду в память компьютера. Ибо даже в безопасном режиме из-под уже зараженной винды удалить заразу невозможно: удаляешь папку RECYCLER - появляется "сладкая парочка" в корне диска, удаляешь их - тут же появляется папка RECYCLER с подкаталогом, в котором лежит указанный isi32.exe. Все-таки, связь вируса с реестром виндовс очевидна.
Попутно замечу, что поиск в интернете этого самого isi32.exe полезных результатов не дал.
Словом, после чистой переустановки винды я вставил очищенную от заразы флешку и попытался СРАЗУ установить KIS7, от греха подальше. Но не тут то было! Касперыч не установился, более того - сразу возникли те же проблемы. Это привело меня к мысли, что вирус каким-то образом мог заразить и исполняемые файлы моей флешки. На всякий случай пришлось ее отформатировать.
Также указанный вирус производит следующие действия:
2. Запрещает включить показ скрытых файлов в Проводнике, чтобы не дать увидеть себя. Проблема вроде решается Командером, в котором просмотр скрытых файлов включается независимо от Проводника. А если Тотала под рукой нет. .
4. После удаления себя или файла isi32.exe создает свой"комплект" заново, причем исполняемый файл в корне диска имеет всякий раз НЕ ТОЛЬКО ДРУГОЕ ИМЯ, сгенерированное из набора букв, но также и расширение, которое может быть exe, bat, com и даже pif (это тоже досовский командный файл) .
Словом, проблема реальная, поэтому я нашел в интернете и обобщил для вас все способы борьбы с ней.
Тотал
1. Остановка всех лишних процессов через Диспетчер задач (ага, если он доступен. ) , которые запущены от имени текущего пользователя системы. Должны остаться только следующие:
explorer.exe
taskmgr.exe
ctfmon.exe
Остальные процессы можно смело убить. ВНИМАНИЕ: отключать только те процессы, которые запущены от имени пользователя!! ! Процессы SYSTEM лучше не трогать.
2. Запускаем msconfig и на вкладке Автозапуск удалаем всё, кроме ctfmon.exe
3. Перезагружаемся, и удаляем с дисков всю известную нам заразу, желательно через Тотал Командер.
4. Если среди процессов был процесс с именем amvo.exe, немедленно идите в папку Windows\system32\ и удалите файл amvo.exe.
5. Если вирус запретил вам показ скрытых файлов, ..(напишу в комменте, как делать)
Кроме файла autorun.inf, который содержит информацию о запуске вируса, обычно на диске еще бывает и сам вирусный файл с расширением exe, bat, com или pif. Часто мне удавалось бороться с этим вирусом обычным удалением этих двух файлов в безопасном режиме. Но недавно я не смог побороться с указанным вирусом даже переустановкой системы.
Разновидность вируса, который мне попался, кроме указанных двух файлов создавала еще исполняемый файл isi32.exe и прятала его не куда-нибудь, а в каталог, расположенный в папке RECYCLER, то есть непосредственно в корзину. Поэтому неудивительно, что антивирусы этот файл просто не находят. Причем, эта самая папка RECYCLER создается и на флешках, на которых никакой корзины отродясь быть не должно.
Таким образом, вирус заразил и мою флешку с дистрибутивами. Чтобы очистить ее от вирусов, приходилось загружаться с диска Alkid Live CD, который загружает винду в память компьютера. Ибо даже в безопасном режиме из-под уже зараженной винды удалить заразу невозможно: удаляешь папку RECYCLER - появляется "сладкая парочка" в корне диска, удаляешь их - тут же появляется папка RECYCLER с подкаталогом, в котором лежит указанный isi32.exe. Все-таки, связь вируса с реестром виндовс очевидна.
Попутно замечу, что поиск в интернете этого самого isi32.exe полезных результатов не дал.
Словом, после чистой переустановки винды я вставил очищенную от заразы флешку и попытался СРАЗУ установить KIS7, от греха подальше. Но не тут то было! Касперыч не установился, более того - сразу возникли те же проблемы. Это привело меня к мысли, что вирус каким-то образом мог заразить и исполняемые файлы моей флешки. На всякий случай пришлось ее отформатировать.
Также указанный вирус производит следующие действия:
2. Запрещает включить показ скрытых файлов в Проводнике, чтобы не дать увидеть себя. Проблема вроде решается Тотал Командером, в котором просмотр скрытых файлов включается независимо от Проводника. А если Тотала под рукой нет. .
4. После удаления себя или файла isi32.exe создает свой"комплект" заново, причем исполняемый файл в корне диска имеет всякий раз НЕ ТОЛЬКО ДРУГОЕ ИМЯ, сгенерированное из набора букв, но также и расширение, которое может быть exe, bat, com и даже pif (это тоже досовский командный файл) .
Словом, проблема реальная, поэтому я нашел в интернете и обобщил для вас все способы борьбы с ней.
1. Остановка всех лишних процессов через Диспетчер задач (ага, если он доступен. ) , которые запущены от имени текущего пользователя системы. Должны остаться только следующие:
Остальные процессы можно смело убить. ВНИМАНИЕ: отключать только те процессы, которые запущены от имени пользователя!! ! Процессы SYSTEM лучше не трогать.
2. Запускаем msconfig и на вкладке Автозапуск удалаем всё, кроме ctfmon.exe
3. Перезагружаемся, и удаляем с дисков всю известную нам заразу, желательно через Тотал Командер.
4. Если среди процессов был процесс с именем amvo.exe, немедленно идите в папку Windows\system32\ и удалите файл amvo.exe.
5. Если вирус запретил вам показ скрытых файлов, ..(напишу в комменте, как делать)
6. Чтобы в дальнейшем обезопасить все диски от заражения этим вирусом, создавать в корне всех дисков папку с именем autorun.inf . В том числе и на флешках!! ! При подключении такой флэшки к заражённому компу вирус запишет на неё свой исполняемый файл, но не сможет прописать команду его запуска, поэтому потом вы просто удалите созданный вирусом файл на своём компьютере, только не запускайте его.
Продолжение напишу в коммент.
Вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти. При этом в Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Сдается мне, что вирус может заражать также системные файлы, особенно он "любит" заражать explorer.exe и ctfmon.exe - тогда систему придется либо переустанавливать, либо попробовать заменить их "чистыми" файлами с другой винды, но заменять придется, естественно, загрузившись с какой-нибудь альтернативы (к примеру, с WindowsPE).
Подключите все устройства, которые могут быть заражены вирусом - перезагрузите компьютер и войдите в безопасный режим - там ставим на сканирование и обнаруженный вирус удаляемКасперский Антивирус 7,0 с последними базами полное сканирование
Norton System 2007 с последними базами и полное сканирование
Nod 32 SmartSystem ож с последними базами=)
Читайте также: