Slave of the Lamp

Удаление Autorun (RECYCLER) вирусов

Предупреждения и замечания

В связи с тем, что эпидемия вирусов, распространяющихся через флешки, идти на спад не собирается, я решил не удалять свою старую статью, а переработать её и поместить сюда.

Для начала напомню, что я простой пользователь, не программист и не специалист по ремонту железа.

Я не смогу вам помочь, если:

• флешка работает плохо или не работает вообще,
• не открываются или не копируются файлы,
• вирус не удаляется антивирусом и описанным ниже способом,
• вам лень читать статью, и вы решили, что я ещё раз буду рассказывать всё в комментариях,
• вы считаете меня телепатом, который может дать совет, не зная точно, что у вас случилось,
• после прочтения статьи вы продолжаете считать, что форматирование флешки спасёт от вируса.

Помните, что вы сами несёте ответственность за всё, что вы делаете. Претензии по поводу удалённых нужных файлов, их повреждения, прочего вреда, который вы можете нанести себе или своему компьютеру, не принимаются.

Компьютер заражён?

Если вы читаете эту статью, то скорее всего заражение уже произошло. Симптомами могут служить исчезающий трафик, перекрытый доступ на сайты популярных антивирусов, неправильные значки флешек и т.п.

В этом случае нужно:

1. подключить все флешки, которыми вы пользовались,
2. просканировать систему специальной утилитой от Лаборатории Касперского (если компьютер заражён, вы скорее всего не сможете открыть эту ссылку; попросите ваших друзей скачать для вас утилиту или выложить на обменник).

Профилактика

Если вам посчастливилось не подхватить вирус (или вы только что полностью удалили его), не стоит расслабляться. Для того, чтобы жить спокойно, нужно принять профилактические меры: установить антивирус, файрволл и утилиту Flash Guard.

Лечение флешек

Если вы уверены, что ваш компьютер чист и все профилактические меры приняты, вы можете не только не опасаться заражения, но и лечить заражённые флешки. Сделать это можно двумя способами: при помощи специальной утилиты от Лаборатории Касперского или вручную.

При удалении вручную нельзя открывать файлы и диски двойным кликом! Используйте «дерево» (если вы используете Проводник) или функциональные клавиши (если вы используете двухпанельный файловый менеджер).

Чтобы удалить вирус вручную нужно:

1. убедиться в том, что приняты все профилактические меры,
2. установить удобный файловый менеджер (лучше всего Total Commander или FreeCommander) и включить в нём показ скрытых и системных файлов,
3. открыть в нём флешку,
4. удалить незнакомые файлы и папки. Как правило, подлежат удалению:
   • файлы autorun.~ex, autorun.bat, autorun.bin, autorun.exe, autorun.ico, autorun.inf, autorun.inf_?????, autorun.ini, autorun.reg, autorun.srm, autorun.txt, autorun.vbs, autorun.wsh;
   • прочие файлы с расширениями .inf .com .sys .tmp .exe;
   • папка RECYCLER или RECYCLED.

Если файлы не удаляются или появляются снова — ваш компьютер, скорее всего, заражён. Что делать в этом случае вы прочитали выше.

Будьте осторожны, не удалите то, что вам нужно. Ещё раз напоминаю, что безопасность вашего компьютера зависит только от вас самих. Спасибо за внимание.

• 2 марта 2010
• Архив старого блога
• вирусы

23 комментария

RSS-лента комментариев к этой записи

Пропустить комментарии

• Aleksusklim 15 марта 2010 20:32

  Какие вирусы хитрые! Недавно мне на флешку залез очень оригинальный вирус. Он лежит в папке-корзине, которая не просматривается проводником. В «autorun.inf» уже есть сигнатура вируса или что-то похожее. Сам файл весит около 171 кб, и в свойствах утверждает, что он – «Microsoft office word», все права защищены и.т.д. Сам «dousiju.exe» файл выглядит как картинка. То есть, его значок-иконка – это голубой листок бумаги с загнутым уголком, на нём нарисованы синий круг, красный квадрат и жёлтый треугольник (как на обычной картинке, которую открывает “программа просмотра изображений и факсов”). Вирус очень сильно замаскировался. Но самое удивительное то, что он попал на флешку с компьютера, на котором был установлен «антивирус Касперского 2010»! Он предлагал сканировать флешку, но вирус на неё уже проникнул с компа. Касперский не заметил. Или не захотел заметить. Flash-guard у меня сразу вирус прищучил, я его себе скопировал, но не решился запустить, хотя так хотелось!

  Ответить

• Александр 23 марта 2010 08:44

  Приветствую всех, кто может посоветовать отличную ОС Windows XP SP-3, очень надо замучался уже менять сборки на сборки... подскажите название или где можно поискать или скачать Спасиб большое

  Ответить

  • Максим Яковлев 23 марта 2010 10:33

    Я могу посоветовать только одну сборку — оригинальную. Использование всех остальных является незаконным и неправильным. Нужно понимать, что настройка Windows должна производиться тем, кто её использует, а не «сборщиками», у которых нередко очень кривые руки.

    При использовании сборок велика вероятность подцепить вирус (занесённый «сборщиком» или из-за кривой настройки служб) и потерять ваши данные или деньги.

    Ответить

• Жанн 1 апреля 2010 19:13

  Здравствуйте Максим.

  У меня проблема, на работе комп с windowsXP SP2, систему нельзя переустановить из за встроенных программ, от которых нет установочных дисков. Комп заражен. Авторун папка в системном диске. Значок системного диска и флешки отображается значком выключения компа. Флешку лечу на соседнем компьютере, после того как она побывает в этом. Сам авторун не удаляется. Нет доступа пишет. NOD32 его не видит. Касперский сегодня установил его не обнаружил. Нажал дефрагментацию, 13% прошло и пишет остальное не может. Dr.Web ведет себя по странному: при быстром сканировании сканирует и не находит, при полном сканирует 10-15 секунд и выдает что ничего не нашел. Хотя на других компах сканирует дольше чем при быстром. Помогите, я скачал утилиту, завтра попробую. У нас стоит USB-секьюрити, она обнаруживает авторун при вставке флешки, нажимаешь удалить, пишет не удалось, а NOD32 — файл заблокирован. Мыло оставил может что посоветуете. Буду ждать

  Ответить

  • Максим Яковлев 1 апреля 2010 23:59

    Здравствуйте. Кроме KK.exe можно попробовать Dr.Web® LiveCD. Если не поможет, Вам скорее всего придётся переустановить систему. Боюсь, что больше ничего полезного я подсказать не смогу.

    Ответить

    • Жанн 3 апреля 2010 07:19

      Прошел Касперским, он нашел несколько вирусов, кк не знаю, там не понятно было, значек флешки появился свой, но системного диска остался другим, папка авторун не удаляется, Sistem Volume не открывается и не удаляется. Загружался через LiveCD XP, не дает все равно удалять эти папки. И еще после работы с флешкой появляются скрытые файлы (они правда удаляются) SVESE и GORILA, в виде корзины мусорной. Что то их закидывает туда.

      Ответить

      • Максим Яковлев 3 апреля 2010 07:33

        Это опечатка, или Вы нашли что-то непонятное в утилите, которую достаточно запустить двойным кликом?

        Вполне возможно, что LiveCD с Windows не даст удалять папку System Volume Information, т.к. посчитает её «своей». Да и не нужно её трогать. Для удаления вирусов лучше использовать специальные LiveCD, причём желательно не на основе Windows.

        Появление файлов SVESE и GORILA может быть необходимо для работы с флешкой. Google о них не знает, проверьте на virustotal.com.

        Ответить

        • Жанн 4 апреля 2010 21:05

          Максим, такой еще вопрос, Dr.Web® LiveCD он же для Linux.

          Как он поможет с Windows?

          Ответить

          • Максим Яковлев 4 апреля 2010 21:11

            «Если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановите работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!»

            Если Вы всегда так невнимательно читаете сопроводительные тексты и документацию, то Вам лучше обратиться к специалисту, а не пытаться сделать что-то самостоятельно.

            Ответить

• musical_cat 6 апреля 2010 09:10

  Для борьбы с вирусами полезна утилита Process Explorer — помимо древа процессов/служб, в ней имеется полезная функция поиска хэндла по названию экзешника/dll'ки и возможности убийства его (хэндла). После этого экзешник/dll'ка удаляется без проблем.

  Помимо обычного HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run часто вирусы прописывают свой автозапуск в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon дописываясь в параметр «Shell» после «Explorer.exe», либо в параметр «userinit» после стандартного «C:\WINDOWS\system32\userinit.exe», либо в параметр «taskman».

  Ответить

• Игорь 10 апреля 2010 15:13

  У меня проблема с неким не определяющимся вирусом: подцепили коллеги через старую версию IE, заражает наверное explorer, лезет в инет? на флэшках создает авторан, папку MAGAZIN в ней файл, jelenarozga.exe. HELP!

  Ответить

  • Максим Яковлев 10 апреля 2010 16:53

    Если этот вирус не удаляется способом, который описан выше, отправьте этот файл на анализ Касперскому или ещё куда-нибудь.

    На сайте www.prevx.com есть страница об этом вирусе, однако я сразу должен Вас предупредить, что этот сайт мне неизвестен. Действуйте на свой страх и риск.

    Ответить

• ZXDemon 14 апреля 2010 18:21

  ARSKill + AutoKFD и забыть о них на всю жизнь!

  Ответить

• Aleksusklim 18 апреля 2010 13:20

  А вирусы типа «ЎЎЎЎЎЎ» вообще не автозапускаются. Они скрывают папки на флешке, а сами, выглядя как папка, занимают её место, используя себе имя “имя_скрытой_папки”.exe. То есть пользователь их сам дважды кликнет, думая, что это папка, которую он сам создал. Но настоящая папка скрыта. Поэтому, если flash-guard ничего не сказал при вставлении флешки, то её всё равно лучше просмотреть через total commander, либо отобразить расширения файлов в свойствах папки в панели управления. Либо, задержать ненадолго указатель мышки над подозрительной папкой. Если покажет не «папки:… ; файлы:…» а что-то типа «размер: 1,43мб» и больше ничего – знайте: это вирус!

  Ответить

• Maksat Muradov 25 мая 2010 18:26

  Не бал заражён ибо всегда читаю подобные толковые статьи (в основном на Хабре) и всегда знаю, что происходит в моём компе.

  У меня вопрос про этот авторан.инф

  Я нашёл подобный файл, но не у себя на харде, ни на флешке, а в мобильном телефоне Сони Эрикссон w715i, точнее на флэшкарде в 4 гига. Телефон куплен у Водафон (Испания).

  Файл был замечен случайно, через ФриКоммандер.

  На всякий пожарный файл сохранил и с телефона удалил.

  Проверил файл на вшивость на сервисе ВирусТотал, где был выдан результат 1/41, то есть МакАфи увидел его как вирус, остальные нет.

  Телефон после покупки (ноябрь 2009) никуда не втыкал, кроме своего чистого ноутбука.

  Вопрос: что за авторан.инф в мобильнике? Неужели Водафон «прикалывается» или это просто безобидный и неизвестно зачем нужный файл? Всегда покупал только СониЭрикссоны, но подобного не видал.

  Ответить

  • Максим Яковлев 25 мая 2010 19:42

    Скорее всего это полезный файл, предназначенный для запуска какой-то специальной программы (оболочки) для «общения» компьютера и телефона при его подключении. Подобные файлы есть на большинстве дисков (с играми, например), а так же на мобильных модемах.

    Ответить

• Maksat Muradov 25 мая 2010 20:20

  Спасибо за быстрый ответ.

  Удалив его мне «что-то будет»?

  Я пока его в тайнике сохраню, а если телефон заругается, верну ему файл.

  Ответить

  • Максим Яковлев 25 мая 2010 20:43

    Выясните, что собирался запускать этот autorun.inf, и проверьте антивирусом. Тогда станет ясно, будет что-то или нет.

    Ответить

• Саша 21 июня 2010 14:45

  Вообще все эти проблемы — автозакуски, вирусы которые под папки маскируются решает ЗОРКИЙ ГЛАЗ — просто удивительно как это название здесь ещё не прозвучало))

  Ответить

  • Максим Яковлев 21 июня 2010 14:55

    Зоркий глаз способен не подключая флешку определить, есть ли на ней вирус?

    Ответить

• Aleksusklim 27 июня 2010 11:42

  А я ещё вот что хочу спросить. Загрузка ЦП состоит из потребления ресурсов процессора различными программами или сервисами и бездействия системы, причём сумма этих двух показателей должна составлять 100%. Но я стал частенько замечать, что загрузка ЦП около 90%, а все программы в сумме берут не более 15%. То есть, предположим, Проводник – 5%, Winamp – 3%, Бездействие – 0% : программы забирают 8%, а общая загрузка 100%! Найдя в консоли MMC оснастку «производительность», я стал мониторить график загрузки ЦП и график прерываний процессора. Результат таков, что эти самые “прерывания” (“interrupts” в Process Explorer) и съедают ресурсы ЦП. В покое – 5%-10%, а при открытии файлов (копировании, сохранении, просто при доступе к жёсткому диску) прерывания достигают 80%-95%! И после ещё долго не опускаются ниже 25%. Раньше мой комп так не тормозил!

  Открыв консоль производительности на WINDOWS на моём втором винчестере (который я недавно установил), прерывания даже при самой активной работе не превышают 5%, а в покое – 0%! Только ради эксперимента, я засунул три куста своего реестра (SAM, SYSTEM и SECURITY) вместо соответствующих кустов реестра второй операционной системы (просто копируя и вставляя файлы одного реестра через другой WINDOWS). Прерывания действительно зашкаливали. Итог: перегрузку процессора вызывает мой больной реестр. Неужели это вирус!? Или я просто случайно сбил настройки системы? Хочу попросить у вас совет: как мне понизить зловредные прерывания?

  И ещё кое-какие наблюдения: второй WINDOWS (SP3) совершенно спокойно принимает файлы реестра первого WINDOWS (SP2). А вот мой больной первый WINDOWS наотрез отказывается работать с заменённым реестром. Новый второй WINDOWS загружается очень быстро (полосочка загрузки системы проскакивает слева направо ОДИН раз), а мой старенький – о-о-чень медленно (полосочка проходит ДВАДЦАТЬ ОДИН раз)!! Дефрагментация не помогает…

  Извините, что перебиваю обсуждения Зоркого Глаза.

  Ответить

  • Максим Яковлев 27 июня 2010 14:19

    Я знаю, что переустановка системы — один из самых плохих вариантов решения проблем, но больше ничего посоветовать не могу. Возможно, на каком-нибудь специализированном форуме Вам подскажут что-то ещё.

    Ответить

• Aleksusklim 18 июля 2010 11:41

  Мне переустановка системы, к счастью, не понадобилась. Прерывания были вызваны неправильным подключением второго винчестера. Когда два жёстких диска висят на одном IDE шнуре, один должен быть Мастером, а другой – Рабом. А раньше я нижний (первый) сделал Мастером, а верхний (второй) – Рабом. В интернете везде пишут, что верхний винчестер ВСЕГДА должен быть Масте ром. Ну, я так и сделал. Мой старый WINDOWS гружу с Раба и отлично! ОС грузится теперь не в 21 полосочку, а всего в две. «%Времени прерываний%» (в консоли производительности) теперь менее 4%. Ура! Вирусы были не причём.

  А теперь о вирусах. Изучая работу программы «Lock Folder», я обнаружил, что она имеет основной процесс и сервис. Их легко можно закрыть через диспетчер задач. Но основную работу по скрытию папок выполняет не сервис, а драйвер, автоматически загружающийся при старте WINDOWS и даже в безопасном режиме. В списке процессов драйвер, естественно, не отображается. Разумеется, как нормальный (не системный) драйвер, его можно отключить. Но вот что меня беспокоит: если полезная программа смогла засунуть свой файл в «system32\drivers\» и прописать его как автозагружающийся драйвер, выполняющий работу в фоне, то. Может ли вирус прописать себя как драйвер и спокойно всем вредить даже в безопасном режиме? Сможет ли антивирус распознать его? Так ли легко “стать” драйвером? И как вообще управлять работой драйверов и изучать их действия?

  Ответить