Другие языки программирования и технологии

Вирус типа autorun, как лечить и может ли он попасть на другой жесткий диск?

С флешки попал вирус autorun.
На трех локальных дисках создает файлы autorun.inf, *.pif, *.exe (имена меняются) Все файлы скрыты.
Винда была на диске C:\ , вирус загружал процессор на 100%
После переустановки системы на диск D:\ загружать процессор перестал.
Но все равно остались проблемы в виде отключения диспетчера/реестра. В безопасный режим выйти нельзя (вирус удалил ветку реестра)
Cure It! , AVZ его не видят.

Хочу перекинуть данные со старого жесткого диска на новый. Может ли вирус перекочевать туда? Как вылечить эту дрянь?
Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.
Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;
– найти раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква неоткрывающегося диска)] ;
– удалить в нем подраздел Shell.
1. Будьте осторожны с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\] диски обозначаются не только буквами (C:, D:, E:…), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа {8397b16a-78ce-11dc-abd6-806d6172696f}. Поэтому ищите диски не только по буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква_диска) ] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено) .
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч (X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.

Пример избавления через реестр:

а) Удаление параметров из ключей:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"

б) Удаление файлов:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf

Удаление Autorun (RECYCLER) вирусов с флешек вручную!! !

Предположим, вам принесли флешку, которая может быть заражена вирусом.
Не торопитесь вставлять ее! Действуйте по списку и у вас все получится.
Соберитесь с духом.
Обезопасьте свой компьютер при помощи утилиты Flash Guard. (в гугле введи название и тебе выдаст) .
Установите файловый менеджер: Total Commander или FreeCommander (можно попробовать использовать и стандартный Проводник, но тогда вам будет сложнее отделить файлы вируса от остальных (не советую) .
Включите в файловом менеджере показ скрытых и системных файлов. (Каждая программа настраивается посвоему, прочитайте справку — там все написано. )
Вставьте флешку и дождитесь, пока установится драйвер (это произойдет автоматически) .
Если флешка заражена, вы увидите отчет Flash Guard о том, что на ней есть autorun.inf.
Запустите файловый менеджер и откройте в нем флешку.
Не открывайте файлы двойным кликом или клавишей Enter! Если нужно просмотреть содержимое файла, воспользуйтесь клавишей F3.
Теперь удалите незнакомые файлы и папки. Как правило, подлежат удалению:
файлы autorun.~ex, autorun.bat, autorun.bin, autorun.exe, autorun.ico, autorun.inf, autorun.inf_????autorun.ini, autorun.reg, autorun.srm, autorun.txt, autorun.vbs, autorun.wsh;
прочие файлы с расширениями .inf .com .sys .tmp .exe;
папка RECYCLER или RECYCLED.
Удалив файлы, закройте файловый менеджер, извлеките и снова вставьте флешку. Вирус удален.
КЭ
Королюк Эдуард
68 271
Лучший ответ
чтобы такого не было, автозапуск надо отключать, регулярно обновлять вирусные базы и ставить проверку вновь примонтированных дисков
если нажмешь контролА то выделишь и вирус, атак-же винт определяться пока будет - подцепит вирусняк.

Если семерка винда - то отключи автозапуск (в панеле управления)
Если ХП - то xptweaker и отключение автозапуска

Потом ток переноси то, что тебе нужно.

Ну или с помощью livecd всё это делай - там точно ничего не подцепишь
Проверьте ВЕБОМ и КАСПЕРОМ. С помощью АВЗ установите безопасные параметры и проведите восстановление системы.
Если Антивирусы ничего не нашли - значит вируса нет, а файлы - всего лишь следы активности.
Артем Никешин
Артем Никешин
1 471
Доктор web курреит вам поможет вылучить зараженные файлы
Никто
Никто
968
у меня тоже такое было, помогла только avira
Почисти антивирусом
Должно помочЬ
Serdar Dowranow
Serdar Dowranow
302