Как удалить трояны, которые используют autorun.inf файл

Как удалить трояны, которые используют autorun.inf файл

В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого — обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.

1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.

Вручную:

    .
  • Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
  • В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
  • Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.

Автоматически:

  • Скачайте программу Combofix.
  • Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
  • В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.
2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
  • Скачайте и установите программу HijackThis.
  • Запустите, кликните по кнопке Do a system scan only.
  • Выделите галочкой следующие строки:

O4 — HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE O4 — HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe O4 — HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe O4 — HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe O4 — HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe O4 — HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe O4 — HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe O4 — HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe O4 — HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe O4 — HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe O4 — HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe O4 — HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe O4 — HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe O4 — HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe

Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.

3. удаляем трояны с диска.
  • Скачайте архив программы Avenger.
  • Распакуйте программу на ваш рабочий стол.
  • Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:

Files to delete: C:\WINDOWS\system32\avp.exe C:\WINDOWS\system32\amvo.exe C:\WINDOWS\system32\kxvo.exe C:\WINDOWS\system32\kavo.exe C:\WINDOWS\system32\tavo.exe c:\windows\system32\Bitkv0.dll c:\windows\system32\Bitkv1.dll c:\windows\system32\kavo0.dll c:\windows\system32\kavo1.dll c:\windows\system32\tavo0.dll c:\windows\system32\tavo1.dll C:\WINDOWS\system32\SCVVHSOT.exe C:\WINDOWS\system32\TaskMonitor.exe C:\WINDOWS\system32\RavMon.exe C:\WINDOWS\system32\realshade.exe C:\WINDOWS\system32\cftmonn.exe C:\WINDOWS\system32\wincab.sys c:\windows\system32\ckvo.exe c:\windows\system32\ckvo0.dll c:\windows\system32\gasretyw0.dll c:\windows\system32\gasretyw1.dll c:\windows\system32\kamsoft.exe c:\windows\system32\vbsdfe1.dll c:\windows\system32\vbsdfe0.dll c:\windows\system32\vamsoft.exe C:\WINDOWS\system32\revo.exe c:\windows\system32\j3ewro.exe c:\windows\system32\jwedsfdo0.dll c:\resycled\boot.com C:\kjibu.com C:\6fnlpetp.exe C:\rcukd.cmd C:\rqq2v.bat C:\t.com C:\xp19.com C:\x0.cmd C:\yg.cmd C:\ntde1ect.com C:\tio8×6.cmd C:\d6fagcs8.cmd C:\gbiehbsb.dll C:\tio8×6.cmd C:\fooool.exe C:\8ng8w.com C:\x.com C:\xn1i9x.com c:\invwft2h.com c:\AutoRun\AutoStart.exe c:\AutoRun\autorun.pif c:\ktnquo.exe c:\NewVirusRemoval.vbs c:\kinza.exe c:\rs.cmd c:\yssjnngm.cmd c:\h3.bat c:\6fnlpetp.exe c:\boot.exe C:\6j2j.com c:\0jbnlnu8.exe c:\1q8p0y.com c:\2g.com c:\39ysi89.com c:\3jkka91.com c:\92j11sm.com c:\a.exe c:\cjrp8.com c:\dp.exe c:\jg6w3yx.com c:\ntnq.exe c:\nw0t1l0d.exe c:\q0rppr.exe c:\tj8odymw.exe c:\uh31.exe c:\vnkucvv.com c:\xpq63xl.exe c:\xwpehlv.com c:\fun.xls.exe c:\iqe68o.bat c:\AutoRun\AutoStart.exe c:\ampfrb.cmd c:\hbs.exe c:\yfog8p.exe c:\as.bat c:\phwe.com c:\o0s.cmd c:\xa2c.exe c:\killVBS.vbs c:\uxdeiect.com c:\clshsy.cmd c:\awda2.exe

4. Завершающий этап.

После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.

Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью — Не включается просмотр скрытых файлов. Как исправить ? Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.

Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

📎📎📎📎📎📎📎📎📎📎