В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого — обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.
1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.
Вручную:
- Перезапустите ваш компьютер в безопасном режиме.
- Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
- В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
- Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.
Автоматически:
- Скачайте программу Combofix.
- Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
- В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.
2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
- Скачайте и установите программу HijackThis.
- Запустите, кликните по кнопке Do a system scan only.
- Выделите галочкой следующие строки:
O4 — HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE
O4 — HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 — HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 — HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 — HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 — HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 — HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
O4 — HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe
O4 — HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe
O4 — HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 — HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 — HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe
O4 — HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe
O4 — HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe - Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.
Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.
3. удаляем трояны с диска.
- Скачайте архив программы Avenger.
- Распакуйте программу на ваш рабочий стол.
- Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
Files to delete:
C:\WINDOWS\system32\avp.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kxvo.exe
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
c:\windows\system32\Bitkv0.dll
c:\windows\system32\Bitkv1.dll
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
c:\windows\system32\tavo0.dll
c:\windows\system32\tavo1.dll
C:\WINDOWS\system32\SCVVHSOT.exe
C:\WINDOWS\system32\TaskMonitor.exe
C:\WINDOWS\system32\RavMon.exe
C:\WINDOWS\system32\realshade.exe
C:\WINDOWS\system32\cftmonn.exe
C:\WINDOWS\system32\wincab.sys
c:\windows\system32\ckvo.exe
c:\windows\system32\ckvo0.dll
c:\windows\system32\gasretyw0.dll
c:\windows\system32\gasretyw1.dll
c:\windows\system32\kamsoft.exe
c:\windows\system32\vbsdfe1.dll
c:\windows\system32\vbsdfe0.dll
c:\windows\system32\vamsoft.exe
C:\WINDOWS\system32\revo.exe
c:\windows\system32\j3ewro.exe
c:\windows\system32\jwedsfdo0.dll
c:\resycled\boot.com
C:\kjibu.com
C:\6fnlpetp.exe
C:\rcukd.cmd
C:\rqq2v.bat
C:\t.com
C:\xp19.com
C:\x0.cmd
C:\yg.cmd
C:\ntde1ect.com
C:\tio8×6.cmd
C:\d6fagcs8.cmd
C:\gbiehbsb.dll
C:\tio8×6.cmd
C:\fooool.exe
C:\8ng8w.com
C:\x.com
C:\xn1i9x.com
c:\invwft2h.com
c:\AutoRun\AutoStart.exe
c:\AutoRun\autorun.pif
c:\ktnquo.exe
c:\NewVirusRemoval.vbs
c:\kinza.exe
c:\rs.cmd
c:\yssjnngm.cmd
c:\h3.bat
c:\6fnlpetp.exe
c:\boot.exe
C:\6j2j.com
c:\0jbnlnu8.exe
c:\1q8p0y.com
c:\2g.com
c:\39ysi89.com
c:\3jkka91.com
c:\92j11sm.com
c:\a.exe
c:\cjrp8.com
c:\dp.exe
c:\jg6w3yx.com
c:\ntnq.exe
c:\nw0t1l0d.exe
c:\q0rppr.exe
c:\tj8odymw.exe
c:\uh31.exe
c:\vnkucvv.com
c:\xpq63xl.exe
c:\xwpehlv.com
c:\fun.xls.exe
c:\iqe68o.bat
c:\AutoRun\AutoStart.exe
c:\ampfrb.cmd
c:\hbs.exe
c:\yfog8p.exe
c:\as.bat
c:\phwe.com
c:\o0s.cmd
c:\xa2c.exe
c:\killVBS.vbs
c:\uxdeiect.com
c:\clshsy.cmd
c:\awda2.exe - После чего нажмите кнопку Execute.
- Появится запрос на подтверждение ваших действий, кликните Yes/Да.
- Компьютер будет перезагружен.
4. Завершающий этап.
После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.
Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью — Не включается просмотр скрытых файлов. Как исправить ?
Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.
Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.
Лучше позаботиться о безопасности заранее)))
Можете считать это рекламой, но есть новая и пока никому не известная программа «Зоркий глаз». Она умеет чистить флешки и переносные HDD от автоматически запускающихся вирусов, в том числе и неизвестных науке. То есть не удаляет, а блокирует. И предупреждение показывает, мол, там сидит бяка, переместить в карантин?.
Работает параллельно с любым другим антивирусом. Весит (!) 400 кб! и бесплатная при этом. Качайте : exnax.narod.ru
Судя по вашему сообщению и то что вы являетесь автором, это и есть реклама 😉
Но вопрос не в том, одном из результатов использования combofix является как раз то, что блокируется возможность любого автозапуска. Это позволяет избежать повторного заражения.
Саша Петелин, может и придумал программку по удалению это Autorun.inf только она недоработанная. Сам авторун она удаляет, но через 10 сек он опять сидит, а программка всё удаляет и удаляет без перерыва. Так что Санёк доделай её пожалуйста а потом выкинь людям на пользу.
Г-да! а tweakui.exe не пробовали поюзать??? мокрософтовское,.. что просто!! позволяет отключить!!!! автозапуск?? (.. Принцип: НаМоемКомпьютереБезМоего!ВедомаНичегоНеДолжноЗапускатьсяПроисходить!) а весит-то .. около 172 Кб ;)…
всего-то проблем… Гы-Гы..
а тут: -ах!!! суперпроги!!.. а всего-то: меняется ключик в реестре… :)…
гениальное всегда просто 🙂
ясно дело лучше заранее отрубить автозапуск, но большинство пользователей этого не делают, да и некоторые вирусы могут включить его обратно
Это начальные шаги для тех, чей компьютер уже заражен.
Валерий>>блокируется возможность любого автозапуска.
А зачем? Компакт-диски пусть живут:)
Славик>>Сам авторун она удаляет, но через 10 сек он опять сидит
Это когда комп уже заразился раньше. Тогда, как говорится, \
Для тех у кого avast, после использования combofix аваст отсутствует в автозагрузке и значёк аваста изчезает из трея.Вернуть можно через — Панель управления- Установка и удаление программ -Avast!antivirus -Заменить/Удалить — Востановить.
Если при подключении к вашему компьютеру флэшки на ней начинают появляться левые файлы или диски не открываются по двойному щелчку — вероятен червь из семейства Win32.HLLW.Autoruner. Что делать? Запускаем FAR, лезем в корень всех дисков и ищем там файл autorun.inf Если файл найден, его необходимо открыть в любом текстовом редакторе (в FAR кнопкой F3) и посмотреть на внутренности. Типичный пример содержимого:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\\Auto\\command=setup.exe
То есть запуск программы setup.exe при подключении диска и попытке открыть. Для начала, отключаем автозапуск дисков (см.ниже). Отключение автозапуска — отличный способ профилактики таких заражений. Как поступить с найденными файлами — после отключения автозапуска и перезагрузки нужно удалить и autorun.inf и файлы в нем прописанные. С большой вероятностью, это поможет.
Как отключить автозапуск при подключении USB-Flash дисков?
Открыть редактор групповых политик (выполнить -> gpedit.msc), далее «политика Локальный компьютер» -> «Конфигурация компьютера» — «Административные шаблоны» — «система» и справа пункт «Отключить автозапуск»; открыть свойства этого пункта и поставить «Включен». А в менюшке «Отключить автозапуск» выбрать «на всех дисководах».
Огромное спасибо, автору этой статьи!!! Именно этот способ мне помог :)))
У кого стоит антивирусная программа Eset Nod32 Antivirus, тому не нужно беспокоиться не о каких троянах и тому подобной нечести, он автоматически их находит и удаляет!
Антон, ваши слова да богу в уши 🙂
Гляньте наш форум, множество людей с таким антивирусом (как и с другими) оказываются зараженными.
Блин… Сколько мучилась с этим автораном!!! Спасибо за Combofix. Мне помогло. Теперь флехи НОРМАЛЬНО работают!
Ура! Я доделал Зоркий Глаз, как просили выше)) Теперь работает без глюков! Другие программы либо вообще отрубают автозапуски через реестр, даже для дисков, либо отключают автоплей-меню, что не спасает от простого дабл-клика по значку флешки. Моя программа же изолирует сам вирус и его автозапуск.
Мой сайт, кто заинтересовался, ExNax.narod.ru.
Мда, чуть не забыл: старый дедовский метод: делаем в корне флехи ПАПКУ autorun.inf, кладем в нее что-нибудь, и конечно прячем (сделайте ее скрытой и системной). Вуаля! Теперь вирус не сможет создать автозапуск, потому что (Билл Гейтс его знает почему) виндуз не разрешает создавать файл и папку с одинаковыми именами…
Здравствуйте скачал вашу программу, все происходило в точности как описано: запустил прогу->вставил диск с игрой (заранее я уже знал что там Троян в файле ауторун)-> нажал ок -> далее вышло окошко Done, но никаких папок autorun.inf нигде создано небыло, а троянец так и остался жить на сд-диске, у меня Каспер 2009 он его видит, базы на нем у меня стоят на автообновлении так что они постоянно свежие, далее полная проверка компа все чисто. Боюсь запустить даже setup на диске, запустит ли это действие эту бяку? Как быть как оживить диск с любимой игрушкой? Пожалуйста подскажите 🙁
Вы уверены что заражён именно сд-диск ? Если да, то вылечить его нет возможности. Конечно если диск поддерживает перезапись то, можно удалить всю информацию и записать новый образ.
