Как вылечить autorun вирус

Как вылечить autorun вирус thumbnail

Приветствую всех! Составляя нашу предыдущую статью на тему «Почему компьютер не видит флешку?», мы не стали сильно углубляться в вопрос наличия конкретных вирусов на накопителе, которые могут тормозить его работу. Поэтому сегодня предлагаем разобрать более подробно наиболее распространенный файл — Autorun.inf, а также его функции.

Если вам интересна тема компьютерных вирусов, то почитайте еще о таком вирусе как червь. Он очень распространен и его последствия могут быть не сразу заметны.

Что такое Autorun.inf и зачем он нужен?

Autorun.inf это файл, который автоматически запускает установку драйверов, приложений, программного обеспечения с накопителя. И изначально был создан для того, чтобы облегчить жизнь простого пользователя, когда тот, например, решит переустановить Windows. Безусловно, авторан полезен, если использовать его по назначению.

Но, как говорится, нет худа без добра… Есть горе-программисты, которые создают вирусы и с помощью Autorun.inf их распространяют. И чаще всего это осуществляется через разнообразные портативные устройства хранения информации, которые как раз и выступают в качестве носителя компьютерного паразита.

Отсюда следует, что сам файл автозапуска абсолютно безвреден и устанавливает лишь то, что было в нём прописано.

Как работает вирус Autorun.inf?

Как можно догадаться, вирус Autorun.inf размножается путём автоматического копирования самого себя на различные съемные носители. Таким образом, зараженные флешки, карты памяти, съемные диски и т.д. продолжают цепь «эпидемии» и, подключаясь к ПК или ноутбуку, заражают его.

На самом деле, не нужно сразу же переживать, если Вы обнаружили файл Autorun на флешке или CD диске. Возможно, что в данном случае он будет использоваться по назначению, например, запустит игру и т.д. А вот смутные сомнения должны терзать вас в том случае, если вы обнаружили авторан, например, на карте памяти фотоаппарата или видеокамеры. Ведь, понятно и так, что никаких установок не предвидится.

Как обнаружить вирус на флешке?

Стоит отметить, что многие владельцы флешек чаще всего не догадываются о наличии в них вируса, поскольку вирусные файлы обычно содержатся в скрытых папках. Чтобы до них добраться, открываем любое окно «Документы», «Компьютер» и сверху в левом углу нажимаем на «Упорядочить», а потом на «Параметры папок и поиска». После выплывет окно, выбираете вкладку «Вид». Прокрутите до конца список и поставьте галочку напротив «Показывать скрытые файлы, папки и диски».

Теперь возвращаемся к содержимому накопителя. Если вы обнаружили папки, которые не отображались ранее и имеют при этом название autorun.inf, то попробуйте их открыть. Если попытка не увенчается успехом, и выплывет окно «Доступ запрещен/невозможен», то, скорее всего, это вирус worm autorun.

скрытые папки

Как удалить вирус Autorun.inf?

Существует множество утилит, которые ищут и удаляют «вредителей». К самым известным отнесем Flash Guard и AVZ, обе программы просты в использовании и настраиваются на русский язык. Но самый простой способ распрощаться с вирусом – это форматирование накопителя.

Если вы решили воспользоваться вторым вариантом, не забывайте, что ВСЁ без исключения удалится навсегда. Поэтому скопируйте нужные файлы в папку компьютера, исключая, конечно, Autorun.inf.

Правой кнопкой мыши нажимаете на накопитель, далее выбираете «Форматирование» и убираете галочку возле «быстрое (очистка оглавления)». Можно сказать, что ваша флешка на данном этапе выздоровела, однако ей необходимо «подкрепиться после болезни»…

форматирование флешки

Как обезопасить накопитель от вирусов?

Рекомендуем скачать утилиту USB Defender, полезная штука, при этом бесплатная. После скачивания разархивируйте папку, запустите приложение. Оно сразу загрузится, без установки. И если ваша флешка ещё подключена к ПК, то приложение в своём окошке её отобразит. Там же будут две кнопки «protect = защитить» и «unprotect = снять защиту». Выбираем первое =)

Возвращаемся к содержимому флешки. Должна создаться папка от приложения USB Defender, которая будет называться Autorun.inf. Почему такое название? Потому, что если вы вновь наткнетесь на вирус Autorun.inf, то он уже не сможет заменить существующую папку Autorun.inf от USB Defender. Именно в этом и заключается профилактический механизм.

USB Defender

Вывод

Друзья, не пренебрегайте установкой антивирусных программ, они практически всегда реагируют на подобного рода «неприятности». И ещё, если вы уверены в том, что все ваши устройства и накопители без сюрпризов, то пользуйтесь автозапуском. При этом будьте начеку, подключая флешку друга/брата/свата. Когда вы подсоединяете съемный диск, выплывает окно для прямого вхождения в содержимое. Закройте его. Для переноса или копирования файлов используйте Total Commander.

Если у вас ПК никак не защищен, возможно, вам будет полезно узнать, как установить антивирус Касперского бесплатно.

автозапуск

Удачи!

Источник

Статьи » Удаляем вирус Autoran с Флешки

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Или как удалить вирус Autoran c флешки?

Антивирусы уже научились блокировать вирусы вида “autorun.inf“, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту – очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак – это все папки на флешке превратились в ярлыки.

Если на флешке важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов – вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей драгоценной папки.

Читайте также:  Подскажите как вылечить перхоть

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: “Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид”:

На вкладке “Вид” отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) – снимаем галочку
  2. Показывать скрытые файлы и папки – устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь:  ”Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид”.

Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Чтобы не удалять все файлы с флешки,  можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск – первый открывает Вашу папку, а второй – запускает вирус:

Нас интересует строка “Объект”.  Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support

Вот тот самый путь: RECYCLER6dc09d8d.exe – папка на флешке и вирус в ней.
Удаляем его вместе с папкой – теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3.  Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок – они не нужны.
2. Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Путь 1:

Открываем “Пуск”-Пункт “Выполнить”-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:  нажать ENTER,  где f: – это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.

Путь 2:

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s  в него, переименовать файл в 1.bat и запустить его.

3.  В случае, когда у Вас не получается создать такой файл – Вы можете скачать мой: Bat файл для смены атррибутов

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут! 

4. После этого,  можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые  файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек  – какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Источник

Soul Soul

Ученик

(150),
закрыт

9 лет назад

Дополнен 9 лет назад

Unlocker его тоже не видит.

Дополнен 9 лет назад

Я не знаю где сидит тело вируса, без его удаления удалять автораны и .pif бесполезно, он создает их снова. Восстановление системы отключено

Дмитрий Владимирович

Искусственный Интеллект

(382367)

9 лет назад

Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.
Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;
– найти раздел [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerMountPoints2(Буква неоткрывающегося диска)] ;
– удалить в нем подраздел Shell.
1. Будьте осторожны с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerMountPoints2] диски обозначаются не только буквами (C:, D:, E:…), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа {8397b16a-78ce-11dc-abd6-806d6172696f}. Поэтому ищите диски не только по буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerMountPoints2(Буква_диска) ] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено) .
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч (X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.

Пример избавления через реестр:

а) Удаление параметров из ключей:
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
DisableTaskMgr = 1

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
NoFolderOptions = 1

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
“Worms” = “%System%logon.bat”

б) Удаление файлов:
%System%configcsrss.exe
%WinDir%mediaarona.exe
%System%logon.bat
%System%configautorun.inf
h:autorun.inf
f:autorun.inf
i:autorun.inf
g:autorun.inf
k:autorun.inf
l:autorun.inf
o:autorun.inf
j:autorun.inf

Удаление Autorun (RECYCLER) вирусов с флешек вручную!! !

Предположим, вам принесли флешку, которая может быть заражена вирусом.
Не торопитесь вставлять ее! Действуйте по списку и у вас все получится.
Соберитесь с духом.
Обезопасьте свой компьютер при помощи утилиты Flash Guard. (в гугле введи название и тебе выдаст) .
Установите файловый менеджер: Total Commander или FreeCommander (можно попробовать использовать и стандартный Проводник, но тогда вам будет сложнее отделить файлы вируса от остальных (не советую) .
Включите в файловом менеджере показ скрытых и системных файлов. (Каждая программа настраивается посвоему, прочитайте справку — там все написано. )
Вставьте флешку и дождитесь, пока установится драйвер (это произойдет автоматически) .
Если флешка заражена, вы увидите отчет Flash Guard о том, что на ней есть autorun.inf.
Запустите файловый менеджер и откройте в нем флешку.
Не открывайте файлы двойным кликом или клавишей Enter! Если нужно просмотреть содержимое файла, воспользуйтесь клавишей F3.
Теперь удалите незнакомые файлы и папки. Как правило, подлежат удалению:
файлы autorun.~ex, autorun.bat, autorun.bin, autorun.exe, autorun.ico, autorun.inf, autorun.inf_????autorun.ini, autorun.reg, autorun.srm, autorun.txt, autorun.vbs, autorun.wsh;
прочие файлы с расширениями .inf .com .sys .tmp .exe;
папка RECYCLER или RECYCLED.
Удалив файлы, закройте файловый менеджер, извлеките и снова вставьте флешку. Вирус удален.

