НТВ плюс 

Предотвращение и удаление вредоносных программ с USB-диска. Что такое autorun вирус


Вирусы опасны – это знает каждый. Большинство пользователей, этого в принципе достаточно, чтобы установить антивирус и регулярно его обновлять. Оборонять компьютер дело привычное, но пора бы задуматься и о защите Вашей флешки.

Другой популярный способ распространения заразы через карты памяти. Флешки и прочее портативное устройство хранения данных. Вирус создает на флешки файл autorun.inf и когда пользователь открывает подсоединенную к компьютеру карту памяти, активируется автозапуск и если антивируса нет, червь копирует себя в компьютер и творит свои темные дела. Начиная от шпионажа и заканчивая уничтожения данных. Если защита сработала, зараза может удалить все, до чего дотянется, т.е. до файлов на самой флешке. В итоге квартальный отчет, курсовая работа или реферат утеряны безвозвратно, что обидно функция автозапуска Windows включена автоматически, но ее можно отключить. Удалить этот вирус бывает не всего лекго, ведь он скрывается от наших глаз. Вызываем Меню, Пуск, пишем gpedit.msc в окне редактирования групповой политики, поочередно открываем Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Политики автозапуска. Дважды кликнем Отключить автозапуск, в появившемся окне выбираем Включить и ниже или только для дисков и флешкарт или для всех устройств включая фотоаппараты, плееры и телефоны.

Для пользователей Windows XP немного другая схема, после административных шаблонов идем в систему, там находим Отключить автозапуск. Помните, при подключении флешек вылетало авто окошко, теперь можете о нем забыть. Автозапуск не срабатывает, следовательно, даже если карта заражена, вирус не начнет творить бесчинства.

Если Вы хотите отключить автозапуск только для флешек, придется редактировать системный реестр, но именно эта процедура довольно сложна даже для продвинутых пользователей, проще сделать прививку на нашей карте памяти, ввести вакцину чтобы не заразилась непонятно чем. Для этого есть несколько маленьких, но очень полезных, а главное бесплатных утилит, но перед использованием надо полностью отформатировать флешку.

Первая программа panda usb vaccine. Установить программку за секунду можно тут же, втыкать флешку и жать Vaccinate USB. Утилита создает на съемном диске свой файл autorun.inf, который вирус не сможет удалить или изменить. Чтобы убедиться, что файл создан надо поставить соответствующую галочку в параметрах папки. Вот установленная прививка Autorun.inf.

И еще одна утилита AutoStop, ее написал некто Миханикус, устанавливать не надо. Копируем на флешку и запускаем. Тут зеленым по черному нам предлагают сначала Отключить автозапуск дисков автоматически через реестр. Защитить флешку от Autorun вирусов по принципу вакцина от Панда и просто запретить что-либо записывать, что либо на флешку, все можно сделать по желанию. Нам нужна прививка, нажимаем цифру 2, когда программа нас об этом спрашивает, в итоге на карте создан файл Autorun.inf со значком дорожного кирпича и если при очередном подключении его не будет, значит карта заражена, но вирус все равно не сработает.

И третья прививка USBDefender, опять же устанавливать не надо, просто запускаем и тут и еще проще, кнопка Protect защитить флешку, UnProtect убрать защиту.

Особенность программы файл autorun.inf получается супер скрытым, проводник Windows его не видно, но на самом деле вакцина введена. В этом можно убедиться через любой файловый менеджер, например Total Commander.

Вообще, в файле autorun.inf нет ничего криминального - он предназначен для того, чтобы операционная система Windows могла автоматически запустить ту или иную программу. Тем самым существенно облегчить жизнь пользователю, особенно начинающему.

К сожалению, довольно часто этот файл используется вирусами. Если ваш компьютер заразился подобным вирусом, то вы можете даже не зайти на ту или иную флешку или раздел диска. В этой статье попробуем разобраться, как можно удалить файл autorun.inf и избавиться от вируса.

1. Способ борьбы №1

1) Первым дело скачайте один из антивирусов (если у вас его нет) и проверьте полностью весь компьютер, в том числе и флешку. Кстати, хорошие результаты показывает антивирусная программа (к тому же, ее не нужно устанавливать).

2) Скачайте специальную утилиту Unlocker ( на описание). При помощи нее можно удалить любой файл, который не удается удалить обычным образом.

3) Если файл удалить не удалось, попробуйте загрузить компьютер в . Если удалось - то удалить подозрительные файлы, к том числе и autorun.inf.

4) После удаления подозрительных файлов, установите какой-нибудь современный и полностью проверьте компьютер еще раз.

2. Способ борьбы № 2

1) Заходим в диспетчер задач «Cntrl+Alt+Del» (иногда, диспетчер задач может быть недоступен, тогда воспользуйтесь способом №1 или удалите вирус с помощью аварийного диска).

2) Закрываем все лишние и подозрительные процессы. Оставляем только*:

explorer.exe
taskmgr.exe
ctfmon.exe

* - удаляете процессы только те, которые запущены от имени пользователя, процессы помеченные от имени SYSTEM - оставляете.

3) Убираем из автозагрузки все лишнее. О том, как это сделать - см. . Кстати, отключить можно практически все!

4) После перезагрузки, можно попытаться удалить файл с помощью «Total Commander». Кстати, вирус, запрещает видеть скрытые файлы, но в Commandor’e это легко можно обойти - достаточно в меню нажать по кнопке «показ скрытых и системных файлов». См. на картинке ниже.

5) Чтобы в дальнейшем не испытывать с подобным вирусом проблем, рекомендую установить какой-нибудь антивирус. Кстати, хорошие результаты показывает программа , предназначенная специально для защиты флешек от подобной заразы.

3. Удаление autorun.inf с помощью аварийного диска

Вообще, конечно, аварийный диск нужно сделать заранее, чтобы в случае чего он был. Но ведь все заранее не предусмотришь, тем более, если с компьютером вы еще пока только знакомитесь…

1) Для начала нужен диск CD/DVD или флешка.

2) Далее нужно скачать образ диска с системой. Обычно такие диски называются Live. Т.е. благодаря ним можно загрузить операционную систему с CD/DVD диска, практически такую же по возможностям, как если бы она была загружена с вашего жесткого диска.

3) В загруженной операционной системе с Live CD диска мы должны спокойно смочь удалить файл autorun да и многие другие. Будьте аккуратны, когда вы загрузились с такого диска, вы можете удалять абсолютно любые файлы, в том числе и системные.

4) После удаления всех подозрительных файлов, установите и проверьте полностью ПК.

4. Еще один способ удаления autorun с помощью антивируса AVZ

Очень хорошая антивирусная программа AVZ ( . Кстати, мы о ней уже упоминали в статье про удаление вирусов). При помощи нее можно проверить компьютер и все носители (в том числе и флешки) на вирусы, а так же проверить систему на уязвимости и исправить их!

Про то, как при помощи AVZ, проверить компьютер на вирусы, см. .

Здесь же затронем, как исправить уязвимость, связанную с Autorun.

1) Открываете программу и жмете по «файл/мастер поиска и устранения проблем «.

2) Перед вами должно открыться окно, в котором можно найти все системные проблемы и настройки, которые необходимо исправить. Можно сразу же нажать на «Пуск», программа по умолчанию выбирает оптимальные настройки поиска.

3) Отмечаем галочками все пункты, которые рекомендует нам программа. Как видим среди них есть и «разрешение на автозапуск с разных типов носителей». Желательно отключить автозапуск. Ставим галочки и жмем «исправить отмеченные проблемы».

5. Профилактика и защита от вируса autorun (Flash Guard)

Часть антивирусов не всегда способна надежно защитить ваш компьютер от вирусов, распространяющихся через флешки. Именно поэтому появилась такая замечательная утилита как Flash Guard.

Эта утилита способна перекрыть полностью все попытки заразить ваш ПК через Autorun. Она легко блокирует, способна даже удалять эти файлы.

Чуть ниже представлена картинка с настройками программы по умолчанию В принципе, их достаточно, чтобы оградить вас от всех неприятностей, связанных с эти файлом.

6. Заключение

В статье мы рассмотрели несколько способов удаления вируса, который используется для распространения флешки и файл autorun.inf.

Сам в свое время столкнулся с этой «заразой», когда по учебе приходилось таскать и использовать флешку на многих компьютерах (видимо часть из них или, по крайней мере один, был заражен). Поэтому, время от времени, флешка заражалась подобным вирусом. Но проблемы он создал только первый раз, затем был установлен антивирус и отключен запуск autorun файлов с помощью утилиты для защиты флешек (см. выше).

Собственно на этом все. Кстати, знаете еще способ удаления подобного вируса?

Флешки - основной источник заражения для
компьютеров, не подключенных к Интернету
- Wikipedia

В наше время мало кто задумывается о таком понятии, как компьютерная безопасность. Не удивительно, ведь тема эта довольно обширна и большинство материала на эту тему рассчитано на подготовленного пользователя. Но стоит рядовому пользователю столкнуться с проблемой вирусов (например, появление файла autorun.inf на флешке ), как тут же начинаются активные поиски методов защиты и борьбы с ними.

В этой статье будет рассмотрено:

Назначение файла autorun.inf

Файл autorun.inf (от англ. auto – автоматический и run – запуск) используется в операционной системе Microsoft Windows для автоматического запуска приложений с носителей, что позволяет значительно упростить действия пользователя при установке приложений и драйверов с накопителей.

Файл автозапуска можно встретить практически на любом диске с программным обеспечением или драйвером к какому-либо устройству. Помимо этого он выполняет функцию автозапуска меню на флешках с предустановленными или портативными утилитами.

Структура файла autorun.inf разделена на блоки, параметры и значения. В файле содержатся параметры, описывающие диск, такие как: как метка диска, иконка диска, запускаемый файл и некоторые другие специфические параметры. В частности, для автоматического запуска какого-либо приложения с флешки при ее подключении к компьютеру в файле autorun.inf будет достаточно двух строк:


open = имя_файла

Где – имя блока, open – имя параметра, имя_файла – содержит путь к файлу приложения, которое будет автоматически запущено.

Стоит отметить, что worm win32 autorun способен обфусцировать (запутывать) содержимое файла autorun.inf, тем самым затрудняя анализ файла. Однако, программа для защиты флешки без проблем распознает содержимое файла автозапуска, над которым поработал autorun червь .

Вирус autorun

Изначально безобидное предназначение файла автозапускасо временем стало использоваться вирусописателями как эффективный способ распространения worm win32 autorun . Сам по себе файл autorun.inf не содержит исполняемый код вируса, он является лишь средством запуска autorun червя .

Вирусом autorun называется такой тип вирусов, которые распространяются посредством копирования исполняемого файла (своей копии) на съемные носители и прописываясь в файл автозапуска autorun.inf, таким образом, заражая их. Заражению подвержены абсолютно все внешние накопители (флешки, mp3-плееры, цифровые камеры и прочие устройства), которые не защищены каким-либо образом от записи на диск (аппаратная защита, или же уже существующий в корне диска защищенный файл или папка autorun.inf).

В Windows XP autorun по-умолчанию запускается со съемных носителей. Существует масса способов устранения этой уязвимости: от установки официальных заплаток (обновлений) от Microsoft до применения различных настроек. Программа для защиты флешки от вирусов Antirun при установке автоматически устраняет эту уязвимость. Также в настройках программы доступно возобновление функции автозапуска.

