Как удалить вирус авторан с компьютера
В компе вирус autorun я ещё могу удалить, но теперь он у меня на флешке в телефоне. Плюс создалась папка RECYCLER и не могу ничего сделать. Я её и форматировала, и что только не делала. Может кто-нибудь что подскажет)
Кроме файла autorun.inf, который содержит информацию о запуске вируса, обычно на диске еще бывает и сам вирусный файл с расширением exe, bat, com или pif. Часто мне удавалось бороться с этим вирусом обычным удалением этих двух файлов в безопасном режиме. Но недавно я не смог побороться с указанным вирусом даже переустановкой системы.
Разновидность вируса, который мне попался, кроме указанных двух файлов создавала еще исполняемый файл isi32.exe и прятала его не куда-нибудь, а в каталог, расположенный в папке RECYCLER, то есть непосредственно в корзину. Поэтому неудивительно, что антивирусы этот файл просто не находят. Причем, эта самая папка RECYCLER создается и на флешках, на которых никакой корзины отродясь быть не должно.
Таким образом, вирус заразил и мою флешку с дистрибутивами. Чтобы очистить ее от вирусов, приходилось загружаться с диска Alkid Live CD, который загружает винду в память компьютера. Ибо даже в безопасном режиме из-под уже зараженной винды удалить заразу невозможно: удаляешь папку RECYCLER - появляется "сладкая парочка" в корне диска, удаляешь их - тут же появляется папка RECYCLER с подкаталогом, в котором лежит указанный isi32.exe. Все-таки, связь вируса с реестром виндовс очевидна.
Попутно замечу, что поиск в интернете этого самого isi32.exe полезных результатов не дал.
Словом, после чистой переустановки винды я вставил очищенную от заразы флешку и попытался СРАЗУ установить KIS7, от греха подальше. Но не тут то было! Касперыч не установился, более того - сразу возникли те же проблемы. Это привело меня к мысли, что вирус каким-то образом мог заразить и исполняемые файлы моей флешки. На всякий случай пришлось ее отформатировать.
Также указанный вирус производит следующие действия:
2. Запрещает включить показ скрытых файлов в Проводнике, чтобы не дать увидеть себя. Проблема вроде решается Тотал Командером, в котором просмотр скрытых файлов включается независимо от Проводника. А если Тотала под рукой нет. .
4. После удаления себя или файла isi32.exe создает свой"комплект" заново, причем исполняемый файл в корне диска имеет всякий раз НЕ ТОЛЬКО ДРУГОЕ ИМЯ, сгенерированное из набора букв, но также и расширение, которое может быть exe, bat, com и даже pif (это тоже досовский командный файл) .
Словом, проблема реальная, поэтому я нашел в интернете и обобщил для вас все способы борьбы с ней.
1. Остановка всех лишних процессов через Диспетчер задач (ага, если он доступен. ) , которые запущены от имени текущего пользователя системы. Должны остаться только следующие:
Остальные процессы можно смело убить. ВНИМАНИЕ: отключать только те процессы, которые запущены от имени пользователя!! ! Процессы SYSTEM лучше не трогать.
2. Запускаем msconfig и на вкладке Автозапуск удалаем всё, кроме ctfmon.exe
3. Перезагружаемся, и удаляем с дисков всю известную нам заразу, желательно через Тотал Командер.
4. Если среди процессов был процесс с именем amvo.exe, немедленно идите в папку Windows\system32\ и удалите файл amvo.exe.
5. Если вирус запретил вам показ скрытых файлов, ..(напишу в комменте, как делать)
6. Чтобы в дальнейшем обезопасить все диски от заражения этим вирусом, создавать в корне всех дисков папку с именем autorun.inf . В том числе и на флешках!! ! При подключении такой флэшки к заражённому компу вирус запишет на неё свой исполняемый файл, но не сможет прописать команду его запуска, поэтому потом вы просто удалите созданный вирусом файл на своём компьютере, только не запускайте его.
Продолжение напишу в коммент.
Вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти. При этом в Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Сдается мне, что вирус может заражать также системные файлы, особенно он "любит" заражать explorer.exe и ctfmon.exe - тогда систему придется либо переустанавливать, либо попробовать заменить их "чистыми" файлами с другой винды, но заменять придется, естественно, загрузившись с какой-нибудь альтернативы (к примеру, с WindowsPE).