Кроме этого, если папки autorun.inf не появились и на жестком диске, то возможно виновен ваш антивирус, которые блокирует работу программы. Отключите его на время запуска Flash Disinfector.
К сожалению это так: Троянец сидит именно на диске, т.к. не успею я его только вставить как начинает ругаться каспер мол троян в файле ауторун, а так весь комп проверяю регулярно все чисто полностью. Самое плохое что диск куплен вместе с игрой и перезаписать или вообще что либо изменить в нем не получается.
А значит я так понимаю его только на свалку :(, я даже пробовал Анлокером удалить этот файл он его тоже не берет, пытался изменить значение «только чтение» тоже не выходит.
А хотелось бы узнать могу ли я запустить игру ч/з setup не запуская ауторун? приведет ли это к заражению?
И еще хотелось отметить что для игры постоянное наличие диска не требуется.
Вам можно отключить автозапуск с дисков или конкретно СД, или просто перед тем как вставить СД и далее когда вставите диск, нажмите и удерживайте клавишу SHIFT. Это временно заблокирует автозапуск CD диска.
Спасибо! Я отключил автозапуск дисков полностью ч/з пуск -> выполнить и т.д.
1)Могу ли я теперь не боясь запустить setup и установить игру???
2)Т.к. я точно не могу сказать, но помоему Троянам не свойственно инфицировать все файлы вокруг подобно вирусам??? Проверил все остальные файлы антивирусник молчит!
3)Или троян инфицирует и другие файлы на диске???
Спасибо заранее за помощь!!! Жду с нетерпением ответа!
Прочитайте и выполните эту инструкцию.
По поводу зараженного диска делается все просто. Создаем образ пластинки к примеру прогой Ultra ISO. Вытаскиваем с образа файл autorun. Редактируем его под себя. Импортируем его назат в образ пластинки. Записываем новою пластинку тем же Ultra ISO или Nero и все.
Троянцам смерть, по поводу диска можешь не бояться — если он лицензионный, то перезаписать его НЕВОЗМОЖНО! а файлик авторана есть на ВСЕХ лицензионных дисках (специально для домохозяек — вставил диск — и появилась красивая менюшка:)
Спасибо! Вылечил комп
Скажите а чтобы удалить трояны нужно выполнить все эти 4 пункта или можно только 1?
Минимум первый шаг, но желательно, и чаще всего необходимо выполнить все шаги.
Просто я выполнил первый шаг и когда выполнял второй то у меня там вот этих файлов не было
..
Только есть еще вопрос вместо O4 – HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe у меня есть файл O4 – HKCU\..\Run: [cftmon] C:\WINDOWS\system32\cftmon.exe.
Это троян или нужный?
C:\WINDOWS\system32\cftmon.exe это не троян, удалять его не нужно.
Спасибо за помощь.
Помогите!!!У меня на диске есть троян.Он находится в одной папке.А игра, которую я хочу установить в другой. Помогите мне удалить этот троян, а то я хочу установить игру. Пожалуйста!!!!
Дмитрий, попробуйте программы SuperAntispyware и Malwarebytes Anti-malware. Если не помогут, то обратитесь на наш форум.
Вы можете рассказать как она сама работает и как она поможет мне удалить этот троян. Просто я в этом деле новичок, и хотелось бы знать как справиться с трояном.
Спасибо вам большое. С помощью этой программы я просканировал свой компьютер и нашел аж 156 вирусов: где 7 из них трояны. Но у меня есть сомнения. Когда я просканировал диск с трояном, оказалось что SuperAntispyware показал что на диске нет трояна и других вирусов, а мой антивирусник NOD32 говорит что на диске имеется троян- модифицированный вирус Win32\Genetic. Пожалуйста, подскажите кому мне верить, чтобы обезопасить свой компьютер от вирусов!
Дмитрий, нет программ которые могут удалить все существующие вирусы и трояны. Поэтому это нормально пользоваться несколькими антиспайварными программами и иметь один антивирус.
Валерий, подскажите пожалуйста. Я хочу попробовать установить игру с этого диска, уже понимая,что вирус попадет на мой компьютер. А можно ли этот троян удалить программой SuperAntispyware с моего компьютера?
А опасен ли троян Win32\Genetic для компьютера. И что делает этот вирус находясь на компьютере?
Троян в любом случае опасен.
Win32\Genetic — это имя группы троянов. В любом слючае использовать заведомо заражённую программу не рекомендуется.
добрый день! вчера комп обнаружил вирус sms-referati, следуя вашим инструкциям скачала программы и все вылечило. спасибо большое!сегодня DR Web обнаружил 11 вирусов Win 32 HLLW. Хотела вылечить с помощью ваших инструкциий, но не могу комп в безопасном режиме в открывшемся окне командной консоли ввожу del /a:h /f c:\autorun.*, а он выдает, что c:\autorun.* не удается найти, возможно занят другим приложением, подскажите что делать?
Анастасия, попробуйте запустить Flash Disinfector, затем перейти к шагу 2.
Проще винду перебить,чем такие заморочки.
chif956, описанный выше способ выглядит громоздким потому-как призван вылечить компьютер от разнообразных троянов, которые используют одинаковый способ заражения компьютера. Да и установка системы заново не всегда возможна.
У меня в компе засел такой авторан. Что же всё-таки делать если в командной строке после ввода появляется надпись, что не удается найти или занят другим приложением?
Владимир, запустите Flash Disinfector, после чего перейдите к шагу 2.
Если это не решит ваших проблем, то обратитесь на наш форум.
Много лет пользуюсь Касперким, но он меня подвел. Стал стираться один и тот же файл нтскрнл.ехе и виндовоз рушился. Я форматировала диск С, снова ставила винду, а через 3-4 дня снова та же история. Касперский ничего не находил. А Ваша програмка нашла авторан.инф на диске Д. Видимо поэтому Виндвовс рушился каждые 3-4 дня. Спасибо этому сайту, надеюсь теперь больше не будет проблем.
помогите у мя троян в диспетчер задач виндоус находит процессоры которые множатся что делать?
а касперский ваще пишит невозможно удалить
Иван, попробуйте просканировать компьютер программами: Malwarebytes Anti-malware и SuperAntispyware.
Autorun.inf у меня вообще не удаляеться ((( установил Flash Disinfector не помогло. Unlocker 1.8.8 тоже не может удалить. Что делать???
z-bender, обратитесь на наш форум. Возможно ваш компьютер заражён трояном, который восстанавливает autorun.inf сразу после удаления.
Здраствуйте. Не могу удалить autorun.inf и BUBILI\ljutiti.exe даже после полного форматирования они выскакивают. Подскажите пожалуйста что делать? Зоркий глаз не помагает
Grisha, создайте новую тему на нашем форуме. Проверим ваш компьютер.
недавно возникли проблемы с флешкой.долго открывается и т.п. Я провел мини-расследование и нашел причину:Создается файл AUTORUN.inf где прописано
» [autorun
%karinadsjakdjASdkjfjasikFJijfWEJFeewjfdasjdlwjdWLQjdWLjfASLjfASLFJeljLIKJWEJ
open=TWINS///jutroivece.exe
!pobromojjjjjjjojjjdsaкдлсакдлчњмкдлчњдчњдЧМЊЉдњљoj
action=Open folder to view files using Windows Explorer
@дасдкОЧЊЉдкоњчљдкЊЧЉдкАСЧДКЊОЧЉДКЊЧНМЈФСаф
^dkjaswdk?WQdk?LOWkdWO?QKDWQ?Dldkj
icon=%SystemRoot%\system32\SHELL32.dll,4
*akDkwdW?QdkQ?DK?ASJ?FKwo?kfkw?f?вэжФЫЛДВЛЦЙВЛЭЦЙВ
Shell\open\command=TWINS///jutroivece.exe
~афыалцщЖЛАцжлафыдщжлоафщлаЦЙЖАЛЩЖАлЖУалЗЦУЩЖПЦУЖ
shell\open\command=TWINS///jutroivece.exe
«вфвлцжалЦЙпалЦЙЖплЖплоУЖплЭЖоацйжвоажцйапцйпацй
USEAUTOPLAY=1
>афцаьоцйалцЙЖПЛФЫЖВДБЭЦЙЖвдбюЭЦвбЭЦЙвбюэфывдлЗХЭЦЙвюдЭЦЙВЛЭЦЙ »
Файл используется в это время процессом EXPLORER.EXE Т.е. проводником. Как мне от этого избавиться?