Программное обеспечение

Замучили трояны записывающиеся в autorun.inf на флэшку. Как можно закрыть проблему?

Геннадий Черенков
Геннадий Черенков
8 667
В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого - обеспечение автоматического запуска нужно файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.

1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.
Вручную:

Перезапустите ваш компьютер в безопасном режиме.
Кликните по кнопке Пуск, далее Запустить, и в строке ввода введите del /a:h /f c:\autorun.*
для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделенно жирным шрифтом
Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.

Автоматически:

Скачайте программу Combofix. Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения. В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечисленны удаленные файлы, в том числе и autorun.inf.

2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
Для этого необходимо скачать и установить программу HijackThis. Выполните сканирование, после чего выделите галочкой следующие строки:

O4 - HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 - HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
O4 - HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe

Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.
Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.

3. удаляем трояны с диска.
В предыдущем шаге, мы удалили возможность автозапуска троянов. Далее нужно удалить эти файлы физически. Для этого можно в каталог где они находятся и удалить их используя стандартные функции Windows. Предварительно не забудьте включить просмотр скрытых файлов. Если по каким либо причинам это не получается, то можно использовать прекрасную программу Avenger. Скачайте её и распакуйте. Запустите программу, после чего в окне ввода введите или просто скопируйте следующий скрипт:

Files to delete:
C:\WINDOWS\system32\avp.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kxvo.exe
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
C:\WINDOWS\system32\SCVVHSOT.exe
C:\WINDOWS\system32\cftmonn.exe
C:\WINDOWS\system32\TaskMonitor.exe
C:\WINDOWS\system32\wincab.sys

После чего нажмите кнопку Execute. Компьютер будет перезагружен.
Как вы видите после директивы Files to delete: перечисленны файлы которые нужно удалить, в случае если у вас файлы другие, то отредактируйте скрипт соответствующим образом.

4. Завершающий этап.
После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.
Мухтор Кадеров
Мухтор Кадеров
608
Лучший ответ
Геннадий Черенков А смысл в п.3, если есть п.4???
Самый простой способ - создать на флешке папку с именем autorun.inf, после этого создать файл с таким именем будет невозможно. Либо отформатировать флешку в NTFS и закрыть доступ на запись где надо.
Антон Костюк
Антон Костюк
8 596
Геннадий Черенков Хм. Интересный способ. Как я понимаю, он начисто блокирует возмможности автозапуска чего-либо с флэшки. Как крайняя мере подойдет. Про закрыть доступ на запись где надо немного не понял. Файловая ситсема НТФС позволяет выделять разделы диска, в которых запись запрещена? Каким образом, если не секрет. Можете ответить на почту?
Удали этот файл, поставь касперского.
Hhh Hhh
Hhh Hhh
7 837
Найди по поиску следующие программы-утилиты:
1. Anti-autorun 2.0 ( http://ska4ay.ru/s_i/5042-Antiautorun20.html)
2.StopAutorun 1.31 (StopAutorun будет постоянно наблюдать за жесткими дисками и сменными носителями и защищать от троянов и вирусов. )
3.SpyBot-Search & Destroy 1.6 (Бесплатная утилита SpyBot Search & Destroy поможет обнаружить и удалить с компьютера различные шпионские программы) .
№№2-3 найдешь на сайте журнала "Чип"или по "поиску"
Пользуйся первой-нет проблем никаких ни в установке, ни в защите. Систему не подгружает.
Dmitriy D
Dmitriy D
2 481
Убить тройн на компе
ВА
Виталий Арюткин
1 653
Геннадий Черенков Я же спросил не про разовое решение проблемы, а про то есть ли возможность ее ЗАКРЫТЬ, то есть не возвращаться к ней каждый раз при появлении нового трояна в этом файле.
поставь себе нод 32 (это антивирус) он тебе и с флэшки удалит и с компа!!
Василий Пшеничников
Василий Пшеничников
1 353
Геннадий Черенков Антивирус решает текщую проблему. Активная защита есть не во всех антивирях. Тем более, что трояны бывают разными и новыми, соответственно антивирус их не найдет и троян запишется туда же. То есть - НЕ ВЫХОД. Я хотел бы услышать, как раз и навсегда эту часть обезопасить.

Похожие вопросы