С флешки попал вирус autorun.
На трех локальных дисках создает файлы autorun.inf, *.pif, *.exe (имена меняются) Все файлы скрыты.
Винда была на диске C:\ , вирус загружал процессор на 100%
После переустановки системы на диск D:\ загружать процессор перестал.
Но все равно остались проблемы в виде отключения диспетчера/реестра. В безопасный режим выйти нельзя (вирус удалил ветку реестра)
Cure It! , AVZ его не видят.
Хочу перекинуть данные со старого жесткого диска на новый. Может ли вирус перекочевать туда? Как вылечить эту дрянь?
Другие языки программирования и технологии
Вирус типа autorun, как лечить и может ли он попасть на другой жесткий диск?
Михаил Суворов
150
Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.
Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;
– найти раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква неоткрывающегося диска)] ;
– удалить в нем подраздел Shell.
1. Будьте осторожны с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\] диски обозначаются не только буквами (C:, D:, E:…), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа {8397b16a-78ce-11dc-abd6-806d6172696f}. Поэтому ищите диски не только по буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква_диска) ] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено) .
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч (X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.
Пример избавления через реестр:
а) Удаление параметров из ключей:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"
б) Удаление файлов:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf
Удаление Autorun (RECYCLER) вирусов с флешек вручную!! !
Предположим, вам принесли флешку, которая может быть заражена вирусом.
Не торопитесь вставлять ее! Действуйте по списку и у вас все получится.
Соберитесь с духом.
Обезопасьте свой компьютер при помощи утилиты Flash Guard. (в гугле введи название и тебе выдаст) .
Установите файловый менеджер: Total Commander или FreeCommander (можно попробовать использовать и стандартный Проводник, но тогда вам будет сложнее отделить файлы вируса от остальных (не советую) .
Включите в файловом менеджере показ скрытых и системных файлов. (Каждая программа настраивается посвоему, прочитайте справку — там все написано. )
Вставьте флешку и дождитесь, пока установится драйвер (это произойдет автоматически) .
Если флешка заражена, вы увидите отчет Flash Guard о том, что на ней есть autorun.inf.
Запустите файловый менеджер и откройте в нем флешку.
Не открывайте файлы двойным кликом или клавишей Enter! Если нужно просмотреть содержимое файла, воспользуйтесь клавишей F3.
Теперь удалите незнакомые файлы и папки. Как правило, подлежат удалению:
файлы autorun.~ex, autorun.bat, autorun.bin, autorun.exe, autorun.ico, autorun.inf, autorun.inf_????autorun.ini, autorun.reg, autorun.srm, autorun.txt, autorun.vbs, autorun.wsh;
прочие файлы с расширениями .inf .com .sys .tmp .exe;
папка RECYCLER или RECYCLED.
Удалив файлы, закройте файловый менеджер, извлеките и снова вставьте флешку. Вирус удален.
Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;
– найти раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква неоткрывающегося диска)] ;
– удалить в нем подраздел Shell.
1. Будьте осторожны с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\] диски обозначаются не только буквами (C:, D:, E:…), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа {8397b16a-78ce-11dc-abd6-806d6172696f}. Поэтому ищите диски не только по буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\(Буква_диска) ] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено) .
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч (X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.
Пример избавления через реестр:
а) Удаление параметров из ключей:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"
б) Удаление файлов:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf
Удаление Autorun (RECYCLER) вирусов с флешек вручную!! !
Предположим, вам принесли флешку, которая может быть заражена вирусом.
Не торопитесь вставлять ее! Действуйте по списку и у вас все получится.
Соберитесь с духом.
Обезопасьте свой компьютер при помощи утилиты Flash Guard. (в гугле введи название и тебе выдаст) .
Установите файловый менеджер: Total Commander или FreeCommander (можно попробовать использовать и стандартный Проводник, но тогда вам будет сложнее отделить файлы вируса от остальных (не советую) .
Включите в файловом менеджере показ скрытых и системных файлов. (Каждая программа настраивается посвоему, прочитайте справку — там все написано. )
Вставьте флешку и дождитесь, пока установится драйвер (это произойдет автоматически) .
Если флешка заражена, вы увидите отчет Flash Guard о том, что на ней есть autorun.inf.
Запустите файловый менеджер и откройте в нем флешку.
Не открывайте файлы двойным кликом или клавишей Enter! Если нужно просмотреть содержимое файла, воспользуйтесь клавишей F3.
Теперь удалите незнакомые файлы и папки. Как правило, подлежат удалению:
файлы autorun.~ex, autorun.bat, autorun.bin, autorun.exe, autorun.ico, autorun.inf, autorun.inf_????autorun.ini, autorun.reg, autorun.srm, autorun.txt, autorun.vbs, autorun.wsh;
прочие файлы с расширениями .inf .com .sys .tmp .exe;
папка RECYCLER или RECYCLED.
Удалив файлы, закройте файловый менеджер, извлеките и снова вставьте флешку. Вирус удален.
Никита Сергеевич
44 920
чтобы такого не было, автозапуск надо отключать, регулярно обновлять вирусные базы и ставить проверку вновь примонтированных дисков
Искандер Галлямов
4 231
если нажмешь контролА то выделишь и вирус, атак-же винт определяться пока будет - подцепит вирусняк.
Если семерка винда - то отключи автозапуск (в панеле управления)
Если ХП - то xptweaker и отключение автозапуска
Потом ток переноси то, что тебе нужно.
Ну или с помощью livecd всё это делай - там точно ничего не подцепишь
Если семерка винда - то отключи автозапуск (в панеле управления)
Если ХП - то xptweaker и отключение автозапуска
Потом ток переноси то, что тебе нужно.
Ну или с помощью livecd всё это делай - там точно ничего не подцепишь
Руслан Куспеков
2 139
Проверьте ВЕБОМ и КАСПЕРОМ. С помощью АВЗ установите безопасные параметры и проведите восстановление системы.
Если Антивирусы ничего не нашли - значит вируса нет, а файлы - всего лишь следы активности.
Если Антивирусы ничего не нашли - значит вируса нет, а файлы - всего лишь следы активности.
Артем Никешин
1 471
Доктор web курреит вам поможет вылучить зараженные файлы
Никто
968
у меня тоже такое было, помогла только avira
Почисти антивирусом
Должно помочЬ
Должно помочЬ
Serdar Dowranow
302
Похожие вопросы
- У друга появилась такая штука,пишет "онлайн антивирус обнаружил вирус и через 150 сек он заразит весь жёсткий диск и п
- Как самому восстановить данные с жесткого диска ноутбука?
- не могу загрузить винду-через БИОС--после f10-и ентер--начинает грузиться с жесткого диска-подскажите какая настройка
- Утеряны данные с жёсткого диска.
- возможен ли с помощь акронис 10 версии переместить все содержимое с лок. диска С в более свободное жесткий диск,,,
- Разделы жёсткого диска.Писать по теме и знающим.
- Не запускается жесткий диск!!!
- Проблемы с жёстким диском!
- Ноутбук видит внешний жесткий диск но он не открывается. Что делать? Как спасти данные с диска?
- Помогите с жестким диском и BIOS...