Как вылечить компьютер от autorun
Приветствую всех! Составляя нашу предыдущую статью на тему «Почему компьютер не видит флешку?», мы не стали сильно углубляться в вопрос наличия конкретных вирусов на накопителе, которые могут тормозить его работу. Поэтому сегодня предлагаем разобрать более подробно наиболее распространенный файл — Autorun.inf, а также его функции.
Если вам интересна тема компьютерных вирусов, то почитайте еще о таком вирусе как червь. Он очень распространен и его последствия могут быть не сразу заметны.
Что такое Autorun.inf и зачем он нужен?
Autorun.inf – это файл, который автоматически запускает установку драйверов, приложений, программного обеспечения с накопителя. И изначально был создан для того, чтобы облегчить жизнь простого пользователя, когда тот, например, решит переустановить Windows. Безусловно, авторан полезен, если использовать его по назначению.
Но, как говорится, нет худа без добра… Есть горе-программисты, которые создают вирусы и с помощью Autorun.inf их распространяют. И чаще всего это осуществляется через разнообразные портативные устройства хранения информации, которые как раз и выступают в качестве носителя компьютерного паразита.
Отсюда следует, что сам файл автозапуска абсолютно безвреден и устанавливает лишь то, что было в нём прописано.
Как работает вирус Autorun.inf?
Как можно догадаться, вирус Autorun.inf размножается путём автоматического копирования самого себя на различные съемные носители. Таким образом, зараженные флешки, карты памяти, съемные диски и т.д. продолжают цепь «эпидемии» и, подключаясь к ПК или ноутбуку, заражают его.
На самом деле, не нужно сразу же переживать, если Вы обнаружили файл Autorun на флешке или CD диске. Возможно, что в данном случае он будет использоваться по назначению, например, запустит игру и т.д. А вот смутные сомнения должны терзать вас в том случае, если вы обнаружили авторан, например, на карте памяти фотоаппарата или видеокамеры. Ведь, понятно и так, что никаких установок не предвидится.
Как обнаружить вирус на флешке?
Стоит отметить, что многие владельцы флешек чаще всего не догадываются о наличии в них вируса, поскольку вирусные файлы обычно содержатся в скрытых папках. Чтобы до них добраться, открываем любое окно «Документы», «Компьютер» и сверху в левом углу нажимаем на «Упорядочить», а потом на «Параметры папок и поиска». После выплывет окно, выбираете вкладку «Вид». Прокрутите до конца список и поставьте галочку напротив «Показывать скрытые файлы, папки и диски».
Теперь возвращаемся к содержимому накопителя. Если вы обнаружили папки, которые не отображались ранее и имеют при этом название autorun.inf, то попробуйте их открыть. Если попытка не увенчается успехом, и выплывет окно «Доступ запрещен/невозможен», то, скорее всего, это вирус worm autorun.
Как удалить вирус Autorun.inf?
Существует множество утилит, которые ищут и удаляют «вредителей». К самым известным отнесем Flash Guard и AVZ, обе программы просты в использовании и настраиваются на русский язык. Но самый простой способ распрощаться с вирусом – это форматирование накопителя.
Если вы решили воспользоваться вторым вариантом, не забывайте, что ВСЁ без исключения удалится навсегда. Поэтому скопируйте нужные файлы в папку компьютера, исключая, конечно, Autorun.inf.
Правой кнопкой мыши нажимаете на накопитель, далее выбираете «Форматирование» и убираете галочку возле «быстрое (очистка оглавления)». Можно сказать, что ваша флешка на данном этапе выздоровела, однако ей необходимо «подкрепиться после болезни»…
Как обезопасить накопитель от вирусов?
Рекомендуем скачать утилиту USB Defender, полезная штука, при этом бесплатная. После скачивания разархивируйте папку, запустите приложение. Оно сразу загрузится, без установки. И если ваша флешка ещё подключена к ПК, то приложение в своём окошке её отобразит. Там же будут две кнопки «protect = защитить» и «unprotect = снять защиту». Выбираем первое =)
Возвращаемся к содержимому флешки. Должна создаться папка от приложения USB Defender, которая будет называться Autorun.inf. Почему такое название? Потому, что если вы вновь наткнетесь на вирус Autorun.inf, то он уже не сможет заменить существующую папку Autorun.inf от USB Defender. Именно в этом и заключается профилактический механизм.
Вывод
Друзья, не пренебрегайте установкой антивирусных программ, они практически всегда реагируют на подобного рода «неприятности». И ещё, если вы уверены в том, что все ваши устройства и накопители без сюрпризов, то пользуйтесь автозапуском. При этом будьте начеку, подключая флешку друга/брата/свата. Когда вы подсоединяете съемный диск, выплывает окно для прямого вхождения в содержимое. Закройте его. Для переноса или копирования файлов используйте Total Commander.
Если у вас ПК никак не защищен, возможно, вам будет полезно узнать, как установить антивирус Касперского бесплатно.
Удачи!
Источник
Зачем он нужен?
Конечно, у вас возник вопрос – “Зачем он нужен, когда есть Каспер, Dr Web, Avast, Panda и другие антивирусные гиганты?”
Отвечаю: Зоркий глаз находит файл автозапуска, то есть всё-всё-всё, что загружается автоматически в тот момент, когда вы делаете двойной клик по значку флешки. Много ли легальных программ используют такой способ запуска (компакт-диски в расчёт не берём)? Единицы! Поэтому ЗГ не проверяет – вирус там, или не вирус… Он знает наверняка. Таким нехитрым образом гарантированно блокируются даже неизвестные и любительские вирусы, на которые многие “лечилки” просто закрывают глаза. Метод называется «Бей своих, чтобы чужие боялись» и практикуется на Руси с древнейших времён.
Обратите внимание:
- Файлы, удалённые по ошибке, можно вернуть.
- Для полезных программ существует список исключений.
- Зоркий глаз не использует антивирусных баз, а значит, вам не придётся их постоянно обновлять.
Другая не менее полезная функция – обнаружение маскирующихся вирусов. Зоркий глаз не проверяет файлы по каким-либо базам, или сигнатурам. Он просто смотрит на них глазами пользователя. И если видит вводящий в заблуждение значок, бьёт тревогу.
И наконец – самый драматичный вариант. Вирусы, которые не требуют щёлкать по ним мышкой. Они распространяются через ярлыки (*.lnk) и запускаются сами, пока вы просматриваете содержимое флешки. Заражению подвержены все версии windows без исключения. Не спасёт даже TotalCommander. И вот, учитывая тот факт, что создавать ярлыки на флешках никто в здравом уме не станет (поскольку они будут работать только на родном компьютере), было решено включить в программу функцию, которая находит ярлыки на подключаемых флешках и отправляет из в карантин. Судя по отзывам пользователей, функция со своими обязанностями справляется на все сто!
Популярность флешек подарила вторую жизнь троянам, ранее облюбовавшим дискеты. Свою лепту в дело продвижения заразы внесли также разработчики Windows – люди, дети и внуки которых ещё долго будут краснеть и отворачиваться при упоминании Autorun.inf. Правда, британские учёные утверждают, что нашли решение – мол, достаточно поменять несколько значений в системном реестре, поставить на флешку крутую вакцину и всё будет путём, однако такие изменения имеют свои жирные минусы и порой не выдерживают никакой критики. Подробнее о файлах автозапуска и способах борьбы с ними можно почитать здесь.
Считается, что обезопасить компьютер от вторжения любых зловредных программ можно установкой дорогого антивирусного пакета. Это верно, но такая защита эффективна не более чем на 10% (ориентировочно). Почему? Всё очень просто. Когда появляется новый вирус, то большинство антивирусных программ, даже при использовании эвристического анализатора, не могут его определить, поскольку сделать своё творение невидимым для большинства распространённых систем защит – основная задача вирусописателя. Новые вирусы распространяются с космической скоростью и инфицируют всё, что попадается на их пути. Вероятность подхватить заразу увеличивается до 90%. По прошествии какого-то времени, пользователи интернета обновляют вирусные базы и лечат компьютеры. После этого заразиться намного сложнее, зловредный код изучен специалистами, выпущены сответствующие исправления и проч. Вот и получается, что (применительно к новым вирусам) антивирусы предназначены только для лечения. А “Зоркий глаз” – это средство для предотвращения заражения компьютера. Чувствуете разницу? Ведь вирус может оказаться “весёлым” и успеет уничтожить, либо зашифровать информацию. Лечить такой компьютер будет уже поздно.
Чем он лучше других?
Зоркий глаз появился в 2007-м году и был первой программой в своём классе. К настоящему моменту таких программ, выполняющих схожие функции – удаление автозапусков – существует не менее десятка. Однако не стоит забывать, что, даже будучи удалённым, автозапуск остаётся в памяти «проводника» в виде кеша, а потому, если не удалить сам вирус, компьютеру не поздоровится. Благодаря продвинутому алгоритму анализа файлов autorun.inf (даже обфусцированных), Зоркий глаз способен находить и уничтожать большее количество вирусов, чем любая другая программа. При этом в область защиты попадают не только флешки, но и внешние жёсткие диски, подключаемые не только через usb, но и через любые другие интерфейсы, что, кстати, является ещё одной отличительной чертой программы.
Итак, вкратце, чем Зоркий глаз может вас порадовать:
- Полная защита от autorun-вирусов. Многие скажут, что так не бывает. Бывает, ещё как! Ведь, по сути, вся информация о вирусе хранится в этом файле, Autorun.inf. Достаточно уметь её оттуда правильно достать.
- Защита от вирусов, маскирующихся под папки (хотя вообще, применительно к флешкам, правильнее использовать термин “троян”). Это умеет делать только Зоркий глаз! Функция перекрывает один из самых популярных способов распространения вредоносных программ. Вы можете проверить её работоспособность на примере тестовых файлов.
- Предупреждение при запуске с флешки исполняемых файлов с двойным расширением.
- Защита от вирусов, распространяющихся через ярлыки. Простое и эффективное решение против зловредов типа Stuxnet.
- Восстановление спрятанных вирусом папок. Многие вирусы имеют премерзкую привычку скрывать папки несчастных пользователей, становясь на их место. От удаления вируса «Договор с клиентом.lnk» или «Договор с клиентом.exe» сама папка видимой не станет, а вот владелец флешки может получить серьёзную психическую травму, листая логи. Тут всё серьёзно. Поэтому и придумана эта функция, после каждого лечения просматривающая флешку на наличие скрытых папок и возвращающая им нормальные атрибуты, а заодно – восстанавливающая папки, спрятанные вирусами типа Worm.Win32.Radminer.d.
- Уникальная функция – теперь флешка сама может предупредить что на ней вирус, поменяв свой значок на ярко-красный. Причём даже если Зоркий глаз отключен. Способ придуман мной, в других программах не встречается. Пока…
- Утилита “Доктор” (входит в комплект) – легко вылечит компьютер от последствий пребывания на нём вирусов, в частности поможет разблокировать диспетчер задач, починит “безопасный режим” или восстановит отображение скрытых и системных файлов. Эта функция не претендует на полноту (тот же AVZ, антивирус Зайцева, может намного больше), однако позволяет быстро справиться с самыми распространёнными “приветами” от вирусов.
- Утилита “Твикер” (входит в комплект) – позволяет запретить или разрешить выполнение autorun.inf на вашем компьютере и настраивать параметры autoplay. Она же отвечает за функцию “Менять значок носителей с автозапусками”, которую желательно включить и никогда не отключать.
И ещё немного приятных мелочей:
- Проверка всех внешних устройств. Зоркий глаз проверяет не только USB-девайсы – в область защиты попадают любые устройства, способные переносить autorun-вирусы.
- Карантин. Гарантирует, что ничего не будет стёрто! Не имея вирусных баз, Зоркий глаз не сможет наверняка отделить “свои” файлы от чужих. Ложные срабатывания редко, но случаются. Но это не станет для вас проблемой – ведь подозрительные объекты не стираются, а попадают специальную папку, карантин. После этого вы можете удалить их окончательно, либо восстановить. Конечно, если в ваши планы не входит собирать коллекцию вирусов, можете включить Kill Mode – все файлы будут уничтожаться на корню.
- Список доверенных приложений. Есть возможность составить список тех приложений, которым будет позволено запускаться из Autorun.inf.
- В условиях предприятия, или оффиса, вы легко сможете выявить источник заражения, ведь Зоркий глаз умеет запоминать вставляемые в компьютер флешки.
- Опция “Администрирование” позволяет защитить настройки от посягательств пользователей, работающих под ограниченными учётными записями.
- Программа ни коим образом не конфликтует с другими антивирусами (а зачем?) и может использоваться как дополнение к основному. Не надо считать Зоркий глаз заменой обычному антивирусу, это только дополнение. Хотя, на компьютерах без подключения к сети, флешки – единственный источник заразы…
- Зоркий глаз не использует вирусных баз, а значит отпадает головная боль по их постоянному обновлению.
- Зоркий глаз распространяется бесплатно (donateware) для жителей (равно как и для организаций) России и стран бывшего Советского Союза. К чему каждую зиму продлевать лицензию на трёхслойный стеклопакет, если можно просто утеплить “Окна” бесплатными подручными материалами? Всякая материальная благодарность – дело сугубо добровольное.
- Компактный размер, никакой нагрузки на систему. Мгновенная реакция. Симпатичный внешний вид и поддержка шкурок . Удобный значок в трее. Приятная озвучка!
Источник
Admin
13 июня, 2008
61 комментарий
В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого — обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.
1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.
Вручную:
- Перезапустите ваш компьютер в безопасном режиме.
- Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
- В открывшемся окне командной консоли введите del /a:h /f c:autorun.*, для диска D, введите del /a:h /f d:autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
- Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.
Автоматически:
- Скачайте программу Combofix.
- Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
- В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.
2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
- Скачайте и установите программу HijackThis.
- Запустите, кликните по кнопке Do a system scan only.
- Выделите галочкой следующие строки:
O4 — HKLM..Run: [SystemDrive] c:windowssystem32SVCH0ST.EXE
O4 — HKCU..Run: [avp] C:WINDOWSsystem32avp.exe
O4 — HKCU..Run: [amva] C:WINDOWSsystem32amvo.exe
O4 — HKCU..Run: [kxva] C:WINDOWSsystem32kxvo.exe
O4 — HKCU..Run: [kava] C:WINDOWSsystem32kavo.exe
O4 — HKCU..Run: [tava] C:WINDOWSsystem32tavo.exe
O4 — HKCU..Run: [TaskMonitor] C:WINDOWSsystem32TaskMonitor.exe
O4 — HKCU..Run: [Realshade] C:WINDOWSsystem32realshade.exe
O4 — HKCU..Run: [cftmonn] C:WINDOWSsystem32cftmonn.exe
O4 — HKCU..Run: [kamsoft] C:WINDOWSsystem32kamsoft.exe
O4 — HKCU..Run: [vamsoft] C:WINDOWSsystem32vamsoft.exe
O4 — HKCU..Run: [kmmsoft] C:WINDOWSsystem32revo.exe
O4 — HKCU..Run: [jvsoft] C:WINDOWSsystem32j3ewro.exe
O4 — HKCU..Run: [ckvo] c:windowssystem32ckvo.exe - Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.
Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.
3. удаляем трояны с диска.
- Скачайте архив программы Avenger.
- Распакуйте программу на ваш рабочий стол.
- Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
Files to delete:
C:WINDOWSsystem32avp.exe
C:WINDOWSsystem32amvo.exe
C:WINDOWSsystem32kxvo.exe
C:WINDOWSsystem32kavo.exe
C:WINDOWSsystem32tavo.exe
c:windowssystem32Bitkv0.dll
c:windowssystem32Bitkv1.dll
c:windowssystem32kavo0.dll
c:windowssystem32kavo1.dll
c:windowssystem32tavo0.dll
c:windowssystem32tavo1.dll
C:WINDOWSsystem32SCVVHSOT.exe
C:WINDOWSsystem32TaskMonitor.exe
C:WINDOWSsystem32RavMon.exe
C:WINDOWSsystem32realshade.exe
C:WINDOWSsystem32cftmonn.exe
C:WINDOWSsystem32wincab.sys
c:windowssystem32ckvo.exe
c:windowssystem32ckvo0.dll
c:windowssystem32gasretyw0.dll
c:windowssystem32gasretyw1.dll
c:windowssystem32kamsoft.exe
c:windowssystem32vbsdfe1.dll
c:windowssystem32vbsdfe0.dll
c:windowssystem32vamsoft.exe
C:WINDOWSsystem32revo.exe
c:windowssystem32j3ewro.exe
c:windowssystem32jwedsfdo0.dll
c:resycledboot.com
C:kjibu.com
C:6fnlpetp.exe
C:rcukd.cmd
C:rqq2v.bat
C:t.com
C:xp19.com
C:x0.cmd
C:yg.cmd
C:ntde1ect.com
C:tio8×6.cmd
C:d6fagcs8.cmd
C:gbiehbsb.dll
C:tio8×6.cmd
C:fooool.exe
C:8ng8w.com
C:x.com
C:xn1i9x.com
c:invwft2h.com
c:AutoRunAutoStart.exe
c:AutoRunautorun.pif
c:ktnquo.exe
c:NewVirusRemoval.vbs
c:kinza.exe
c:rs.cmd
c:yssjnngm.cmd
c:h3.bat
c:6fnlpetp.exe
c:boot.exe
C:6j2j.com
c:�jbnlnu8.exe
c:1q8p0y.com
c:2g.com
c:39ysi89.com
c:3jkka91.com
c:92j11sm.com
c:a.exe
c:cjrp8.com
c:dp.exe
c:jg6w3yx.com
c:ntnq.exe
c:nw0t1l0d.exe
c:q0rppr.exe
c:tj8odymw.exe
c:uh31.exe
c:vnkucvv.com
c:xpq63xl.exe
c:xwpehlv.com
c:fun.xls.exe
c:iqe68o.bat
c:AutoRunAutoStart.exe
c:ampfrb.cmd
c:hbs.exe
c:yfog8p.exe
c:as.bat
c:phwe.com
c:o0s.cmd
c:xa2c.exe
c:killVBS.vbs
c:uxdeiect.com
c:clshsy.cmd
c:awda2.exe - После чего нажмите кнопку Execute.
- Появится запрос на подтверждение ваших действий, кликните Yes/Да.
- Компьютер будет перезагружен.
4. Завершающий этап.
После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.
Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью — Не включается просмотр скрытых файлов. Как исправить ?
Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.
Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.
Источник