Читайте также:  Как вылечить заикание в домашних условиях видео

Spider_X

Мастер

(1469)

9 лет назад

Проверьте ВЕБОМ и КАСПЕРОМ. С помощью АВЗ установите безопасные параметры и проведите восстановление системы.
Если Антивирусы ничего не нашли – значит вируса нет, а файлы – всего лишь следы активности.

Дмитрий Соловьев

Мастер

(2091)

9 лет назад

если нажмешь контролА то выделишь и вирус, атак-же винт определяться пока будет – подцепит вирусняк.

Если семерка винда – то отключи автозапуск (в панеле управления)
Если ХП – то xptweaker и отключение автозапуска

Потом ток переноси то, что тебе нужно.

Ну или с помощью livecd всё это делай – там точно ничего не подцепишь

Seijuurou

Гуру

(4231)

9 лет назад

чтобы такого не было, автозапуск надо отключать, регулярно обновлять вирусные базы и ставить проверку вновь примонтированных дисков

Источник

Admin

13 июня, 2008   
61 комментарий    

В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого — обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.

1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.

Вручную:

  • Перезапустите ваш компьютер в безопасном режиме.
  • Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
  • В открывшемся окне командной консоли введите del /a:h /f c:autorun.*, для диска D, введите del /a:h /f d:autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
  • Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.

Автоматически:

  • Скачайте программу Combofix.
  • Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
  • В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.

2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера

  • Скачайте и установите программу HijackThis.
  • Запустите, кликните по кнопке Do a system scan only.
  • Выделите галочкой следующие строки:

    O4 — HKLM..Run: [SystemDrive] c:windowssystem32SVCH0ST.EXE
    O4 — HKCU..Run: [avp] C:WINDOWSsystem32avp.exe
    O4 — HKCU..Run: [amva] C:WINDOWSsystem32amvo.exe
    O4 — HKCU..Run: [kxva] C:WINDOWSsystem32kxvo.exe
    O4 — HKCU..Run: [kava] C:WINDOWSsystem32kavo.exe
    O4 — HKCU..Run: [tava] C:WINDOWSsystem32tavo.exe
    O4 — HKCU..Run: [TaskMonitor] C:WINDOWSsystem32TaskMonitor.exe
    O4 — HKCU..Run: [Realshade] C:WINDOWSsystem32realshade.exe
    O4 — HKCU..Run: [cftmonn] C:WINDOWSsystem32cftmonn.exe
    O4 — HKCU..Run: [kamsoft] C:WINDOWSsystem32kamsoft.exe
    O4 — HKCU..Run: [vamsoft] C:WINDOWSsystem32vamsoft.exe
    O4 — HKCU..Run: [kmmsoft] C:WINDOWSsystem32revo.exe
    O4 — HKCU..Run: [jvsoft] C:WINDOWSsystem32j3ewro.exe
    O4 — HKCU..Run: [ckvo] c:windowssystem32ckvo.exe

  • Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.

Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.

3. удаляем трояны с диска.

  • Скачайте архив программы Avenger.
  • Распакуйте программу на ваш рабочий стол.
  • Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:

    Files to delete:
    C:WINDOWSsystem32avp.exe
    C:WINDOWSsystem32amvo.exe
    C:WINDOWSsystem32kxvo.exe
    C:WINDOWSsystem32kavo.exe
    C:WINDOWSsystem32tavo.exe
    c:windowssystem32Bitkv0.dll
    c:windowssystem32Bitkv1.dll
    c:windowssystem32kavo0.dll
    c:windowssystem32kavo1.dll
    c:windowssystem32tavo0.dll
    c:windowssystem32tavo1.dll
    C:WINDOWSsystem32SCVVHSOT.exe
    C:WINDOWSsystem32TaskMonitor.exe
    C:WINDOWSsystem32RavMon.exe
    C:WINDOWSsystem32realshade.exe
    C:WINDOWSsystem32cftmonn.exe
    C:WINDOWSsystem32wincab.sys
    c:windowssystem32ckvo.exe
    c:windowssystem32ckvo0.dll
    c:windowssystem32gasretyw0.dll
    c:windowssystem32gasretyw1.dll
    c:windowssystem32kamsoft.exe
    c:windowssystem32vbsdfe1.dll
    c:windowssystem32vbsdfe0.dll
    c:windowssystem32vamsoft.exe
    C:WINDOWSsystem32revo.exe
    c:windowssystem32j3ewro.exe
    c:windowssystem32jwedsfdo0.dll
    c:resycledboot.com
    C:kjibu.com
    C:6fnlpetp.exe
    C:rcukd.cmd
    C:rqq2v.bat
    C:t.com
    C:xp19.com
    C:x0.cmd
    C:yg.cmd
    C:ntde1ect.com
    C:tio8×6.cmd
    C:d6fagcs8.cmd
    C:gbiehbsb.dll
    C:tio8×6.cmd
    C:fooool.exe
    C:8ng8w.com
    C:x.com
    C:xn1i9x.com
    c:invwft2h.com
    c:AutoRunAutoStart.exe
    c:AutoRunautorun.pif
    c:ktnquo.exe
    c:NewVirusRemoval.vbs
    c:kinza.exe
    c:rs.cmd
    c:yssjnngm.cmd
    c:h3.bat
    c:6fnlpetp.exe
    c:boot.exe
    C:6j2j.com
    c:jbnlnu8.exe
    c:1q8p0y.com
    c:2g.com
    c:39ysi89.com
    c:3jkka91.com
    c:92j11sm.com
    c:a.exe
    c:cjrp8.com
    c:dp.exe
    c:jg6w3yx.com
    c:ntnq.exe
    c:nw0t1l0d.exe
    c:q0rppr.exe
    c:tj8odymw.exe
    c:uh31.exe
    c:vnkucvv.com
    c:xpq63xl.exe
    c:xwpehlv.com
    c:fun.xls.exe
    c:iqe68o.bat
    c:AutoRunAutoStart.exe
    c:ampfrb.cmd
    c:hbs.exe
    c:yfog8p.exe
    c:as.bat
    c:phwe.com
    c:o0s.cmd
    c:xa2c.exe
    c:killVBS.vbs
    c:uxdeiect.com
    c:clshsy.cmd
    c:awda2.exe

  • После чего нажмите кнопку Execute.
  • Появится запрос на подтверждение ваших действий, кликните Yes/Да.
  • Компьютер будет перезагружен.
Читайте также:  Кто вылечил угревую сыпь как

4. Завершающий этап.

После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.

Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью — Не включается просмотр скрытых файлов. Как исправить ?
Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.

Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.

Автор: Admin

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

Источник

Наверное, уже у каждого пользователя ПК имеется флешка. Большая, маленькая, в цветочек или без, она стала неотъемлемым атрибутом нашей жизни. Этот карманный «накопитель» может вместить в себя кучу полезной информации, а может принести хозяину неприятный подарок. Создатели вирусов быстро смекнули, что удобная в пользовании флешка может стать хранителем «заражающей» информации и начали активно создавать USB-шные (флешечные) вирусы. Самый популярный из них, конечно, Autorun.Этот «приживалка» легко цепляется к носителю и медленно пожирает дисковое пространство. Но, как известно, непобедимых нет.

Итак, если ваша флешка не открывается, а компьютер выдает сообщение об ошибке, типа «Диск невозможно открыть, т.к. не был найден какой-то файл», знайте, носитель подцепил вирус. В таком случае контекстное меню флешки очень часто вместо привычного проводника показывает набор различных знаков. Как избавиться от неприятного соседа? Для этого жмем «Пуск», далее «Выполнить», в открывшемся окне вводим «cmd.exe» и нажимаем ОК. Открывается командная строка – выполняем команды:

del /a:hrs X:autorun.bin
del /a:hrs X:autorun.reg
del /a:hrs X:AUTORUN.FCB
del /a:hrs X:autorun.srm
del /a:hrs X:autorun.txt
del /a:hrs X:autorun.wsh
del /a:hrs X:Autorun.~ex
del /a:hrs X:Autorun.exe
del /a:hrs X:autorun.inf_?????
del /a:hrs X:autorun.inf,

где Х-буква флешки.

Рекомендуется поискать эти файлы в папке «windowssystem32.» и тоже их удалить. ВАЖНО! Постарайтесь не удалить ничего нужного, если вы не уверены в правильности своего выбора, лучше просто оставьте все как есть. Для того, чтобы реестр продолжал нормально работать, откроем редактор реестра (Пуск > Выполнить > regedit > OK). Находим слева раздел: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2(буква флешки) и безжалостно стираем подраздел «Shell». Также можно удалить вкладку «MountPoints2», но это приведет к уничтожению всей информации о существующих носителях, поэтому не рекомендуем экспериментировать.
Настройка компьютера для повышения безопасности
Используйте браузер Mozilla Firefox ( https://www.mozilla-russia.org/products/firefox/ ) или Opera ( www.opera.com ) вместо дырявого, как решето Internet Explorer.
Отключите автозапуск с флэшек через gpedit.msc или через regedit, добавив по пути HKEY_CURRENT_USER->Software->Microsoft->Windows->CurrentVersion->Policies->Explorer шестандцатиричную переменную NoDriveTypeAutoRun со значением 0xff или просто ff.
Настройте, чтоб компьютер показывал расширения файлов и вы видели где реальная папка, а где “Новая папка.exe”. В свойствах папки отключите “Скрывать расширение для файлов зарегистрированного типа”. Для этого зайдите в любую папку, найдите в меню Сервис->’Свойства папки’ и уберите галочку «Скрывать расширение для файлов зарегистрированного типа». После этой настройки нажмите «Применить ко всем папкам». Таким образом даже если на флэшке вы видите «Новая папка.exe» вы уже будете знать, что ни в коем случае не стоит пытаться зайти в эту папку.

Не хочется возиться? Тогда скачайте программу для автоматического распознавания и удаления вируса Autorun. Самая простая из них – «Anti-Autorun v 3.1» . Смело запускайте программу и ждите, пока она сотрет все подозрительные файлы. Программы такого типа не требуют установки, просто скачайте и начните работу.

Все выше описанное автором является верным решением для борьбы с мелким вредителем.
Вот еще одна программка для ленивых.
Antirun – удобная утилита, которая поможет защитить ваш компьютер от вирусов, работающих через автоматический запуск с диска (autorun-вирусов). Крошечная программа совсем не конфликтует с полноценными антивирусными продуктами, проста в использовании и использует минимум памяти.OC Windows 7/Vista/XP. Язык русский.
https://turbobit.net/9vgq07on756w.html
https://turbobit.net/e91n51mrxwpk.html
https://depositfiles.com/files/2pn3jtjrd
https://depositfiles.com/files/ldovlcefr
https://www.lisintaras.ru/publ/sovety_po_pk/windows…_udalit_virus_autorun/3-1-0-34

Вирусы с флэшек
Вы вставляете USB флэш драйв в компьютер, заходите на флэшку, а вас не пускают. Что это? А это использование вирусами фунции Windows “Автозапуск”. Если вы вставляли вашу флэшку в зараженный компьютер, значит на ней уже есть файлы инструктирующие любой компьютер в который будет вставлена флэшка запустить вирус. Это файлы Autorun.inf и прочие autorun.*, к которым прилагаются .EXE или .DLL вирусы, которым собственно и передается управление с помощью автозапуска. Пользователю ничего не нужно делать чтоб вирус запустился, кроме как вставить флэшку. Для того чтоб избежать такого вы должны отключить автозапуск в операционной системе и только вручную открывать то что вам нужно. Система не должна без вашего ведома что либо запускать. Чтоб отключить автозапуск надо открыть редактор групповых политик. В кнопке ПУСК -> выполнить наберите “gpedit.msc”, далее «политика Локальный компьютер» -> «Конфигурация компьютера» – «Административные шаблоны» – «система» и справа пункт «Отключить автозапуск»; открыть свойства этого пункта и поставить «Включен». А в менюшке «Отключить автозапуск» выбрать «на всех дисководах». Удаляйте с всегда с флэшек файлы Autorun. Как удалять такие вирусы из процессов читайте дальше.
https://yandexbox.at.ua/publ/kompjutery_internet/kak_udaljat_virusy_trojany/5-1-0-131

Источник