В Windows 7 autorun обрабатывается несколько иначе: по-умолчанию автозапуск со съемных носителей отключен, однако это не обеспечивает защиту от autorun вирусов с флешек. Поэтому для защиты от worm win32 autorun рекомендуется использовать программу Antirun вместе с основным антивирусом.

Признаки заражения флешки

Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.

Рассмотрим типичный пример зараженного съемного диска:

На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файл autorun . inf и скрытая папка RECYCLER . Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER .

Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).

Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun . Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.

Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun .

Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx ), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:

На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx ) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.

Признаки заражения системы

Как правило, большая часть autorun вирусов, при своей деятельности, блокируют те или иные функции системы, при помощи которых пользователь может как-либо противостоять угрозе. Самые основные из них:

  1. При попытке запустить диспетчер задач Windows появляется сообщение «Диспетчер задач отключен администратором ».
  2. При попытке запустить редактор реестра Windows появляется сообщение «Редактирование реестра запрещено администратором системы ».
  3. На дисках создается скрытый файл autorun.inf , а при удалении создается снова.
  4. Невозможно открыть или удалить файл autorun.inf . Windows сообщает, что доступ к файлу невозможен. Это типичное проявление активности червя worm win32 autorun .
  5. При попытке открытия диска открывается диалог«Выберите программу для открытия этого файла »
  6. При попытке открытия диска он стал открываться в отдельном окне;
  7. Из меню Проводника Сервис исчез пункт Свойства папки .

Источники заражения

Широкое распространение worm win32 autorun получил благодаря повсеместному использованию внешних накопителей. Сейчас практически у каждого пользователя ПК имеется флешка (а то и несколько), цифровой плеер или камера с картой памяти. Используются эти устройства на разных компьютерах, большинство которых даже не защищены антивирусом, не говоря уже об актуальных базах вирусных сигнатур.

Источником заражения вирусом worm win32 autorun может послужить любой зараженный компьютер. Это может быть:

  • фотолаборатория, куда вы отдали флеш-карту для распечатки фотографий;
  • рабочий компьютер;
  • компьютер друзей;
  • интернет-кафе и прочие публичные места.

Также известны случаи, когда новая флешка, купленная в магазине, уже содержала worm win32 autorun.

В заключение стоит добавить, что за довольно долгую историю существования autorun вирусов и появившуюся за это время массу методов защиты и профилактики, проблема все еще остается актуальной. Далеко не все лидирующие на рынке комплексные антивирусные решения способны грамотно справиться с этой задачей. Для надежной защиты от autorun вирусов рекомендуется использовать антивирусную утилиту Antirun совместно с основным антивирусным комплексом.

В следующих статьях будут рассмотрены методы защиты системы и внешних устройств (флешек, mp3-плееров, камер и пр.) от вирусов autorun, которые использует в своей работе антивирусная программа Antirun.

Как удалить вирус Autorun.inf с компьютера? Сегодня речь пойдет о борьбе с довольно странным и интересным вирусом, известным под названием Autorun.inf. Этот вирус появился сравнительно давно, и многие с ним сталкивались, однако далеко не каждый может справиться с ним до сих пор.

Все начинается довольно необычно. Пользователь, как всегда, садится за свой компьютер, включает его, и операционная система начинает загружаться. Все проходит успешно, появляется рабочий стол, и, казалось бы, нет признаков для беспокойства. Ничего не тормозит, все открывается.

Однако стоит зайти в мой компьютер – и один из локальных дисков не открывается. Причем никакой ошибки не появляется, а после попытки открыть этот локальный диск почему-то открывается совсем другая папка.

Антивирусная программа молчит и ничего не находит, что еще больше ставит в тупик, ведь если верить антивирусу – то компьютер не заражен, но ведь и ошибки никакой не возникает! А если попытаться сделать клик правой кнопкой мыши по зараженному локальному диску, то в контекстном меню вместо пункта «Открыть» стоит надпись из непонятных иероглифов.

Нет, это не ошибка системы, и это не чья-либо шутка, виновник всех этих чудес вирус Autorun.inf. Он ухитряется обходить некоторые антивирусные защиты, после чего вытворяет такие вот фокусы. Как правило, этот вирус заражает только один диск, помещая свой исполняемый файл в корень локального диска жертвы.

Этот файл является скрытым, но даже если его удалить – при следующей загрузке он снова появится, поскольку небольшая часть вируса есть и в реестре. Из этого всего следует, что для удаления этой заразы придется лазить не только по локальному диску, но и покопаться в реестре.

Ну а теперь обо всем и поподробнее. Первое, что нужно сделать для избавления от вируса – это сделать его видимым. Для этого необходимо перейти в Панель управления через меню «Пуск» и добраться до «Параметров папок».

В появившемся окне на вкладке «Вид» важно не только поставить галочку на параметре «Отображать скрытые файлы папки и диски», но и снять галочку с параметра «Скрывать защищенные системные файлы», после чего, соответственно нажать «Применить» и «Ок».

Теперь главная цель – открыть зараженный локальный диск. Сделать это можно с помощью Проводника, любого файлового менеджера, или архиватора. В корне диска можно увидеть созданный файл с расширением «.INF». Обычно он носит название «Autorun.inf». Теперь необходимо его удалить. Голова гидры обезглавлена, но она отрастет снова, если не убить ее тело в реестре.

Сразу же после удаления «Autorun.inf» необходимо перейти в меню «Пуск» и поисковой строке ввести «regedit». Необходимо перейти по адресу «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2».

Теперь нужно найти и перейти в раздел с названием зараженного диска. В нем будет подраздел «Shell» — это и есть остаточная часть вируса. Теперь осталось без промедлений удалить этот подраздел, выполнить перезагрузку и вирус будет повержен.

Плохо работают важные компьютерные программы, компьютер жутко тормозит, когда дело не терпит отлагательств. Что делать?

Пока приедет мастер, проведет диагностику и устранит неисправность пройдет 2-3 часа вашего драгоценного времени. Но мы можем предложить вам удаленную компьютерную помощь – никаких дополнительных ожиданий и очень результативно.

Что нужно для удаленной компьютерной помощи?

  • На компьютере должна быть установлена одна из операционных систем: Windows или MacOS X.
  • Компьютер должен иметь выход в интернет

Какие проблемы помогает решить удаленная компьютерная помощь

  • Диагностика ПК (определение неисправности, оптимизация работы компьютера).
  • Устранение проблем в работе ПО (Microsoft Office, Adobe Photoshop и другие приложения).
  • Поиск и восстановление данных, удаление вирусов и других вредоносных программ.
  • Установка и настройка программного обеспечения (кроме установки ОС)

Процесс оказания удаленной помощи

Технология оказания удаленной компьютерной помощи очень проста. Свяжитесь с нашим специалистом. Он скажет вам сначала скачать и установить программу Teamviewer. Она позволит ему подсоединиться к вашему компьютеру, и совершать какие-либо действия с ним удаленно.

После запуска программы появится окно с номером и паролем. Сообщите эту информацию удаленному специалисту.

Подтвердите соединение, тогда мастер может приступить к диагностике. За всеми действиями мастера вы можете наблюдать на своем мониторе.

Как только мастер сообщит, в чем проблема, он предложит пройти по ссылке на страницу оплаты. Вы можете, как согласиться, так и отказаться. Обязательно сохраните номер платежа.

Специалист устраняет неисправность.

После оплаты, сообщите номер платежа мастеру.

Преимущества

  1. Быстрота соединения.
  2. 100% безопасность. Никто не подключиться к вашему компьютеру кроме специалиста, а обмен данными защищен шифровальным алгоритмом.
  3. Экономия до 3х часов времени.