В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого — обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.
1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.
Вручную:
- Перезапустите ваш компьютер в безопасном режиме.
- Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
- В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
- Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.
Автоматически:
- Скачайте программу Combofix.
- Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
- В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.
2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
- Скачайте и установите программу HijackThis.
- Запустите, кликните по кнопке Do a system scan only.
- Выделите галочкой следующие строки:
O4 — HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE
O4 — HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 — HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 — HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 — HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 — HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 — HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
O4 — HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe
O4 — HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe
O4 — HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 — HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 — HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe
O4 — HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe
O4 — HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe - Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.
Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.
3. удаляем трояны с диска.
- Скачайте архив программы Avenger.
- Распакуйте программу на ваш рабочий стол.
- Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
Files to delete:
C:\WINDOWS\system32\avp.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kxvo.exe
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
c:\windows\system32\Bitkv0.dll
c:\windows\system32\Bitkv1.dll
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
c:\windows\system32\tavo0.dll
c:\windows\system32\tavo1.dll
C:\WINDOWS\system32\SCVVHSOT.exe
C:\WINDOWS\system32\TaskMonitor.exe
C:\WINDOWS\system32\RavMon.exe
C:\WINDOWS\system32\realshade.exe
C:\WINDOWS\system32\cftmonn.exe
C:\WINDOWS\system32\wincab.sys
c:\windows\system32\ckvo.exe
c:\windows\system32\ckvo0.dll
c:\windows\system32\gasretyw0.dll
c:\windows\system32\gasretyw1.dll
c:\windows\system32\kamsoft.exe
c:\windows\system32\vbsdfe1.dll
c:\windows\system32\vbsdfe0.dll
c:\windows\system32\vamsoft.exe
C:\WINDOWS\system32\revo.exe
c:\windows\system32\j3ewro.exe
c:\windows\system32\jwedsfdo0.dll
c:\resycled\boot.com
C:\kjibu.com
C:\6fnlpetp.exe
C:\rcukd.cmd
C:\rqq2v.bat
C:\t.com
C:\xp19.com
C:\x0.cmd
C:\yg.cmd
C:\ntde1ect.com
C:\tio8×6.cmd
C:\d6fagcs8.cmd
C:\gbiehbsb.dll
C:\tio8×6.cmd
C:\fooool.exe
C:\8ng8w.com
C:\x.com
C:\xn1i9x.com
c:\invwft2h.com
c:\AutoRun\AutoStart.exe
c:\AutoRun\autorun.pif
c:\ktnquo.exe
c:\NewVirusRemoval.vbs
c:\kinza.exe
c:\rs.cmd
c:\yssjnngm.cmd
c:\h3.bat
c:\6fnlpetp.exe
c:\boot.exe
C:\6j2j.com
c:\0jbnlnu8.exe
c:\1q8p0y.com
c:\2g.com
c:\39ysi89.com
c:\3jkka91.com
c:\92j11sm.com
c:\a.exe
c:\cjrp8.com
c:\dp.exe
c:\jg6w3yx.com
c:\ntnq.exe
c:\nw0t1l0d.exe
c:\q0rppr.exe
c:\tj8odymw.exe
c:\uh31.exe
c:\vnkucvv.com
c:\xpq63xl.exe
c:\xwpehlv.com
c:\fun.xls.exe
c:\iqe68o.bat
c:\AutoRun\AutoStart.exe
c:\ampfrb.cmd
c:\hbs.exe
c:\yfog8p.exe
c:\as.bat
c:\phwe.com
c:\o0s.cmd
c:\xa2c.exe
c:\killVBS.vbs
c:\uxdeiect.com
c:\clshsy.cmd
c:\awda2.exe - После чего нажмите кнопку Execute.
- Появится запрос на подтверждение ваших действий, кликните Yes/Да.
- Компьютер будет перезагружен.
4. Завершающий этап.
После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.
Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью — Не включается просмотр скрытых файлов. Как исправить ?
Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.
Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.
DarK_LorD, если инструкция приведённая выше вам не помогла, то обратитесь на наш форум.
редактировать регистр запрещено, скрытые файлы не видны,
после п. 1 в логе комбофикса autorun.inf не было, на попытку удалить вручную выдает какие-то крокозябры
п.2 не удался, при попытке скачать программу комп перезагружается.
после перезагрузки оказалось что все подозрительные файлы в папке авторана обратно на своих местах и все попытки удалить их разными способами безуспешны(
по п.3 ни одного из этих файлов не нашлось
Flash_Disinfector тоже пробовала, всё успешно но результата никакого. на диске F после каждого удаления заново рождаются какие-то папки при открытии к-рых выбрасывает в Мои документы
вдобавок не получается удалить комбофикс, при первой же перезагрузки с рабочего стола его ярлык исчез сам по себе но на диске С его файлы остались
может это троян какой-то другой породы?
п.с его появление ознаменовалось появлением файлов Bron.tok в Моих рисунках и блокировкой ACDSee что 1 раз устранилось восстановлением системы а потом возникло заново но восстановление системы уже сделать не получается а сейчас на всех дисках продолжают множится неизвестные файлы и папки к-рые удалить либо нельзя либо можно но они появляются заново 🙁
loser, обратитесь на наш форум. Проверим ваш компьютер.
Спасибо за все выложенное удалил все трояны с компа!
Блин.всё делал так как сдесь описано,удалял autorun.inf, удалял удалял, и походу удалил винду, после того как вводил в безопасном режиме надпись которую нужно,выдавало ошибки, я вышел из безопасного режима и всё комп больше не заходит в винду, пишет ctrl-alt-delete что делать?
Андрей, нужно удалять всё с осторожность. Если не уверены, то лучше обратиться на наш форум.
Помогите пожалуста я вставил флешку в комп после чего во флешке ничего кроме файлов типа ?%№№!Ё ничего не осталось.Опять вставил флешку но комп не распознает его как и все другие флешки.Что мне делать?
Спасибо, очень помогли))
Мне в компьютер занесли вирус с флешки типа autorun.inf. Потом вставила свою флешку и теперь на моей флешке создавая любую папку она принимает вид приложения с разрешением .exe (Новая папка.exe), когда удаляешь эту папку она снова появляется, и флешка не форматирутся. Подскажите, пожалуйста, что с этим делать!
Что делать если ауторун попал в телефонную флеху, и сотик не врубается?
Не знаю что это за гадость но никакие программы и антивирусы никакого авторана не находят.Похоже никак эту заразу не убрать кроме переустановки винды с форматированием дисков CD/ При попытке удалить эти папки пишет что их больше нет проверьте правильность расположения и повторите попытку.В принципе винду переустанавливать пока неохота 2 месяца назад только переустановил да и работает все нормально только не запускается унлокер и ему подобные и экранная заставка.Все остальные проги как часы запуск винды менее 70 сек.хотелось бы все таки как то убрать эту ерунду.весь нет перерыл инфы не нашел может кто знает как можно удалить эту дрянь desktop.ini папка _ вложен — lpt3.Drive_is_protected_against_flash_viruses_by_RegRun
comment.htt папка_ вложен — lpt3.Drive_is_protected_against_flash_viruses_by_RegRun
autorun.inf папка _ вложен — lpt3.Drive_is_protected_against_flash_viruses_by_RegRun с обоих дисков появились они после удаления программы RegRun.Security.Suite.v7.71.0.171 пробоваал еще раз установить и удалить когда установлена программа голяк снова удалил сничего не меняется