Подключите все устройства, которые могут быть заражены вирусом - перезагрузите компьютер и войдите в безопасный режим - там ставим на сканирование и обнаруженный вирус удаляем
Касперский Антивирус 7,0 с последними базами полное сканирование
Norton System 2007 с последними базами и полное сканирование
Nod 32 SmartSystem ож с последними базами=)
В добавок Сними Жесткий Диск Дай кому нить из знакомых у кого Стаит Антивирус с Обновлеными Базами пусть просканируеться полностью и удалит
Подключи все устройства которые могут быть заражены вирусом - перезагрузи компьютер и войдив безопасный режим - там ставим на сканирование и обнаруженный вирус удаляем
Самиое простое ты просто просканируй его идеальнот плюс к тому не одной антивируской а несколькими, и замени файл авторан, а в самом худшем условие, переустанови виндовс, и сразу после это все остальное форматни, он жывучий это вирус!
Вот скачай [ссылка заблокирована по решению администрации проекта] программу и просканируй с ее помощью комп, если есть вопросы стучи в агент.
В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого — обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.
1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.
Вручную:
-
.
- Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
- В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
- Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.
Автоматически:
- Скачайте программу Combofix.
- Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
- В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.
2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
- Скачайте и установите программу HijackThis.
- Запустите, кликните по кнопке Do a system scan only.
- Выделите галочкой следующие строки:
O4 — HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE
O4 — HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 — HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 — HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 — HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 — HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 — HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
O4 — HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe
O4 — HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe
O4 — HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 — HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 — HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe
O4 — HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe
O4 — HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe
Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.
3. удаляем трояны с диска.
- Скачайте архив программы Avenger.
- Распакуйте программу на ваш рабочий стол.
- Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
4. Завершающий этап.
После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.
Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.
Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.
Приветствую всех! Составляя нашу предыдущую статью на тему «Почему компьютер не видит флешку?», мы не стали сильно углубляться в вопрос наличия конкретных вирусов на накопителе, которые могут тормозить его работу. Поэтому сегодня предлагаем разобрать более подробно наиболее распространенный файл — Autorun.inf, а также его функции.
Если вам интересна тема компьютерных вирусов, то почитайте еще о таком вирусе как червь. Он очень распространен и его последствия могут быть не сразу заметны.
Что такое Autorun.inf и зачем он нужен?
Autorun.inf – это файл, который автоматически запускает установку драйверов, приложений, программного обеспечения с накопителя. И изначально был создан для того, чтобы облегчить жизнь простого пользователя, когда тот, например, решит переустановить Windows. Безусловно, авторан полезен, если использовать его по назначению.
Но, как говорится, нет худа без добра… Есть горе-программисты, которые создают вирусы и с помощью Autorun.inf их распространяют. И чаще всего это осуществляется через разнообразные портативные устройства хранения информации, которые как раз и выступают в качестве носителя компьютерного паразита.
Отсюда следует, что сам файл автозапуска абсолютно безвреден и устанавливает лишь то, что было в нём прописано.
Как работает вирус Autorun.inf?
Как можно догадаться, вирус Autorun.inf размножается путём автоматического копирования самого себя на различные съемные носители. Таким образом, зараженные флешки, карты памяти, съемные диски и т.д. продолжают цепь «эпидемии» и, подключаясь к ПК или ноутбуку, заражают его.
На самом деле, не нужно сразу же переживать, если Вы обнаружили файл Autorun на флешке или CD диске. Возможно, что в данном случае он будет использоваться по назначению, например, запустит игру и т.д. А вот смутные сомнения должны терзать вас в том случае, если вы обнаружили авторан, например, на карте памяти фотоаппарата или видеокамеры. Ведь, понятно и так, что никаких установок не предвидится.
Как обнаружить вирус на флешке?
Стоит отметить, что многие владельцы флешек чаще всего не догадываются о наличии в них вируса, поскольку вирусные файлы обычно содержатся в скрытых папках. Чтобы до них добраться, открываем любое окно «Документы», «Компьютер» и сверху в левом углу нажимаем на «Упорядочить», а потом на «Параметры папок и поиска». После выплывет окно, выбираете вкладку «Вид». Прокрутите до конца список и поставьте галочку напротив «Показывать скрытые файлы, папки и диски».
Теперь возвращаемся к содержимому накопителя. Если вы обнаружили папки, которые не отображались ранее и имеют при этом название autorun.inf, то попробуйте их открыть. Если попытка не увенчается успехом, и выплывет окно «Доступ запрещен/невозможен», то, скорее всего, это вирус worm autorun.
Как удалить вирус Autorun.inf?
Существует множество утилит, которые ищут и удаляют «вредителей». К самым известным отнесем Flash Guard и AVZ, обе программы просты в использовании и настраиваются на русский язык. Но самый простой способ распрощаться с вирусом – это форматирование накопителя.
