Как удалить трояны, которые используют autorun.inf файл

В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого – обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.

 

1. Удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.

 

Способ первый:

Перезапустите ваш компьютер в безопасном режиме.

Кликните по кнопке Пуск, далее Выполнить, введите cmd и нажмите Enter.

В открывшемся окне командной консоли введите:

del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*,

и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.

Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.

 

Cпособ второй:

Создаём "Текстовый документ.txt" (правой кнопкой мыши-->Создать или Новый-->Текстовый документ.txt).

Копируем следующий текст:

attrib -s -h -r autorun.*

del autorun.*

mkdir "\\?\%~d0\autorun.inf\name..\"

 attrib +s +h %~d0\autorun.inf

Сохраняем и закрываем

Жмём правой кнопкой мыши или выбираем изменить или в Total Commander нажамаете F4.

Меняем название и расширение: например такое: "USB.bat"

Копируем фаил USB.bat в корень флешки и просто запускаем (появится неудаляемая скрытая папка).

В данном случае, файл USB.bat сначала удаляет существующий autorun.inf, а затем создает неудаляющуюся папку autorun.inf, все что вам надо - это создать USB.bat и запустить его, поэтому второй метод намного удобнее.

Примечание: В файловой системе FAT этот метод работает на все 100%. А вот в файловой системе NTFS могут быть проблемы, проблемы заключаются в том, что папку autorun.inf можно удалить.

 

2. Удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера

Скачайте и установите программу HijackThis.

Запустите, кликните по кнопке Do a system scan only.

Выделите галочкой следующие строки:

O4 – HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE
O4 – HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 – HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 – HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 – HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 – HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 – HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
O4 – HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe
O4 – HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe
O4 – HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 – HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 – HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe
O4 – HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe
O4 – HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe


Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.

Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.

 

3. Удаляем трояны с диска.

Скачайте архив программы Avenger.
Распакуйте программу на ваш рабочий стол.
Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:

Files to delete:

C:\WINDOWS\system32\avp.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kxvo.exe
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
c:\windows\system32\Bitkv0.dll
c:\windows\system32\Bitkv1.dll
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
c:\windows\system32\tavo0.dll
c:\windows\system32\tavo1.dll
C:\WINDOWS\system32\SCVVHSOT.exe
C:\WINDOWS\system32\TaskMonitor.exe
C:\WINDOWS\system32\RavMon.exe
C:\WINDOWS\system32\realshade.exe
C:\WINDOWS\system32\cftmonn.exe
C:\WINDOWS\system32\wincab.sys
c:\windows\system32\ckvo.exe
c:\windows\system32\ckvo0.dll
c:\windows\system32\gasretyw0.dll
c:\windows\system32\gasretyw1.dll
c:\windows\system32\kamsoft.exe
c:\windows\system32\vbsdfe1.dll
c:\windows\system32\vbsdfe0.dll
c:\windows\system32\vamsoft.exe
C:\WINDOWS\system32\revo.exe
c:\windows\system32\j3ewro.exe
c:\windows\system32\jwedsfdo0.dll
c:\resycled\boot.com
C:\kjibu.com
C:\6fnlpetp.exe
C:\rcukd.cmd
C:\rqq2v.bat
C:\t.com
C:\xp19.com
C:\x0.cmd
C:\yg.cmd
C:\ntde1ect.com
C:\tio8×6.cmd
C:\d6fagcs8.cmd
C:\gbiehbsb.dll
C:\tio8×6.cmd
C:\fooool.exe
C:\8ng8w.com
C:\x.com
C:\xn1i9x.com
c:\invwft2h.com
c:\AutoRun\AutoStart.exe
c:\AutoRun\autorun.pif
c:\ktnquo.exe
c:\NewVirusRemoval.vbs
c:\kinza.exe
c:\rs.cmd
c:\yssjnngm.cmd
c:\h3.bat
c:\6fnlpetp.exe
c:\boot.exe
C:\6j2j.com
c:\0jbnlnu8.exe
c:\1q8p0y.com
c:\2g.com
c:\39ysi89.com
c:\3jkka91.com
c:\92j11sm.com
c:\a.exe
c:\cjrp8.com
c:\dp.exe
c:\jg6w3yx.com
c:\ntnq.exe
c:\nw0t1l0d.exe
c:\q0rppr.exe
c:\tj8odymw.exe
c:\uh31.exe
c:\vnkucvv.com
c:\xpq63xl.exe
c:\xwpehlv.com
c:\fun.xls.exe
c:\iqe68o.bat
c:\AutoRun\AutoStart.exe
c:\ampfrb.cmd
c:\hbs.exe
c:\yfog8p.exe
c:\as.bat
c:\phwe.com
c:\o0s.cmd
c:\xa2c.exe
c:\killVBS.vbs
c:\uxdeiect.com
c:\clshsy.cmd
c:\awda2.exe

После чего нажмите кнопку Execute
Появится запрос на подтверждение ваших действий, кликните Yes/Да.
Компьютер будет перезагружен.

 

4. Завершающий этап.

После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус.