Удаление Autorun (RECYCLER) вирусов

Предупреждения и замечания

В связи с тем, что эпидемия вирусов, распространяющихся через флешки, идти на спад не собирается, я решил не удалять свою старую статью, а переработать её и поместить сюда.

Я не смогу вам помочь, если:

флешка работает плохо или не работает вообще,
не открываются или не копируются файлы,
вирус не удаляется антивирусом и описанным ниже способом,
вам лень читать статью, и вы решили, что я ещё раз буду рассказывать всё в комментариях,
вы считаете меня телепатом, который может дать совет, не зная точно, что у вас случилось,
после прочтения статьи вы продолжаете считать, что форматирование флешки спасёт от вируса.

Помните, что вы сами несёте ответственность за всё, что вы делаете. Претензии по поводу нанесения любого ущерба не принимаются.

Компьютер заражён?

Если вы читаете эту статью, то скорее всего заражение уже произошло. Симптомами могут служить исчезающий трафик, перекрытый доступ на сайты популярных антивирусов, неправильные значки флешек и т.п.

В этом случае нужно:

подключить все флешки, которыми вы пользовались,
просканировать систему специальной утилитой от Лаборатории Касперского (если компьютер заражён, вы скорее всего не сможете открыть эту ссылку; попросите ваших друзей скачать для вас утилиту или выложить на обменник).

Профилактика

Если вам посчастливилось не подхватить вирус (или вы только что полностью удалили его), не стоит расслабляться. Для того, чтобы жить спокойно, нужно принять профилактические меры: установить антивирус, файрволл и утилиту Flash Guard.

Внимание! В сети появились подделки Flash Guard, являющиеся вирусами. Одна из них находится на сайте davisr.ru, там предлагается скачать Flash Guard версии 2. Такой версии не существует! Скачивайте Flash Guard только с сайта автора — davisr.com.

Лечение флешек

Если вы уверены, что ваш компьютер чист и все профилактические меры приняты, вы можете не только не опасаться заражения, но и лечить заражённые флешки. Сделать это можно двумя способами: при помощи специальной утилиты от Лаборатории Касперского или вручную.

При удалении вручную нельзя открывать файлы и диски двойным кликом! Используйте «дерево» (если вы используете Проводник) или функциональные клавиши (если вы используете двухпанельный файловый менеджер).

Чтобы удалить вирус вручную нужно:

убедиться в том, что приняты все профилактические меры,
установить удобный файловый менеджер (лучше всего Total Commander или FreeCommander) и включить в нём показ скрытых и системных файлов,
открыть в нём флешку,
удалить незнакомые файлы и папки. Как правило, подлежат удалению:
- файлы autorun.~ex, autorun.bat, autorun.bin, autorun.exe, autorun.ico, autorun.inf, autorun.inf_?????, autorun.ini, autorun.reg, autorun.srm, autorun.txt, autorun.vbs, autorun.wsh;
- прочие файлы с расширениями .inf .com .sys .tmp .exe;
- папка RECYCLER или RECYCLED.

При этом папка RECYCLER или RECYCLED сама по себе никакого вреда не наносит. Это «Корзина». Опасность представляет вирус, который может в этой корзине прятаться. Чтобы определиться, удалять ли эту папку, нужно проверить её содержимое. Если там нет ничего подозрительного — удалять её не обязательно.

Если файлы не удаляются или появляются снова — ваш компьютер, скорее всего, заражён. Что делать в этом случае вы прочитали выше.

Будьте осторожны, не удалите то, что вам нужно. Ещё раз напоминаю, что безопасность вашего компьютера зависит только от вас самих. Спасибо за внимание.

При комментировании статьи прошу воздержаться от оффтопика: описания прочих вирусов, сетования на хитрых хакеров, злую судьбу и т.п.

UPD: Комментирование отключено

Всем спасибо за комментарии, но гуглить за вас, дорогие посетители, у меня больше нет желания.

Комментарии

Maksat Muradov:

25 мая 2010 в 18:26

Не бал заражён ибо всегда читаю подобные толковые статьи (в основном на Хабре) и всегда знаю, что происходит в моём компе.

У меня вопрос про этот авторан.инф
Я нашёл подобный файл, но не у себя на харде, ни на флешке, а в мобильном телефоне Сони Эрикссон w715i, точнее на флэшкарде в 4 гига. Телефон куплен у Водафон (Испания).
Файл был замечен случайно, через ФриКоммандер.
На всякий пожарный файл сохранил и с телефона удалил.
Проверил файл на вшивость на сервисе ВирусТотал, где был выдан результат 1/41, то есть МакАфи увидел его как вирус, остальные нет.
Телефон после покупки (ноябрь 2009) никуда не втыкал, кроме своего чистого ноутбука.
Вопрос: что за авторан.инф в мобильнике? Неужели Водафон «прикалывается» или это просто безобидный и неизвестно зачем нужный файл? Всегда покупал только СониЭрикссоны, но подобного не видал.

Lampslave:

25 мая 2010 в 19:42

Скорее всего это полезный файл, предназначенный для запуска какой-то специальной программы (оболочки) для «общения» компьютера и телефона при его подключении. Подобные файлы есть на большинстве дисков (с играми, например), а так же на мобильных модемах.
Выясните, что собирался запускать этот autorun.inf, и проверьте антивирусом. Тогда станет ясно, опасный это файл или нет.

Эльвира:

29 марта 2011 в 02:45

Здравствуйте!
У меня к вам, Максим, такой вопрос: дело в том, что на флешкарте моего фотоаппарата вирус переименовал папку с фото в (.exe). Открыть я ее не могла, просил выбрать программу. С того момента флешку я не подключала к компу. Собственно мой вопрос такой — возможно ли сохранить содержимое этой папки., так как я не хочу удалить вместе с вирусом все содержимое папки. не так давно установила новый антивир (Нод) плюс у меня был установлен (др Веб), веб автоматически проверяет и удаляет подобные папки (переименованные в .exe). Да, Вы написали, как удалить вирусы выше. Но на мой взгляд — мой вопрос отличается тем, что мне нужно сохранить содержимое этой папки. Не хотелось бы, к примеру, чтоб Нод или Др Веб автоматически удалили содержимое папки. Может есть способ сохранить или вылечить эту папку?
Признательна за ответ. спасибо.

Lampslave:

29 марта 2011 в 11:08

Здравствуйте. Я думаю, всё достаточно просто. Вирус не испортил папку, он просто скрыл её и «назвался» её именем. Попробуйте включить показ скрытых и системных файлов и вытащить фотографии с флешки. Потом можно будет всё просканировать на вирусы и найденное удалить.
- Эльвира:
  
  29 марта 2011 в 22:47
  
  Спасибо, Максим. Помогло все. Действительно, ничего сложного в этом не было:)

reddly:

29 сентября 2011 в 08:35

Реально антивирусные ссылки не открываются, но, спокойно утилиты можно скачать через торрент. Набираешь в поиске нужную программу, скачать торрент, скачиваешь его, запускаешь и получаешь утилиту или прогу.

Gena:

03 ноября 2011 в 13:45

Все привет!! Хочу подсказать одно решение, которое безотказно работает. Лично я загрузился в тестовом режиме под Ubuntu 11.04 (типо лайв-сд) и з-под нее удалил всем ненависные папки autorun.inf Желаю удачи

imsergiy:

01 января 2012 в 20:11

Здравствуйте, Максим, помогите пожалуйста!

В моей флешке появилась папка RECYCLER, зато в нужной папке исчезли файлы. Они оказались в этой самой RECYCLER.

По Вашей рекомендации я установил файловый менеджер FreeCommander. Далее Вы пишете: «удалить незнакомые файлы и папки. Как правило, подлежат удалению: ...

папка RECYCLER или RECYCLED.»

Далее Вы предупреждаете; «Будьте осторожны, не удалите то, что вам нужно». И вот я боюсь удалять эту папку, потому что в ней оказались очень нужные мне файлы. Помогите пожалуйста. Пробовал пропустить через антивирус Norton Internet Security, но он ничего не обнаруживает.

Lampslave:

01 января 2012 в 21:11

Все мои рекомендации относятся к удалению вируса Kido, причём строго в определённой ситуации — когда он не смог запуститься. Вы же просто удалили файлы в корзину, а теперь пытаетесь саму корзину стереть. Зачем?
- imsergiy:
  
  01 января 2012 в 21:32
  
  Я пока, Максим, ничего не удалял. Та папка в которой были нужные файлы оказалась пуста. А когда я открыл RECYCLER, то они оказались там. Сами файлы я не открывал и не трогал.
  - Lampslave:
    
    01 января 2012 в 21:49
    
    Оказались в RECYCLER они наверняка потому, что были из прежнего места удалены. В этот самый RECYCLER, т.е. в корзину. Восстанавливайте их оттуда и проверяйте флешку антивирусами.
    - imsergiy:
      
      01 января 2012 в 22:12
      
      Спасибо большое, Максим!! Сделал так как Вы мне и сказали, перенёс файлы в прежнюю папку. Там они стали видны. Значит выходит RECYCLER — это карзина, а я думал это вирус! Честно говоря для меня это загадка, как так получилось, что я их туда переместил!? Но как бы там нибыло я благодарен Вам за помощь! Поздравляю Вас с Новым Годом, и желаю Вам успехов и всего самого доброго в Вашем деле! Ещё раз спасибо большое!!
      - Lampslave:
        
        01 января 2012 в 22:21
        
        RECYCLER — это корзина. Но вирус Kido создаёт такую папку на флешках, где её обычно не бывает. Поэтому её и рекомендуется удалять при подозрении на вирус. Естественно, сама по себе папка никакой опасности не несёт.
        Спасибо, и Вас тоже с праздником

Надежда:

09 февраля 2012 в 11:44

Здравствуйте, мой компьютер не отображает скрытые файлы (в настройках папки ставила). Антивирус в RECYCLER проблемы не видит, не смотря на большое количество папок с таким названием и странным содержимым. Все папки с названиями «Новая папка» скопированные с флешки не удаляются с компьютера, повисает галочка «Только для чтения» и никак не снимается. Подскажите что делать, пожалуйста. Заранее спасибо.

Lampslave:

09 февраля 2012 в 19:00

Я думаю, Вам лучше обратиться к специалисту. Если система заражена, то заражена основательно, просто так с помощью антивируса или каких-то рекомендаций Вы скорее всего не сможете её починить.
Из специалистов попробуйте поискать того, кто возьмётся починить всё без переустановки системы. Переустанавливать все горазды, можете нарваться на «студента».

Комментирование отключено.