Если вы решили воспользоваться вторым вариантом, не забывайте, что ВСЁ без исключения удалится навсегда. Поэтому скопируйте нужные файлы в папку компьютера, исключая, конечно, Autorun.inf.
Правой кнопкой мыши нажимаете на накопитель, далее выбираете «Форматирование» и убираете галочку возле «быстрое (очистка оглавления)». Можно сказать, что ваша флешка на данном этапе выздоровела, однако ей необходимо «подкрепиться после болезни»…
Как обезопасить накопитель от вирусов?
Рекомендуем скачать утилиту USB Defender, полезная штука, при этом бесплатная. После скачивания разархивируйте папку, запустите приложение. Оно сразу загрузится, без установки. И если ваша флешка ещё подключена к ПК, то приложение в своём окошке её отобразит. Там же будут две кнопки «protect = защитить» и «unprotect = снять защиту». Выбираем первое =)
Возвращаемся к содержимому флешки. Должна создаться папка от приложения USB Defender, которая будет называться Autorun.inf. Почему такое название? Потому, что если вы вновь наткнетесь на вирус Autorun.inf, то он уже не сможет заменить существующую папку Autorun.inf от USB Defender. Именно в этом и заключается профилактический механизм.
Вывод
Друзья, не пренебрегайте установкой антивирусных программ, они практически всегда реагируют на подобного рода «неприятности». И ещё, если вы уверены в том, что все ваши устройства и накопители без сюрпризов, то пользуйтесь автозапуском. При этом будьте начеку, подключая флешку друга/брата/свата. Когда вы подсоединяете съемный диск, выплывает окно для прямого вхождения в содержимое. Закройте его. Для переноса или копирования файлов используйте Total Commander.
Если у вас ПК никак не защищен, возможно, вам будет полезно узнать, как установить антивирус Касперского бесплатно.
А также мы будем рады услышать ваши пожелания, если вам по какой-то причине неудобно пользоваться сайтом.
Не будьте равнодушными к проекту. Спасибо! :-)
Нам очень приятно! Не могли бы вы поделиться этой статьей с друзьями? А также мы будем рады, если вы оставите комментарий.
Добавить комментарий Отменить ответ
Фух, вы утешили меня хоть. А то я когда увидел этот авторан.инф, то подумал сначала что точно вирус
установил Панда ЮСБ Вакцина. Она специально создала на моем внешнем жестком диске этот файл, типо от вирусов защита.
Но теперь вернуть все назад я не могу. файл прочно засел.
скачай и установи Unlocker, с помощью него удалишь без труда
http://www.softportal.com/software-4539-unlocker.html
на этом файле нажмёшь правой кнопкой мышки и выберешь Unlocker, если даже сразу не получится удалить то сам напишет что удалиться при следующей перезагрузке.
также советую провериться сканером от антишпиона Malwarebytes Anti-Malware http://www.comss.ru/page.php?id=84 или
http://tfile.ru/forum/ssearch.php?q=Malwarebytes+Anti+Malware
перед сканированием не забудь обновить,
Великолепно отлавливает то, что в упор "не видят" многие программы комплексной защиты!! !
Кроме файла autorun.inf, который содержит информацию о запуске вируса, обычно на диске еще бывает и сам вирусный файл с расширением exe, bat, com или pif. Часто мне удавалось бороться с этим вирусом обычным удалением этих двух файлов в безопасном режиме. Но недавно я не смог побороться с указанным вирусом даже переустановкой системы.
Разновидность вируса, который мне попался, кроме указанных двух файлов создавала еще исполняемый файл isi32.exe и прятала его не куда-нибудь, а в каталог, расположенный в папке RECYCLER, то есть непосредственно в корзину. Поэтому неудивительно, что антивирусы этот файл просто не находят. Причем, эта самая папка RECYCLER создается и на флешках, на которых никакой корзины отродясь быть не должно.
Таким образом, вирус заразил и мою флешку с дистрибутивами. Чтобы очистить ее от вирусов, приходилось загружаться с диска Alkid Live CD, который загружает винду в память компьютера. Ибо даже в безопасном режиме из-под уже зараженной винды удалить заразу невозможно: удаляешь папку RECYCLER - появляется "сладкая парочка" в корне диска, удаляешь их - тут же появляется папка RECYCLER с подкаталогом, в котором лежит указанный isi32.exe. Все-таки, связь вируса с реестром виндовс очевидна.
Попутно замечу, что поиск в интернете этого самого isi32.exe полезных результатов не дал.
