Как избавиться от autorun-вирусов

2 мая 2009

Помню была здесь тема как избавиться от этого вируса, я напишу как избавился я.
Значит качаем утилитку курейт от др.Веб и еще устанавливаем прожку тотал командер.
1. Вставляем зараженную флешку в компьютер ( как узнать заражена она или нет, если она заражена то при авто запуске будет появляться пункт открыть с помощью программы установленой на носителе ну или что то такое,в корне флешки будет файл autorun.inf) закрываем появившееся окно.
2. Запускаем курейт нажимаем пуск запускаем быстрое сканирование он найдет в файле autorun.inf зараженный и выдаст запрос жмем да (если найдет и другие вирусы тогда лучше после удаления autorunа запустить полное сканирование компьютера но это занимает много времени)
После быстрой проверки запускаем выборочную выбираем нашу флешку найдет еще пару вирусов удаляем их.
3. Безопасное извлечение флешки и снова ее вставляем закрываем появившееся окно.
4. Запускаем тотал командер переходим сначала на диск с выбираем папку документ энд сетинг/фирст/др.веб/карантин и удаляем ре файлы которые там находятся потом чистим корзину. Далее с помощью тойже утилиты открываем нашу флешку делаем в настройках чтоб тотал командер видел скрытые файлы и папки находим на флешке папку рекуклет и удаляем ее.

Все.


19 ответов в теме “Как избавиться от autorun-вирусов”

    Страницы: [1] 2 »
  1. 1) Alexander Ageyev ответил:

    2 мая 2009 в 12:00

    вот способ который мне помогал… трижды… теперь каспер все подобные шняги не пускает =)) (KIS rule)

    1)Пуск->Выполнить

    2)вводим msconfig, на вкладке автозапуск убираем галочку с файла amvo.exe – этот файл висит в процессах, но он не видим и его задача регенерить удаленные файлыautorun.inf, поэтому перезагружаемся

    3)удаляем через тотал командер все файлы autorun.inf из корневых директорий дисков

    4)идем в папку Windows\system32\ и удаляем файл amvo.exe

    5)создаем текстовый файл и прописываем в нем (лучше просто скопировать smile )

    (begin)
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
    "Text"="@shell32.dll,-30499"
    "Type"="group"
    "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
    00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
    48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
    00
    "HelpID"="shell.hlp#51131"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30501"
    "Type"="radio"
    "CheckedValue"=dword:00000002
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51104"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30500"
    "Type"="radio"
    "CheckedValue"=dword:00000001
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51105"
    (/end)

    6)присваиваем файлу расширение reg, запускаем, на вопрос о подтверждении отвечам "Да", теперь скрытые файлы будут отображаться

  2. 2) Эмиль Алиев ответил:

    2 мая 2009 в 12:01

    Надо будет попробовать.

  3. 3) Alexander Ageyev ответил:

    2 мая 2009 в 12:03

    хотя была тема, что этот amvo.exe потом переименовали!… =(
    но после KIS 8 у мну такой проблемы вообще не возникало!!!

  4. 4) Aleksandr Sukhikh ответил:

    2 мая 2009 в 15:01

    юзайте kis и не парьтесь .
    у меня проблемы с autorun.inf никогда не было. Даже при kis 6

    p.s.
    ради такой защиты и лицензию купить можно

  5. 5) Виталик Казаров ответил:

    2 мая 2009 в 15:02

    Ахах)) Прежде чем лечить флешку – нужно вылечить комп, любым антивирем или вручную, причем "amvo" – достаточно старая модификация, я встречал services.exe, smss.exe, причем их просто так не вырубишь, винда принимает их за системные процессы и не даёт завершить – грузишься с любого live-cd и тупо удаляешьфайлы с этими именами (кроме тех, кто в System32 сидит :) )… также достаждает некий csrcs.exe… убивается – легко, реестр от него очищается легко, но, зараза, юзеры ухитряются его подхватить на следующий же день ))

    А когда вылечили комп – вставляем флешку и Тотал-коммандером (или любым другим файл-менеджером) просто удаляем оттуда autorun.inf и остальные "лишние" файлы (обычно имеют имена из случайного набора букв и арибут скрытости)…
    Ещё вроде как помогает создать на флешке папку с именем autorun.inf, тогда при посещении заражённого компа вы сможете не опасаться, что случайно запустите вирус у себя, открыв её двойным щелчком в проводнике :)

  6. 6) Эмиль Алиев ответил:

    2 мая 2009 в 17:02

    #7 Как понять грузишься с любого лаив сиди у меня просто все эти процессы есть и я думал что они системные?

  7. 7) Виталик Казаров ответил:

    2 мая 2009 в 17:02

    Да, системные, и должны быть запущены от имени System, вирус же запускает процессы с теми же именами, но от имени пользователя.
    И расположены они обычно в разных местах, легальне – в windows\system32, вирусные же, например в windows\cursors или windows\web

  8. 8) Эмиль Алиев ответил:

    2 мая 2009 в 18:01

    Ясно.

  9. 9) Alexander Ageyev ответил:

    2 мая 2009 в 18:01

    Есть прога Unlocker… разблокируем "противный" файл (типа smss)… и удаляем без livecd

  10. 10) Эмиль Алиев ответил:

    2 мая 2009 в 18:01

    Что за процесс ctrmon.exe я его с автозагрузки убираю а он всеровно запускается.

    11. Страницы: [1] 2 »