Июль 30 2008

Решение проблемы AutoRun-вирусов (отключение autorun.inf)

Категория: Lifehack, Безопасностьgugglegum @ 11:49

В последнее время довольно большую распространенность получили вирусы, основанные на функции автозапуска программ с дисков при их подключении или открытии. USB-флешки сегодня есть у каждого более или менее продвинутого человека, и эти люди без всякой опаски вставляют свои флешки куда ни попадя, заражая их вирусами и все последующие компьютеры через зараженные флешки.

Можно использовать антивирус, но антивирус должен быть резидентный. Резидентные антивирусы, во-первых, значительно замедляют работу компьютеров, поэтому многие люди (например, я) не используют их. Во-вторых, стоят денег. В-третьих, антивирус защищает только от тех вирусов, которые он смог распознать.

Я считаю для себя избыточным использование резидентных антивирусов, т.к. лучшая защита — это голова, которая понимает как работают вирусы и, исходя из этого, соблюдает элементарные правила, не допускающие проникновение вирусов.

Но виндовый автозапуск — исключение, поскольку вредоносный код выполняется в момент подключения диска прежде, чем вы успели что-либо сделать на компьютере. Поэтому на мой взгляд стоит пожертвовать этим небольшим удобством ради безопасности.

Трагедия заключается в том, что в Windows XP по умолчанию запрет автозапуска для съемных дисков не установлен, и благодаря этому вирусы типа Autorun получили огромную распространенность. В версиях Windows 2000 и 2003 заразить Autorun-вирусом можно по сути только через CD, но через CD много людей не заразишь, да и сам CD заразить довольно сложно, а флешки — просто идеальный вариант. Поэтому, если у Вас Windows XP, и Вы ничего специально не настраивали, то Вы рискуете заразить свой компьютер, вставляя очередную флешку Вашего лучшего друга, и начать заражать после этого других своих друзей. Далее я расскажу про 2 способа защититы от этого.

Первый способ

Через Пуск/Выполнить запустите gpedit.msc. В появившемся окне выберите ветку дерева слева Конфигурация компьютера - Административные шаблоны - Система. В рабочей области найдите пункт “Отключить автозапуск”. Выбрав “включен”, выберите также на “всех дисководах”. Через данный интерфейс можно отключить автозапуск либо только для CD (что в действительности включает в себя: неизвестные, CD, сетевые и съемные диски), либо для всех дисков. Обратите внимание, отключение для CD-дисководов отключает также и съемные (флеш) диски, что вобщем-то решает нашу проблему, но оставляет, например, автозапуск для жестких дисков. Поэтому я рекомендую использовать отключение для всех дисков.

Если вы напротив хотите отключить автозапуск везде, кроме CD, то для этого придется через regedit залезть в реестр в ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun и установить нужное значение DF, которое формируется посредством битовой маски (суммированием чисел, соответствующих разным битам):

0x01 (DRIVE_UNKNOWN) — привод, тип которого не может быть определен
0x02 (DRIVE_NO_ROOT_DIR) — диск с невалидным корнем (сетевые “шары”?)
0x04 (DRIVE_REMOVABLE) — съемный диск (дискеты, флешки)
0x08 (DRIVE_FIXED) — несъемный диск (жесткий диск)
0x10 (DRIVE_REMOTE) — сетевой диск
0x20 (DRIVE_CDROM) — CD-привод
0x40 (DRIVE_RAMDISK) — виртуальный диск (RAM-диск)
0x80 (DRIVE_FUTURE) — будущие типы устройств

Сумма всех этих типов есть 0xFF, что соответствует отключению автозапуска для абсолютно всех дисков.

Значения по умолчанию

0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)

Если у Вас Windows XP Home Edition

В Windows XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому вы должны создать раздел и параметр NoDriveTypeAutoRun вручную (”Создать” / “Параметр DWORD”).

Второй способ

Второй способ более радикальный и является скорее хаком, но работает железно. По сути он подменяет содержимое файла autorun.inf значением из реестра, которое нарочно задается пустым/неверным. Это приводит к тому, что если на диске и есть файл autorun.inf, то он воспринимается как пустой.

Вот Registry-файл, который таким способом отключает автозапуск:

REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"

Скачать noautorun.reg.

Чтобы вернуть как было, достаточно просто удалить regedit’ом ветку HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf.

Примечание: Для того, чтобы изменения вступили в силу, при использовании обоих способов необходимо перезагрузить компьютер (утилита gpupdate в первом способе не помогает).

Другие способы

Есть и другие способы, например, установка параметра AutoRun в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom равным 0. Но этот способ, однако, не убирает пункт “Автозапуск” в контекстном меню диска и открытие диска из Проводника посредством двойного клика приведет к срабатыванию автозапуска. Поэтому я этот метод считаю ненадежным.

105 отзывов на “Решение проблемы AutoRun-вирусов (отключение autorun.inf)”

  1. Чистяков Денис says:

    Спасибо, отличный обзор, в не так давно воспользовался способом через gpedit.msc, и сейчас стараюсь везде где руки даходят отключать, уж больно яростно стали вирусы таким способом распространяться… (

  2. wolfsoft says:

    Спасибо! Достали эти вирусы!

  3. Electronicman says:

    Есть ещё вариант на своей флешке создать _ПАПКУ_ autorun.inf и положить внутрь пустой текстовый файлик. Тогда зараза не прилипнет на вашу флешку даже на чужом компе )

  4. Kivlov says:

    А как быть в Windows Vista? Там в групповой политике нет строки отключения автозапуска по указанному пути.

  5. Ivanova says:

    а есть ли более современные программы/методы борьбы с заразой?

  6. Соммер says:

    а вот у меня работает только такой способ

  7. Соммер says:

    способ сомтрите по ссылке:
    http://asommer.narod.ru/sysadmin.html

  8. arcman says:

    > Соммер
    мутный у тебя какой то способ, перечисленные тут должны работать.
    если это не так - проблему стоит искать в совсем другом месте.

    Автору спасибо за систематизированный комплексный подход :)

  9. Никлс says:

    А можно во втором способе вместо пустого autoron.inf вставить авторан с командой открыть флешку

  10. F1g2 says:

    Первый способ через gpedit.msc работает железно, но второй к сожалению у меня не работает. Пробовал на XP SP2 и SP3, перезагружался, проверил соответствующий ключ в реестре - да есть… но autorun.inf все равно запускается

  11. gugglegum says:

    А вы точно не путаете понятия AutoRun и AutoPlay? Последний просто автоматически запускает тот или иной медиаплеер при вставке диска того или иного типа и отключается в свойствах проводника. AutoPlay не несет большой опасности.

  12. Илюха says:

    Первый способ gpedit.msc работает железно!Автору респект и уважуха!!!!!

  13. Егорка says:

    Цитата: а есть ли более современные программы…

    Сколько не старайся, первый же вирус залезет в реестр и сделает там всё по-своему))) Поэтому автозапуски нужно удалять, как говорится, на корню. Я тут нашел одну программулину “Зоркий глаз” называется. Это бесплатный антивирус, специально для автозапусков флешек и HDD. Идея проста - вставляешь зараженную флелшку, на экране выскакивает “тревога”, и ЛЮБОЙ автозапуск отправляется в карантин, даже не успев заявить о себе. Весит 500 кб. http://www.exnax.narod.ru

  14. Илюха says:

    А вот ещё один 100% вариант-AntiAutorun.За несколько секунд вы избавитесь от всех Autorun.Прога не требует установки,весит 108кб.Вот прямая ссылка http://www.bombina.com/load/anti_autorun.exe.Качаем и пользуемся на здоровье.

  15. KaizRRR says:

    Всем прива. А что делать если он уже прописался в реестре как у себя дома. И антивир он же Dr.web его не видит.Можно ли как нить в ручную убрать все его труды заразные?Знаю что не много не в тему, но хотелось бы как нить своими силами попробовать избавиться

  16. gugglegum says:

    Наиболее надежный вариант — отцепить винт, подключить его к здоровому компьютеру в качестве дополнительного винта (на здоровом компьютере предварительно отключив всякий автозапуск) и со здорового компьютера пройтись антивирусом вдоль и поперек. Проблема в том, что лечить вирусы живьем, т.е. когда они активны крайне трудно. Антивирус зачастую просто не может увидеть наличие вируса в памяти и чтобы он ни делал, вирус снова даст о себе знать через короткое время.

  17. Санёка says:

    Можно ли как нить в ручную..

    Можно. Но нужны навыки специалиста). Подробнее - см. в гугле “как удалить вирус вручную”. Придётся скачать много-много замудрённого софта, прочитать горы faq, но если ты чел настойчивый, справишься) [я верю]

  18. Дмитрий says:

    спасибо!

  19. CkoPnuK says:

    Привет всем. Самый распространенный из авторан-вирусов - amvo. Что бы от него избавится, достаточно в реестре (Win+R (выполнить) набрать regedit и жать ок) по пут:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    или
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    удалить параметр, который ссылается на файл:
    \System32\amvo.*

    после этого в раздлов можно удалять эти самые автораны.inf
    PS: не забудьте потом еще почистить все файлы amvo.* в system32 (ничего опасного в их удалении нет)
    PPS: так же некоторые автораны на разделах создают файлы *.com - по идее их там не должно быть, если сами не сохраняли или какая-то программулина вам нужная их туда сохранила (что очень редко бывает).
    Если не уверены удалять их или нет, то качаем с ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe бесплатная утилита от DrWeb… к сожалению сама она не обновляется и весит около 13 мб, если мне память не изменяет - она с авторанами нормально справляется.

  20. Владимир says:

    Спасибо, реально помогло избавиться от одной надоедливой заразы.

  21. vd says:

    автору спасибо!
    воспользовался советом о gpedit.msc
    дело обтоит нескоько иначе если комп заражен вирусом который генерит эти авторуны.
    симптомы..
    1. при подключении флешки, оно там выкладывает autorum.inf и исполняемый файл, на чистой флешке у меня появлялся system.exe, причем NOD32 благополучно удаляет autorum.inf и все на этом, в системе он ни чего не обнаруживает, на флешке этот .exe неудаляет, очевидно считает что оно нормальное, к вирусам не имеющее отношения.
    2. При входе в систему юзером не с правами администратора сессия незагружается, выскакивают окна с ошибками, первое из них - ругань на svchost который чего то там не смог запустить, а затем масса окон ругани на iexplorer.exe, в итоге пустая панель, таск менеджер по трем кнопкам незапускается.
    врукопашную пришлось искать эту заразу
    по поиску svchost.exe в реестре, наткнулся на необычную ссылку “C:\Program Files\Microsoft Common\svchost.exe”
    упс, похоже это оно, проверил на незараженном компе - такой ссылки и ветки нет.
    ветка:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
    “Debugger”=”C:\\Program Files\\Microsoft Common\\svchost.exe”
    удалил эту ветку, и естественно удалил файл “C:\Program Files\Microsoft Common\svchost.exe”
    вылечил, подозреваю что есть еще какието хвосты, но они уже бесполезный мусор.

  22. Дмитрий says:

    vd - большое спасибо . помогло именно удаление папки Microsoft Common - все симптомы как рукой сняло.

  23. Михаил says:

    Огромнейшее спасибо!!!

  24. Дима says:

    Проявления после заражения вирусом autorun

    1. После команды не появляются скрытые файлы и папки
    2. Неправильно отображаются значки системных дисков и съемных
    носителей
    3. Глючит флэшка
    4. В сеть передаютя пакеты по несколько килобайт
    5. И т.д.

    Для того, чтобы узнать сидит ли у Вас этот вирус можно воспользоваться
    утилитой anti_autorun.exe (в любом случае она просигнализирует
    находятся у вас на носителях файлы autorun или нет).
    Иногда она помогает сразу вылечиться от этой заразы.
    Если у Вас нет этой утилиты необходимо в реестре в ветке
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
    установить значение в 1 и затем в настройках вида папок вернуть отображение
    скрытых и системных файлов и папок.

    В результате мы увидим находятся или нет в корневых папках
    дисков и носителях следующие папки и файлы:

    autorun.inf
    jwgkvsq.vmx (RECYCLER\S-5-3-42-2819952290-8240759888-879315005-3665\jwgkvsq.vmx)

    если да, то Вам не повезло

    Метод борьбы
    C помощью утилиты Unlocker удаляем файл
    autorun.inf и папку с файлом
    S-5-3-42-2819952290-8240759888-879315005-3665\jwgkvsq.vmx

    Если нет программы Unlocker, то через командную строку удаляем autorun.inf
    C:\>attrib autorun.inf
    A SHR C:\autorun.inf
    C:\>attrib -H -A -S -R autorun.inf
    C:\>attrib autorun.inf
    C:\autorun.inf
    C:\>del autorun.inf

    Иногда этого достаточно.
    Для того, чтобы узнать удалился вирус или нет,достаточно
    перезагрузить компьютер и несколько раз воткнуть флэшку
    или запустить программу anti_autorun.exe.
    Если не помогло повторяем процесс и далее делаем следующее:

    В командной строке набираем:
    C:\WINDOWS\system32 dllcache
    25.03.2008 12:05 488 logonui.exe.manifest
    25.03.2008 12:05 749 ncpa.cpl.manifest
    15.04.2008 14:00 168 509 nlvks.dll (ЭТО ОНО)
    25.03.2008 12:05 749 nwc.cpl.manifest
    25.03.2008 12:05 749 sapi.cpl.manifest
    25.03.2008 12:05 168 509 giugzeu.dll (ЭТО ОНО)
    25.03.2008 12:05 488 WindowsLogon.manifest
    25.03.2008 12:05 749 wuaucpl.cpl.manifest
    8 File(s) 173 230 bytes
    1 Dir(s) 74 078 367 744 bytes free

    Названия файла(ов) могут быть другими, но смысл не меняется

    Unlocker..ом УДАЛЯЕМ эти файлы из system32
    (не забываем в настройках вида папок вернуть отображение
    скрытых и системных файлов и папок, чтобы их увидеть.)

    Если нет Unlocker…a

    Меняем права доступа к файлу или файлам
    Например:
    C:\WINDOWS\system32>cacls nlvks.dll /G Everyone:F
    Are you sure (Y/N)?y
    processed file: C:\WINDOWS\system32\nlvks.dll

    C:\WINDOWS\system32>cacls nlvks.dll
    C:\WINDOWS\system32\nlvks.dll Everyone:F

    и удаляем их.

    Потом лезем в реестр
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    там смотрим значение ключа netsvcs
    Последнее значение этого ключа это имя сервиса который формируется вирусом
    Запоминаем или копируем его название и УДАЛЯЕМ.
    Потом идем в \HKLM\SYSTEM\CurrentControlSet\Services и ищем это название
    УДАЛЯЕМ его.
    Скорее всего на удаление у вас не будет прав доступа. Поэтому
    правой кнопкой из меню “Разрешения/Permissions” добавте Администратора
    на полный доступ.
    Перезагружаемся.
    Проверяем.
    Победа за нами.
    D.I.O.S.Kamchatka

  25. Олег says:

    Второй способ лично у меня сработал отлично. Autorun убит на корню. Автору огромное спасибо.

  26. Михаил says:

    Огромное спасибо Автору за предоставленный способо удаления jwgkvsq

  27. Павел says:

    Не знаю, больно мудрено тут все как-то. Сам с этой напастью справился так: скачал бесплатную утилиту AVZ
    http://www.z-oleg.com/secur/avz/
    Дочистил им все что недобил основной антивирус.(надо учитывать что не все что он заподозрил-вирус). Потом
    файл->мастер поиска и устранения проблем, запускаем сканер, программа выдает с каких носителей разрешен автозапуск - выделяем -> исправить. Вот и все. И в реестр ручками лезть не надо.(Чего я лично просто не умею) Кроме того в AVZ содержится еще масса полезного инструментария.

  28. Арбуз says:

    “Есть ещё вариант на своей флешке создать _ПАПКУ_ autorun.inf и положить внутрь пустой текстовый файлик. Тогда зараза не прилипнет на вашу флешку даже на чужом компе )”
    Зараза прилипнет! Но у вас будет хоть какая-то гарантия что вы не заразите других!

  29. B@B@H says:

    Автору спосибо!! Первый способ помог вот только в висте этот параметр находиться в другой ветке. Конфигурация компьютера - Административные шаблоны – Компоненты Windows – Политики автозапуска.

  30. Анатолий says:

    Дима, спасибо огромное, ваш способ оказался для меня самым лучшим, еще раз спасибо!!!!!!!!!!!!!

  31. ReyB says:

    Защита флешки: Форматируем в NTFS, (конечно это не очень хоршо, но если попадётся вирус, то он многократной перезаписью файлов будет “бить” флешку, а если флешка полная, то он запросто очистит место себе под корзину) поэтому заходим в свойства флешки, и на вкладке “безопасность” начинаем управлять правами.
    1) Назначаем права системе “только чтение”, и этим сразу ограничиваем права всех вирусов, (а не только авторанов) считающих себя системными.
    2) Нажимаем кнопку “Дополнительно” и проявляем чудеса изобретательности.
    Самым простым способом будет создать папки autorun.inf и RECYCLER и назначить им права запрещающие все действия, ну может быть кроме возможности смены прав.
    Можно заранее создать нужные вам папки, и запретить доступ к её корню.
    Таким способом можно создать “неубиваемые” файлы, ни Unlocker, ни автораны ничего сделать не смогут. Простая пометка “только для чтения” тут бессильна, сами попробуйте.
    Самое главное перед всем этим перенести данные с флешки на другой носитель, а то можно сделать флешку недоступной для самого себя.
    Защиту реестра можно организовать по такому же принципу: переписать все права на изменение веток на администратора.
    Список интересностей для этого можно посмотреть здесь http://www.excelion.ru/internet-set-/polezno-znat-/kak-ustranit-posledstvija-virusnoj-ataki-.html

  32. klodmian says:

    Для борьбы с вирусом второй способ может и хорош (не знаю, сам излечился методом из отзыва №21:автор-vd - спасибо ему огромное!!!), но вот отключение autorun.inf и его подмена на “пустышку” не скажется ли на процессе установки драйверов устройств (там ведь тоже ворде autorun.inf используется)?

  33. Alexander says:

    Авторунов много и ресиклер не самый распространенный
    тут и секрет.ехе и т.д. Особенно страдают от них фирмы по работе с людьми которые приносят макеты и т.д. на флэшках. Фотоаппаратах и сотиках. Согласен, что можно все отключить. Удалить. А вот на момент подключения флэшки и др съемных накопителей в винде авторун блокируется просто удерживанием клавиши ШИФТ, потом я запускаю ПРОВОДНИК и в левом окне жму на древо диска, потом удаляю все что принадлежит не мне (вирусам). И все работает… КОМУ НАДО - могу описать ручное удаление вируса секрет.ехе Другие вирусы 4 нодом убиваю… А вирус ресиклер - у меня убил фат на флэшке… ЗАРом восстанавливал потом.
    ПС. АНТИАВТОРУН еще мне ни разу не помог… так как при удалении или любом антивирусном лечении секрет ехе винда не логинится и всегда висит на состоянии входа в систему… Тут даже всесильный нод бессилен, про каспера советую просто забыть… он видит вирусы только тогда когда уже все заражено… :((( Если кому что надо пишите на мыло… mamalex@rambler.ru

  34. Altesack says:

    Sector-17, если он попал например на компьютер по каким-то другим каналам тупо удаляет многие из описанных в посте веток реестра.

    Так что через некоторое время авторан может сам собой восстановиться ;)

  35. hexen says:

    Есть прога Flash Disinfector… Вот небольшое описание от автора: “…После того как вы вставили или подключили все ваши диски (имеется ввиду флешки) кликните по кнопке OK для запуска процедуры их очищения от троянов. При этом так же будут удалены файлы autorun.inf со всех доступных дисков и создан защищённый каталог autorun.inf для дальнейшей защиты ваших дисков от заражения.”
    http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

  36. Den says:

    А если оба способа применить, то сработает?

  37. morgan says:

    2 hexen, вот ента прога сразу решила все проблемы с ентим долбаным автораном, я доволен, а HEXENу огромный спс)))

  38. ravshan says:

    Воиистину-научи дурака молиться,он весь лоб себе расшибет!
    И в реестр залесть,и сфокусничать,и программу для блокирования программы(ПАЦАНЫ!!! Она же бесплатная!!!),и средство для мазохистов(снятие харда и посадка на другой комп,типа компы во всех углах стоят)-ндааа….Печально….Особенно плющит сверхнизкая цена флешек -есть у всех.Поставьте второй системой ЛЮБОЙ линукс-и ВСЕ!!!! Вирус попав в линукс похож на дохлую муху

  39. hexen says:

    2 ravshan: Второй системой? И что? У меня линукс стоит второй системой и на autorun, естественно, никак не реагирует… Удаление его с флешки из-под линуха, проблемы не решает. Вставив в заражённый мастдай любого знакомого эту же флешку, он снова там пропишется. И придя к третьему и четвёртому знакомому я точно так же их заражу… потому что не у всех стоят линуксы и BSD.

  40. Мангуст says:

    спасибо. сейчас как раз востанавливаюсь после вируса.
    вообще-то такие советы обязаны писать гейсовые профессионалы … возмущает закрытость полной информации по реестру, и бестолковщина по этому поводу в сети в том числе на сайте “микрософта”. складывается впечатление, что они просто сами нифига не знают о своём реестре. а вапщета всё это начинает поднадоедать. (на всякий случай майл не мой :)) )

  41. LitlleKitty says:

    Добрый день,

    при загрузке системы появляется сообщение: Spooler SubSystem App - обнаружена ошибка. После этого останавливается служба печати и исчезают все установленные на компе принтеры, включая PDF.

    проверка nod32 и утилитой cureit не находит ни одного вируса.

  42. Damien says:

    LitlleKitty, возможно дело не в вирусе, а в глюкнувшем файле spoolsv.exe, который является службой принтеров в винде? Попробуйте восстановить файл с системного диска и перезаписать на место старого.

  43. Катя says:

    У меня уже прописался вирь на флеше - нельзя ни удалить, ни изменить что-либо. Даже форматнуть не могу - нет доступа, хотя переключатель показывает что доступ разрешен. Что делать?

  44. gugglegum says:

    Катя, отформатируйте флешку на незараженном компьютере. Только предварительно отключите на незараженном компьютере Autorun, используя описанные методы, чтобы не заразить еще один компьютер.

    Однако, вирус очевидно почевает на вашем компьютере, следовательно, как только вы вставите флешку к себе (неважно отключен у вас Autorun или нет на данный момент), флешка снова станет зараженной. Так что чистить от вирусов надо все. Наиболее верный способ — это снимать жесткий диск и проверять его на здоровом компьютере.

  45. Катя says:

    на компе виря, похоже , нет - так сказал нод и дрвеб. Базы последние. Авторан отключила. Попробовала на других - та же история. Везде винда хр. Антивирусы обугивают вирус на флешке, но вылечить не могут. На самих компах - ни в реестре, ни в папках - нет и следа лина -вируса. Может искать не ток сам лин, но и что-то еще? И что теперь, как узнать в чем дело?

  46. andy says:

    на флехе есть скрытый раздел,возможно он и заражен.Ищите прогу для открытия скрытых разделов для Вашей флешки.
    Часто при покупке идет диск с флешкой.

  47. gugglegum says:

    Катя, на компе вирус может быть. Дело в том, что если компьютер заражен вирусом, то вирус может скрывать свое присутствие от анти-вирусов. Поэтому проверять на вирусы лучше со здорового компьютера, а не с зараженного.

    Хорошо, отформатируйте флешку на здоровом компе, вставьте ее в свой комп, если на ней снова появится autorun.inf, значит вирус у вас точно есть и тут уж только снимать винт и лечить с другого компа.

  48. hexen says:

    2 Катя: Вооружитесь Dr.Web CureIt, KidoKiller и McAfee Stinger… Можете ещё Trojan Remover поставить… Откройте скрытые и системные файлы (на флэшке их тоже будет видно; можете даже попробовать удалить руками, но скорее всего вирусня снова пропишется, пока не будет удалена с компа). Просканьте всем арсеналом компьютер, удаляя подозрительное… Потом защитите флэшку Flash Disinfector’ ом… Или просто, будьте осмотрительнее в будущем…

  49. Mariansh says:

    Зорким Глазом я пользовалась, прикольная штука. А вот почему никто не пишет про USB Disc Security? Я очень довольна работой этой проги.

  50. Mariansh says:

    И еще забыла поблагодарить автора и участников, надеюсь не будете возражать, если я воспользуюсь вашими комментами в своей брошюрке, разумеется, укажу авторские имена.

  51. MoZilla says:

    в висте гэпээдит.эмэсцэ работает!! но есть одно НО: эта команда начинает работать только после установки одного из дополнений которое можно скачать, вроде после установки второго пука это тоже срабатывает (оно вроде туда включено). подробнее не помню где можно найти .., находил через поиск по похожей теме…, ааа кажись комент к этой команде на офсайте даже есть…, сначала через поиск описалово этой команды посмотреть, а там написано чего надо поставить чтобы она заработала…. воооот.

  52. игорь says:

    Тоже самое што и у Кати, толку от ваших советов никакого! дело в том что файлы вируса защищены от записи, удаления и сделать с ним ничего нельзя! Антивирус находит, лечить пытается но неможет так как файл защищен)))

  53. hexen says:

    2 игорь: Советую прикрутить руки в нужное место…

  54. rudik says:

    вирус уже поймал .заблокировал ОС просит смс за 50.50 руб. но мне кажеться это подвох снимет намного больше.КАК ЕГО УДАЛИТЬ????

  55. MaxUs says:

    А можно сделать так что бы зараженное устройство (флешка,USB -HDD, и подобные)вообще бы не появлялось в системе, чтобы те кто таскают вирусы ( у мну это те кто обновы разные таскает Гарант,Консультант и т.п.) просто напросто со своими устройствами не могли бы работать на наших машинах,и блин задумались бы о безопасности,я сам постоянно сидеть и бдеть не могу(удалённое администрирование), эти твари антивирусник отключают,типа НОД тупой некоторые файлы гаранта принимает за вирусы,слов не понимают,так после них не только ауторан вирусы а куча ещё разных,а если бы они свою работу не смогли бы выполнять, задумались бы наверняка о том как сделать так чтоб к ним вирусы не попадали

  56. Славон says:

    Екатеринка, отключи жесткий от компа и прогони его на вирусы на другом компе с нормальным анитивиром и обновленными базами. Помогает.

    MaxUs
    скажи начальнику, чтобы приказ сделал о запрете использования флеш-носителей. И чтобы с тебя списывалась ответственность, если кто-то сунет флешку и заразит комп. Пусть на болванки пишут апдейты.

    а насчет автозапуска еще как вариант - после втыкания флешки запускаем фар-менеджер, который видит все и всегда. Грохаем вирусы: авторан, папка drivers и recycle еще может быть. и все что вам незнакомо на вашей флешке :) вынимаем флешку и суем снова.
    Насколько я помню еще, если открывать флешку через проводник в левой части окна, то авторан не выполняется. Тоже как вариант.

  57. Los Angeles says:

    Здраствуйте !
    скажите пожалуйста, вчера я на одном из сайте поймала вирус heur:Trojan.Skript.Iframer …. скажите на сколько он опасен? и как его удалить?

  58. BDOYAN J says:

    Делаем полный формат С:\\ и улыбаемся пользуемся тетисами )) четно помогает

  59. MadDen says:

    rudik says:
    Октябрь 9th, 2009 at 23:11

    Было что-то подобное!!!
    Я сделал так:
    Нашел в поисковике “avz4 защита от трояна смс блок интернета.zip”
    а далее как написано:
    Код:
    var
    SP: string;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    SP:=RegKeyStrParamRead(’HKEY_CURRENT_USER’,'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders’,'Startup’);
    QuarantineFile(SP+’\zavupd32.exe’,”);
    QuarantineFile(’%UserProfile%\applic~1\ufastd~1\propet~1.exe’,”);
    DeleteFile(’%UserProfile%\applic~1\ufastd~1\propet~1.exe’);
    DeleteFile(SP+’\zavupd32.exe’);
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    Операционная система перезагрузится.

    ________________________________________
    Внимание:
    перед выполнением скрипта необходимо закрыть все приложения и выгрузить всё из трея.

    1.Выбрать мышкой весь текст который в рамочке , нажать правой кнопкой мышкой и нажать на копировать .
    Код:
    код меняется в зависимости от ситуации :)
    2.Открыть AVZ , Нажать на Файл -> Выполнить скрипт

    -> в появившимся окошке программы нажать правой кнопкой мышки и выбрать Вставить .

    3.нажать в AVZ на кнопку Запустить

    P.S. Запустить AVZ с правами администратора ( по умолчанию в XP первый пользователь уже администратор) Кино, для тех кто не понял:
    __________________
    *Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
    *MyFirefox
    special avz @ rapidshare.com

  60. Yujin says:

    Все намного проще. Вирусы (да их несколько) расположены в корневом каталоге системного диска (обычно это С:). Находятся они в папке, или ей подобных C:\RECYCLER\S-1-5-21-7392613639-5712542417-273628643-5189\***.exe (цифры могут быть другие). С помощью Unlocker удаляем содержимое папки C:\RECYCLER\S-1-5-21-7392613639-5712542417-273628643-5189\.
    Сдесь же в корне удаляем C:\RECYCLING.
    Проверяем флешкой. Наслаждаемся и больше вирусы не распространяем.

  61. Наталья says:

    В общем я не особо понимаю в этой всей сфере. Первый способ я использовала - отлично!!! Спасибо. Но меня походу весь комп в этих “ауторанах”. Кроме как отвинтить винт и почистить со здорового компа какие нибудь еще способы есть, что бы свой очистить? Если кто то знает как мне помочь напишите пожалуйста: LedyBelcome@mail.ru

  62. Артем says:

    Вирус заблочил реестр и диспетчер задач.
    Винду переставлял, но забыл прочистить флешку, поэтому вирус снова залетел.

    Как поступить, чтобы снести все, сразу, начисто и чтоб без вирусов?

  63. Ardatov says:

    Для еще незараженных флешек рекомендую эту программу http://ardatov.wordpress.com/ps, устанавливающую защиту на носитель.

  64. diesel says:

    Наталья says:
    Январь 12th, 2010 at 19:39
    Если кто то знает как мне помочь напишите пожалуйста: LedyBelcome@mail.ru

    Зайти на http://virusinfo.info/forumdisplay.php?f=46 и написать там, предварительно прочитав правила- вам помогут.

  65. Irshat says:

    1. форматируем флешку в NTFS формат.
    2. Создаем файл autorun.inf
    3. В свойствах файла autorun.inf заходим на вкладку БЕЗОПАСНОСТЬ и нажимаем дополнительно.
    4. Открывается окно Дополнительные параметры безопасности. На вкладке РАЗРЕШЕНИЯ нажимаем ИЗМЕНИТЬ и в открывшемся окне снимаем галочку ДОБАВИТЬ РАЗРЕШЕНИЯ… Подтверждаем операцию нажатием УДАЛИТЬ и добавляем новую группу Все, жмем кнопку ПРОВЕРИТЬ и ОК. В новом окне ставим галку на ПОЛНЫЙ ДОСТУП и закрываем открытые окна троекратным нажатием ОК. Теперь наш файл имеет все атрибуты
    5. В окне свойств файла, вкладка БЕЗОПАСНОСТЬ выбираем Все и нажимаем кнопку ИЗМЕНИТЬ.
    6. Снимаем все галки кроме ЧТЕНИЕ и жмем ОК.
    Терь в ваш файл никто не сможет ничего зопесать

  66. Евгений says:

    Win32/LockScreen.AX - троян. Как лечить? Пуск не работает, рабочий стол не работает, диспетчер задач тоже.

  67. Nik says:

    # Евгений says:
    Win32/LockScreen.AX - троян. Как лечить? Пуск не работает, рабочий стол не работает, диспетчер задач тоже.

    Скачать и записать WinPE на CD. На флешку записать последний cureit и AVZ. Запустить компьютер из под CD (при старте жать F8, выбирать диск. привод), из под системы запустить сначала cureit. Восстановить комп с помощью AVZ.
    Пользоваться точками восстановления системы в будущем.

  68. валерий к. says:

    доктор вэб обнаружил заразу autorun.inf на флэшке. она была удалена. после этого при копировании чего-либо на флэшку вылезает табличка “диск защищён от записи”. пытаюсь отформатировать, та же табличка. что делать?

  69. Alex says:

    Этот метод мне больше нравиться: Решение проблемы вируса autorun.inf

  70. Алексей says:

    при заражении autorun.inf флешка не хочет форматироваться обычным способом, форматируется только с командной строки (файловая система ntfs из за дефектной флеш http://www.vrezka.com/portal/index.php?nma=forumd&fla=topic&forum=1&ids=7 ), сначала в fat32 ( format I:/fs:fat32 ), а затем в ntfs ( Convert I: /fs:ntfs /nosecurity /x ), где I буква диска флешки. Потом смело записываем папку с названием вируса http://www.vrezka.com/portal/index.php?nma=news&fla=stat&page=1&nums=292

  71. DarK_LorD says:

    недавно возникли проблемы с флешкой.долго открывается и т.п. Я провел мини-расследование и нашел причину:Создается файл AUTORUN.inf где прописано

    ” [autorun
    %karinadsjakdjASdkjfjasikFJijfWEJFeewjfdasjdlwjdWLQjdWLjfASLjfASLFJeljLIKJWEJ
    open=TWINS///jutroivece.exe
    !pobromojjjjjjjojjjdsaкдлсакдлчњмкдлчњдчњдЧМЊЉдњљoj
    action=Open folder to view files using Windows Explorer
    @дасдкОЧЊЉдкоњчљдкЊЧЉдкАСЧДКЊОЧЉДКЊЧНМЈФСаф
    ^dkjaswdk?WQdk?LOWkdWO?QKDWQ?Dldkj
    icon=%SystemRoot%\system32\SHELL32.dll,4
    *akDkwdW?QdkQ?DK?ASJ?FKwo?kfkw?f?вэжФЫЛДВЛЦЙВЛЭЦЙВ
    Shell\open\command=TWINS///jutroivece.exe
    ~афыалцщЖЛАцжлафыдщжлоафщлаЦЙЖАЛЩЖАлЖУалЗЦУЩЖПЦУЖ
    shell\open\command=TWINS///jutroivece.exe
    “вфвлцжалЦЙпалЦЙЖплЖплоУЖплЭЖоацйжвоажцйапцйпацй
    USEAUTOPLAY=1
    >афцаьоцйалцЙЖПЛФЫЖВДБЭЦЙЖвдбюЭЦвбЭЦЙвбюэфывдлЗХЭЦЙвюдЭЦЙВЛЭЦЙ ”

    Файл используется в это время процессом EXPLORER.EXE Т.е. проводником. Как мне от этого избавиться?

  72. ZXDemon says:

    ARSKill + AutoKFD и забудте о них на всю жизнь! 8)

  73. Chupa-chups says:

    Вот уже неделю, меня перенаправляет на левый сайт, т.е. на страницу левого сайта, вот сюда: http://www.venkos.net/category/12-religion/index.html
    Ситуация такая, запускаю браузер любой, сижу на нескольких сайтах, щелкаю например по ссылкам, и на раз 4-7-ый сайт перенаправляет на ранее указанную страницу, перенаправляет с любого сайта, даже с форума, фишка в том, что не сразу перенаправляет, а через некоторое время.
    Вирусы удалила сегодня троян, стоит касперский (лицензия), все проверила, теперь чисто. Что это может быть? Как от этого избавится?
    и еще вторая проблема каждый раз форматирую флэшку а она переименовывается во флеху, и предлагает при автозапуске убить флэху, не могу понять - это авторан вирус или что? и еще я не спец по компам, обычный пользователь, объясните плиз не смогла в выполнить gpedit.msc - пишет не найдено

  74. Ptashka says:

    Всем привет, парни помогите, пожалуйста. Мой ноутбук заражен вирусом autoran, вставляю флешку, на ней появляется файл с названием autoran.inf, мой антивир не находит его, т.е. не удаляет, зоркий глаз тоже установила, он вроде удаляет, но снова вставляю флешку и все тоже самое, на другом ноутбуке - антивирус находит вирус, удаляет его, но стоит флешку снова вставить в мой - и все, снова тоже самое. Я полный профан в вопросах с данными проблемами, может ли кто-нибудь мне написать по пунктам, что мне надо сделать и как, чтобы вылечить данный вирус. автоматический запуск я уже отключила, но было уже поздно. Помогите, плиз, бедной девушке. не понимающей в этом ничего :(

  75. Andrew says:

    по поводу создания неубиваемой папки autorun.inf
    фаром (FAR) при необходимости можно удалить “неубиваемую” подпапку \name.

  76. ZubodeR says:

    Отпишитесь, пожалуйста, знающие люди!.. У нас с Chupa-chups одна и та же проблема с этим Venkos!.. Заранее благодарен!

  77. denis says:

    нужно скачать “anti_autorun” и проблема решена, на висте помогло…всё оч просто http://www.bombina.com/s3_anti_autorun.htm
    удачи

  78. Andrew says:

    нет там такого пункта !
    “Отключить автозапуск”

  79. Дмитрий says:

    По Этому адресу http://www.corem.ru/article/article01/art00181.html подробно расписано о процессе svchost.exe. И кто из них является вирусом.

  80. Александр_ says:

    AUTOSTOP.BAT
    ——————————————————-
    mkdir “\\?\M:\AUTORUN.INF\LPT3″
    ——————————————————-

    Создает неудаляемый каталог, но его можно переименовать. Как сделать на флешке неудаляемый непереименуемый каталог autorun.inf???

  81. Mister X 2k Pro says:

    Описанные способы срабатывают не на всех Windows!
    Когда столкнулся с данной проблемой нашел такой способ:
    создаем файлы
    1. ToNTFS.bat (запуск ToNTFS Х - вместо Х имя флешки)
    @echo off
    convert %1: /FS:NTFS

    2. antiautorun.bat (запуск без параметров с диска который хотим защитить)
    @echo off
    mkdir “\\?\%~d0\AutoRun.inf\LPT3″
    mkdir “\\?\%~d0\AutoRun.inf\LPT3\..”
    copy minus.ico AutoRun.inf
    echo [.ShellClassInfo] > AutoRun.inf\desktop.ini
    echo IconFile=..\AutoRun.inf\minus.ico >> AutoRun.inf\desktop.ini
    echo IconIndex=0 >> AutoRun.inf\desktop.ini
    echo InfoTip=”Антивирусный скрипт AUTOSTOP version 2.6″ >> AutoRun.inf\desktop.ini
    attrib +h +r +s AutoRun.inf\desktop.ini
    attrib +h +r +s AutoRun.inf\minus.ico
    attrib +s AutoRun.inf

    последний файл после защиты с флешки можно удалить!

  82. Владимир says:

    Авторан можно вырубить в реестре чтоб даже с файликом авторан инф ни чего не запускалось. можно сделать несколькими способами с помощью ковыряния в реестре или с помощью программы подробнее можно посмотреть тут http://flashinspector.narod.ru/ на вкладке полезное(полное описание веток реестра для отключения авторана)

  83. MrProg says:

    А можно исключить попадание файлов Autorun на флешку.
    Идем сюда http://blauvir.narod.ru
    Классная штука. Сам юзаю. Сней заражение флешки падает в разы. И не придется ковыряться в реестре, что не сможет сделать обычный пользователь.

  84. Юрий says:

    Видимо какой-то не хороший человек или несколько модифицируют его. Я его увидел на флешке приятеля, когда подсоединил к компу, хотя удалил сразу. Он уже был у меня. Нашел в С:\ папку с названием Update . В ней сидел файл - вирус назывался imgrt.exe . В диспетчере отключил этот процесс. Папку удалил. Но еще осталось загрузка на флешку Авторана с папкой. В брандмаузере в исключениях нашел файл с названием jsbayv, убрал это исключение. После нескольких операций, во время подключения флешки с очередным антивирусом, обнаружил что проблема исчезла. Правда подключение к нету перестало работать, т.е. не соединяет. Но уже эта мелкая победа радует. Интересная деталь, раньше их можно было узнать по времени создания или загрузки на комп, теперь они ставят время загрузки системы как и многие другие файлы

  85. Ramil says:

    Ставьте Eset Smart или Nod 32 и данная проблема будет не актуальна. Не надо придумывать ничего. Eset - это спец по autorun.inf

  86. Евгений says:

    Есть какая-либо программа, которая на каждой вставленной флешке производит следующие действия:

    1. Проверяет наличие файла autorun.inf, снимает с него атрибуты “только чтение” и т.д., удаляет его.
    2. Записывает на флешку папку с именем autorun.inf с атрибутом “скрытый”.

  87. tib_com says:

    Пожалуйста, помогите мне?!
    Проблема скрытыми папками на флешке.
    Было на флешке 5 папок 1,5 Гб данными, отдал другу, он скинул на него свое фотки, а теперь нет папок. У меня стоит КИС2010 (база обновлена). С тоталом попробовал скрытых папок нет.
    Галка на показывать скрытые/системный стоит, и через свойства папки все нормально.
    Нежны 5 папок 1,5 Гб данными, что делать?!

  88. tib_com says:

    Пожалуйста, помогите мне?!
    Проблема скрытыми папками на флешке.
    Было на флешке 5 папок 1,5 Гб данными, отдал другу, он скинул на него свое фотки, а теперь нет папок. У меня стоит КИС2010 (база обновлена). С тоталом попробовал скрытых папок нет.
    Галка на показывать скрытые/системный стоит, и через свойства папки все нормально.
    Нужны 5 папок 1,5 Гб данными, что делать?!

  89. alex says:

    Подскажите пожалуста , как удалить файл AUTORUN.INF с флешки, после применения скрипта PROTECT.BAT . Если можно подробнее, для начинающих юзеров. Штука хорошая но на данный момент не нужная.

  90. фдучп says:

    некоторые вирусы прячут все папки на флешке в папку “x:\..”, которую в проводнике не увидеть, чтоб ее открыть надо переименовать ее в командной строке, например: “move x:\.. dir”, где x-буква флешки, после этого все пропавшие папки можно открыть в папке dir

  91. Алексей says:

    У меня НОД 32 удалил Autorun/exe на выносном жестком диске.Теперь вместо папки мои файлы появилось много папок с непонятным шрифтом и датами создания от 1980 года и до 2919…А доступа к файлам нет…

  92. Алексей says:

    Подскажите,как восстановить данные и открыть папки на выносном винчестере Сторджет Трансценд 320 Гб.Нод 32 принёс мне массу неприятностей,удалив Autorun.exe.Мой е-мейл:Abelt-D@mail.ru

  93. Снежана says:

    У меня проблема с фотоаппаратом,когда я подключаю его к компьютеру через USB ,то все содержимое папки ярлыками.Ни фотографий,ни видео =(
    Антивирус не находит на нем вирусов.
    Я скопировала папку на рабочий стол,занимает содержимое 2 Гб,на фотике оч ценные фото..
    ЧТо делать?

  94. narek says:

    dios.kamchatka спасибо за статью! jwgkvsq затрахал уже, а тут такой отличный способ удалить! правда не пойму одно, если удалять строки из netsvc, значит эта строка вызывает определенный файл или процедуру, где ее то найти? она остается на компе чтоли?

  95. Дмитрий says:

    В реестр лезть не стал, зашел групповую политику и отключил автозапуск всех устройств. Мне кажется этот способ самый лучший

  96. DJ Rubilnikoff says:

    Дима says Спасибо за способы помогло!Советую

  97. Сaнёk says:

    А как вернуть автозапуск на омпе посе этой проги FlashDisinfector она поудаляла все autorun.inf но вырубила автозапуск .

  98. Юрий says:

    1.Создать в корне флешки папку autorun.inf
    2.создать в этой папке bat файл, например: antiautorun.bat
    внутри которого одна строка
    md \\.\%CD%\con
    3. Запустиь батник.
    ВСЁ!

  99. Илья says:

    {Есть какая-либо программа, которая на каждой вставленной флешке производит следующие действия:

    1. Проверяет наличие файла autorun.inf, снимает с него атрибуты “только чтение” и т.д., удаляет его.
    2. Записывает на флешку папку с именем autorun.inf с атрибутом “скрытый”.}

    ——————
    создаём текстовый фаил, переименовываем его в
    НАЗВАНИЕ ФАЙЛА.BAT
    щелкаем на него правой кнопкой мыши и нажимаем
    “изменить”.
    И в открывшаеся окно копируем текст, приведенный ниже.
    ———————-

    @echo off
    color 71

    if exist autorun.inf/*.* (
    attrib -s -r -h -a autorun.inf/*.*
    rem erase autorun.inf\*.* /q
    RD autorun.inf /S/Q
    )

    if exist autorun.inf (
    attrib -s -r -h -a autorun.inf
    erase autorun.inf/q

    )

    echo [autorun]>autorun.inf
    echo label=ПИШЕМ ИМЯ ФЛЕШКИ>>autorun.inf
    echo icon=НАЗВАНИЕ ИКОНКИ.ico>>autorun.inf
    attrib +s +r +h +a autorun.inf
    exit
    ———————————————————————

    echo label=ПИШЕМ ИМЯ ФЛЕШКИ>>autorun.inf
    echo icon=НАЗВАНИЕ ИКОНКИ.ico>>autorun.inf
    - можно не писать, тогда программа просто создаст autorun.

  100. Илья says:

    Юрий, папку сделаную таким способом, вирус (или какая-либо программа) тоже сможет удалить - достаточно заменить
    команду MD на RD

  101. Николай1802 says:

    Зачем мудрить,как выше описывалось скачайте AVZ http://www.z-oleg.com/secur/avz/download.php ,файл-мастер поиска и устранения проблем-пуск-исправить отмеченные проблемы и всё.также можно скачать и установить USB Disk Security,при вставке зараженной флехи,сразу выскакивает предупреждение.

  102. Larisa says:

    Спасибо большое за совет. У меня действительно был включен автозапуск. Думаю, что в результате “подхватила” вирус - портится файловая система внешнего HDD, флешки. При первой работе с флешкой или внешнем жестком диске все нормально, файлы просматриваются и записываются. Второй раз ставлю - система предлагает отформатировать. И вместо NTFS файловая система - RAM. Что делать, подскажите, пожалуйста? На диске важнейшая информация. А еще важнее, как обнаружить вирус на моем ПК? Пожалуйста, люди добрые, кто сталкивался с этой проблемой, помогите!!! Стоит Avira

  103. Larisa says:

    Скажите, а можно ли с помощью команды move x:\ D:\copy, где Х имя моей флешки, у которой файловая система NTFS поменялась на RAM, скопировать все файлы на жесткий диск? Увидит ли эта команда файлы на флешке с такой файловой системой?

  104. Sets says:

    Blauvir (BAV) действительно хорошая прога) Спасибо) Пользуюсь у себя на работе. Теперь можно без страха втыкать флеху в комп:)

  105. LEONA says:

    мне помогла ваша ссылка! спасибо! только вот теперь другой вопрос: как восстановить то что было на флешке? теперь вместо папок, у меня там ярлыки этих папок ..и невозможно получать нужную инфу т.к они естественно не открываются =((( *извините если написала не корректно …я в этом деле профан

Напишите что Вы об этом думаете


*


*


rel=nofollow включен, спам не поднимет Page Rank Вашего сайта



Anti-Spam Image
Введите этот код, чтобы подтвердить, что вы человек
*

* — Обязательно для заполнения

Перейти на главную страницу