Словом, после чистой переустановки винды я вставил очищенную от заразы флешку и попытался СРАЗУ установить KIS7, от греха подальше. Но не тут то было! Касперыч не установился, более того - сразу возникли те же проблемы. Это привело меня к мысли, что вирус каким-то образом мог заразить и исполняемые файлы моей флешки. На всякий случай пришлось ее отформатировать.
Также указанный вирус производит следующие действия:
2. Запрещает включить показ скрытых файлов в Проводнике, чтобы не дать увидеть себя. Проблема вроде решается Командером, в котором просмотр скрытых файлов включается независимо от Проводника. А если Тотала под рукой нет. .
4. После удаления себя или файла isi32.exe создает свой"комплект" заново, причем исполняемый файл в корне диска имеет всякий раз НЕ ТОЛЬКО ДРУГОЕ ИМЯ, сгенерированное из набора букв, но также и расширение, которое может быть exe, bat, com и даже pif (это тоже досовский командный файл) .
Словом, проблема реальная, поэтому я нашел в интернете и обобщил для вас все способы борьбы с ней.
Тотал
1. Остановка всех лишних процессов через Диспетчер задач (ага, если он доступен. ) , которые запущены от имени текущего пользователя системы. Должны остаться только следующие:
explorer.exe
taskmgr.exe
ctfmon.exe
Остальные процессы можно смело убить. ВНИМАНИЕ: отключать только те процессы, которые запущены от имени пользователя!! ! Процессы SYSTEM лучше не трогать.
2. Запускаем msconfig и на вкладке Автозапуск удалаем всё, кроме ctfmon.exe
3. Перезагружаемся, и удаляем с дисков всю известную нам заразу, желательно через Тотал Командер.
4. Если среди процессов был процесс с именем amvo.exe, немедленно идите в папку Windows\system32\ и удалите файл amvo.exe.
5. Если вирус запретил вам показ скрытых файлов, ..(напишу в комменте, как делать)
6. Чтобы в дальнейшем обезопасить все диски от заражения этим вирусом, создавать в корне всех дисков папку с именем autorun.inf . В том числе и на флешках!! ! При подключении такой флэшки к заражённому компу вирус запишет на неё свой исполняемый файл, но не сможет прописать команду его запуска, поэтому потом вы просто удалите созданный вирусом файл на своём компьютере, только не запускайте его.
я насчет 6 пункта
именно так я и создал этот авторан!для защиты от вирусов прогой от ПАНДЫ
так как мне его теперь удалить?
Вот знаешь как я залетел с этим файлом. Принес с работы. Он у меня в 6 секунд смел 14 Гб фотографий и текстовых файлов. Когда чистил, их нашли около 84000 штук. Теперь проверяю и режу DVD,
wikiHow работает по принципу вики, а это значит, что многие наши статьи написаны несколькими авторами. При создании этой статьи над ее редактированием и улучшением работали, в том числе анонимно, 15 человек(а).
Ваш антивирус удалил вирусы, но локальные диски все еще не открываются двойным щелчком мыши? Следуйте простой процедуре, описанной ниже.
Повторите тот же процесс с другими локальными дисками: введите "d:" и сделайте то же самое. Затем введите "е:" и сделайте то же самое.
В открывшемся окне выберите вкладку Вид и отметьте «Показывать скрытые папки, файлы и диски». Там же уберите галку у «Скрывать защищенные системные файлы». Нажмите "OK".
Теперь откройте ваши диски (кликните по ним правой кнопкой и выберите «Проводник»). Удалите autorun.inf и MS32DLL.dll.vbs или MS32DLL.dll (для удаления используйте сочетание клавиш Shift+Delete, чтобы удалить файлы навсегда). Сделайте это для всех дисков.
В левой панели перейдите в: HKEY_LOCAL_MACHINE --> Software --> Microsoft --> Windows --> Current Version --> Run. Здесь удалите запись MS32DLL (используйте клавишу Delete).
В левой панели перейдите в: HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main и удалите запись “Hacked by Godzilla”
- Выберите «Включено/Enabled».
- Выберите «Все диски/All drives».
- Нажмите OK.
В открывшемся окне перейдите во вкладку «Автозагрузка» и уберите галку с MS32DLL. Теперь нажмите ОК и когда появится окно с запросом о перезагрузке, нажмите на выход без перезагрузки.
Перейдите Панель управления - Параметры папок.В открывшемся окне выберите вкладку Вид и отметьте «Не показывать скрытые папки, файлы и диски». Там же поставьте галку у «Скрывать защищенные системные файлы». Нажмите "OK".
Читайте также: