Autorun.inf и как с ним бороться Опции

[Гость_Gera_*]

Вирус autоrun.inf распространяется в основном на твердотельных накопителях, чаше обзываемых флешка, заражение компьютера может носить разнообразный характер, от поселения тела вируса в системную область ОС, так и прекрасной уживчивостью с Главной Файловой Системе, по малу делает всякие малые гадости, в конечном итоге произрастающую в большую неприятность, а именно, по факту нет 100% отрабатывающих его антивирусных программ, всего это можно избежать если сделать так:

Для начала отключим функцию автозапуска для сменных носителей
1) Пуск -> выполнить -> regedit
2) открыть ветку HKLMSOFTWAREMicrosoftWindowsCurrentVersionPol icies
3) Создать новый раздел
4) Переименовать созданный раздел в Explorer
5) В этом разделе создать ключ NoDriveTypeAutoRun
Допустимые значения ключа:
0x1 — отключить автозапуск на приводах неизвестных типов

0x4 — отключить автозапуск сьемных устройств наш товарищ, его и отключаем!!!!

0x8 — отключить автозапуск НЕсьемных устройств
0x10 — отключить автозапуск сетевых дисков
0x20 — отключить автозапуск CD-приводов
0x40 — отключить автозапуск RAM-дисков
0x80 — отключить автозапуск на приводах неизвестных типов
0xFF — отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:
0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)
в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто поправьте его.

И второй шаг скачиваем Флеш Гвард отсюда http://www.davisr.com/cgi-bin/content/downloads.htm

И всё в принципе можно спать спокойно, как студентам, так и преподавателям, равно как и всем пользователем флешек...

Добавлено спустя 3 минуты 9 секунд:

Да для особо занятых, вот регфайл отключения автозапуска флеши

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff

Сохраняем в блокноте с расширением .reg и последующий запуск!

[Гость_Moshkin_*]

Есть такая штука anti_autorun.exe
Описание: Freeware, Программа-антивирус для борьбы с вирусом Win32.Small.k, который заражает диски, флэшки, mp3-плееры и т.п., прописывая в них 13 файлов AUTORUN.* В обновлённой версии можно уберечь хорошие файлы AUTORUN.* от беспощадного удаления, очистить только флэшку, посмотреть статистику (сколько файлов AUTORUN.* у вас на компьютере). Файл можно запустить с флэшки и очистить заражённый компьютер. Платформа ОС: Windows2000, WinXP. Язык интерфейса: русский.

URL загрузки программы http://www.bombina.com/load/anti_autorun.exe

==============================================

На данный момент в мире имеет место быть эпидемия компьютерных вирусов типа autorun. Он встречается на каждом втором комьютере. Дело в том что "заразить" свою систему очень просто, достаточно вставить диск или флеш карту(так же мобильные ПК, телефоны, фотоаппараты и другие носители информации) с вирусом. Как это происходит? Вы вставляете флеш карту, система(Win XP, Vista) открывает меню возможных действий в зависимости от настроек и содержимого, как правило если это диск выбирается пункт "Открыть". И иммено в этот момент происходит заражение, запускается файл с вирусом, он копирует себя в системные папки и делаются записи в реестр на автоматический запуск. С этого момента Ваша система начинает безбожно глючить, компьютер периодически перезагружается, выключается, престают работать приложения, не открываются папки и диски.

Признаки заражения:
1) Основной признак по которому Вы сможете определить(и предотвратить) возможное заражение это наличие на диске или флеш карте файла autorun.exe(.inf). Этот файл является скрытым и для того что бы его увидеть необходимо включить отображение системных и скрытых файлов("Сервис->Свойства папки...->Вид" убрать галочку "Скрывать защищенные системные файлы" и выделить пункт "Показывать скрытые файлы и папки") таким образом вы сможете удалить его с флеш карты. Этот способ помгает убереч вашу систему от заражения.

2)Когда Ваша система уже заражена при клике правой клавишей мыши на любой из дисков в папке "Мой компьютер" самым первым пунктом будет слово "Open(0)" Это верный признак заражения и пока не поздно нужно начинать принимать меры.

Способы борьбы:

1)Остановка всех лишних процессов через диспетчер задач которые запущены от имени текущего пользователя системы. Должны остаться только следующие:
explorer.exe
taskmgr.exe
ctfmon.exe
Остальные, можно смело отключать. Напоминаю отключать только те которые запущены от имени пользователя!!! Процессы SYSTEM лучше не трогать

2)Пуск->Выполнить->msconfig, во вкладке Автозапуск удалаем все кроме:
ctfmon.exe

3)Перезагружаемся, иначинаем чистить диски, желательно через Тотал Командер.

Данный способ не есть панацея и скорее всего Вам все же придется переустановить систему, хотя в 3 случаях из 5 это помогало.
Если все что написанно выше для Вас темный лес, тогда рекомендую обратиться к специалистам.

Если Вам не хочеться заморачиваться купите Антивирусный Пакет, и в дальнейшем такие сюрпризы не будут портить Вам настроение. Удачи!!!

Тех. Отдел ЗАО "Софт Сервис"

Еще совет http://akak.ru/recipes/2077-kak-obezopasit...nf-pagefile-pif

[Гость_Gera_*]

Юра!
для меня это проблема, потому как у меня два преподавателя в семье, и у них постоянно домой тащится на флешах тонны подобной дряни, я ставил с бомбины, их антивирус, да он вроде как пролечивает, но не решает проблему кардинально, а вот
этот набор, действительно эффективен, проверид лично. Конечно я бы им флешки вообще в НТФС заформатировал, там эта кака не любит, пока, селится, но у них на работе есть компы под 98, еще, а они не видят флешек тогда, вот и приходилось, раз в полгода, наклонятся под это дело, а вот в этом году на зимней сессии все класс, вирусы тащут, а я их мочу на входе

[Гость_Moshkin_*]

Привет ! Это проблема всех . Под эти дела написано и спецслужбами . Сейчас это разбомбили - напишут другое ...

[Гость_Gera_*]

Вот в этом не сомневаюсь, дети и внуки старух Шапокляк не дремлют, ну вот эту каку бомбить лучше так, тем паче что в anti_autorun.exe, нужно и флешку вставлять и шифт нажатым держать 10 секунд, чуть зазевался, хватай сачок и гоняйся за ними по всему компу, а перед этим пол компа отключить надо, а в целом, кто что любит

[Гость_harly_*]

ПРОЧИТАЛ И С ПЕРЕПУГУ АНТИВИРУС ОБНОВИЛ. АВАСТ АУТОРАНЫ САМ БЛОКИРУЕТ ЕСЛИ НЕЛАДНОЕ ПОЧУЕТ. ДРУГИМИ СРЕДСТВАМИ ЛЕЧИТЬ ПОКА НЕТ НАДОБНОСТИ.

потому как у меня два преподавателя в семье, и у них постоянно домой тащится на флешах тонны подобной дряни,

Я ФОТОГРАФИИ ПЕЧАТАЮ НА ОФИСЕ С ФЛЭШЕК, ТОЖЕ ДОБРА ХВАТАЕТ.

[Frocus]

Заразила эта гадость ноутбук родственника. И что самое интересное, я только недавно переустановил ему систему. Диск Д: не открывается, выскакивает меню "Открыть с...". Надо будет к нему заглянуть и попробовать вылечить от вируса.

Добавлено спустя 1 минуту 33 секунды:

И ещё, в ноутбуке предварительно установил и обновил лицензионного Нортона Антивируса, который застукал проникновение, но похоже, что не справился.

[Гость_Sr.Man_*]

хм, скажу несколько своих слов:
Была у меня такаяже проблема, когда хотел открыть диск, с помощью правой кнопки выпадающего меню, выкидивала абракадабра....
Справиться с этой фичей доволи просто. Нужен тотал командер старой версии (только старой) подойдёт такой Total Commander 6.54
Заходим на диск, включаем открывать файлы системы, видим эту байду Autoran.inf , и Pagefile.pif - это она, та самая зараза... Когда удалили, ставим антивирусную Eset 3.0667.1 (Nod32) там при установке есть такая фича
Включить обнаружение потенциально опасного ПО
Выключить обнаружение потенциально опасного ПО
Берёте только включить, т.к это и есть потенциально нежелательное програмное обеспечение. Обновляете антивирусную, и вот, зараза не проникнет....
P.S личный опыт не только у меня на компе..

[Гость_Moshkin_*]

На нортоне уже давно никто не сидит ...
Для начала можно эту запустить http://www.bombina.com/s3_anti_autorun.htm - пусть работает ...

:arrow: http://www.viruslist.com/ru/viruses/encycl...?virusid=160221

Загружайте http://www.kaspersky.ru/trials

[Гость_Gldanski2_*]

http://www.davisr.com/cgi-bin/content/prod.../flashguard.htm

Size: 0.73 MB, Rus, Free, Davis Software

Бесплатная программка, защищающая от вирусов и троянов, которые пытаются запуститься при вставки USB носителя. Программа из класса "Установил и забыл". Русский интерфейс присутствует. Также программа имеет функцию отключения автозапуска различных сменных носителей.

поставьте сабж (пока комп чистый) - навсегда забудете об этих вирусах.

[Alexander]

Заразила эта гадость ноутбук родственника. И что самое интересное, я только недавно переустановил ему систему. Диск Д: не открывается, выскакивает меню "Открыть с...". Надо будет к нему заглянуть и попробовать вылечить от вируса.

Сегодня вышел на работу чтобы побороться с вирусами, уже вторую неделю нагружен был сервер и вся сеть. Боролся разными способами, но пришел к выводу, что это бесполезно. Антивирусы могли только заблокировать процессы, и никак не могли удалить эту дрянь. Сейчас в сети распространяется модифицированный autorun.inf, так как летом его можно было прибить любой антивируской. Единственный способ который я применил сегодня - это:

1) Запуск ФарМенеджера, перекидка из зараженного диска на незараженный.
2) предварительно удаление всех левых файлов


3) Format <drive>: /q

Загружайте http://www.kaspersky.ru/trials

Каспера нужно запускать порой по 5 раз чтобы отчиститься от гадости.
И то проблему Фрокуса он не решает!
Проверил лично! По состоянию на сегодня.

[Гость_Георгий_*]

Др.Вэб- 5,0 -решает в безопасном режиме все вопросы.
Если не удаёться инсталить ( это крайне редкое явление) - то есть Др.веб на Линуксе, -загрузочный диск., или курелт.
Пользуюсь уже не первый год- не нарадуюсь, с выходом пятой версии -вообще бомба!
Рекомендую всем! :wink:
http://www.drweb.com/?lng=ru

[Alexander]

Георгий

CureIt пользуюсь давно, модифицированную версию сего вируса прибить смог, только все равно диск пришлось форматировать.

Сейчас на работе 8 машин нужно переустанавливать, вчера переоснастил сервер, а сегодня начал с юзерами работать.

И это только первая подсеть, а есть их еще 2, в первой подсети раньше проблем небыло, но когда все подсети законнектили бесконтрольно пошли вирусы.

Оснасил сервер еще одной сетевой картой и создал мост, на него нацепил Керио, теперь порты накрыты так, что бит не пролезет. :wink:

А все из-за того, что начальство решило поспешить с установкой сети без проведения мероприятий по защите подсетей и серверов.
Долбаюсь уже 9 дней... :?


В арсенале: НОД, ДРВЕБ, КАСПЕРСКИЙ

[Гость_Moshkin_*]

У Касперского есть форум , там много чего есть почитать по борьбе с вирусами , много советов .
http://forum.kaspersky.com/index.php?showforum=18

У Касперского есть тоже интересная штука - Kaspersky Emergency CD/DVD 2008 . Это весьма интересное приложение для быстрого сканирования и очистки компьютера от вирусов. Иногда запущеный трой весьма трудно выключить из процессов, так как он маскируется под системный фаил. Этот загрузочный диск поможет, не используя установленную ОС (а следовательно автозагрузку и все загружаемые процессы) избавиться от вирусов.

[Adrian]

http://www.USBVirus.com sau NOD32:)

[rebuss]

Лучшая борьба с вирусами - восстановление системной партиции из имеджа. На пять минут делов.

Даже если в реестре не отключен авторан (что я считаю ОБЬЯЗАТЕЛНЫМ), зажатый SHIFT во время вставки диска не даёт автозапуска.

[Гость_Gera_*]

rebuss

Спору нет такая штука восстановления состояния прекрасная вещь, но только в том случае, если кака не сидит в главной разметочной таблице, МБР, если кака там, то тут уже нужны другие методы борьбы, Александр писал об этом, все просто, fdisk/mbr или утилитой низкоуровневого форматирования жесткого диска....

[Гость_Moshkin_*]

Угу , вот есть такое дело ...

...Народ помогите никогда такого не было .Попал ко мне троян какойто навороченый,отфарматировал весь хард а троян остался.Что делать ?..

http://live.cnews.ru/forum/index.php?showt...=49143&st=0

Файловые и загрузочные вирусы http://www.viruslist.com/ru/viruses/encycl...apter=156771301

Для сведения.
Документировано и везде описано : cамый первый сектор жесткого диска содержит Главную Корневую Запись и таблицу разделов, c которой работает Fdisk.
Недокументировано но хорошо известно вирусописателям : между ГКЗ и таблицей разделов находится неиспользуемая область, в которой большинство загрузочных вирусов размещают свою голову. Это пространство недоступно никакими срествами DOS/WIN9X, кроме Fdisk/mbr. При пересоздании партиций и форматировании эта область не обновляется !
Кстати, на этом основан интересный глюк - если переформатировать винт, зараженный boot-вирусом, иногда после этого он становится незагрузочным. Происходит сие от того, что тело вируса затирается, а голова остается целой. Спасает только low-level или fdisk/mbr.
Что касается Win2K, то он использует эту область для размещения GUID диска. Fdisk/mbr затирает GUID, но он восстанавливается при первой же перезагрузке.

[Гость_Георгий_*]

[quote=Moshkin]
Кстати, на этом основан интересный глюк - если переформатировать винт, зараженный boot-вирусом, иногда после этого он становится незагрузочным. Происходит сие от того, что тело вируса затирается, а голова остается целой. Спасает только low-level или fdisk/mbr.
Что касается Win2K, то он использует эту область для размещения GUID диска. Fdisk/mbr затирает GUID, но он восстанавливается при первой же перезагрузке.[/quote][/quote]
Во!
Мой случай! Как раз в тему.
Принесли знакомые несколько дней назад ноут, -вирусов там всяких немеряно было... Сколько не сканил ДрВебом всякими примочками ,..- вирусы пропали , но смотрю ноут криво работает., дай думаю винду переставлю:- переставил- форматнул и торба.... Винт не распознаёться.... (его ещё кто то на пароль поставил)...
Вот теперь отдал ребятам...-может поднимут....

[Гость_Gera_*]

Георгий
А что пароль на БИОС поставили? А может сразу надо было форматировать по полной с МБР? Просто часто когда уже в МБР сидит кака, то и диск не распознается, вернее, при попытке форматнуть в нормальном режиме, на диск пароль кака савит !

[Alexander]

Принесли знакомые несколько дней назад ноут, -вирусов там всяких немеряно было... Сколько не сканил ДрВебом всякими примочками ,..- вирусы пропали , но смотрю ноут криво работает., дай думаю винду переставлю:- переставил- форматнул и торба.... Винт не распознаёться.... (его ещё кто то на пароль поставил)...

А модель ноута какая? Подобный случай был в моей практике. Если это Асус, то там должна быть кнопка System Restore, но предварительно нужно в привод вставить диск к ноуту.

Вариант второй, выбрать винчестер и через переходник подключить к стационарному компу, и провести все мероприятия по форматированию, а потом проверке.

Вариант третий, можно вынуть батарею из ноута и включить его, потом вставить обратно, тоже иногда помогает.

[Гость_Gldanski2_*]

вариант №умный:

зайти в биос, и в настройках указать Sata ide compatibility=enable

[Гость_Moshkin_*]

Как узнать или сбросить пароль BIOS ?

Да прогуглить на эту тему .
Есть заводские пароли BIOS , целый набор
Есть еще такая штука как CmosPwd 5.0
( Утилита, позволяющая восстанавливать и расшифровывать пароли, которые используются для доступа к настройкам BIOS и хранятся в CMOS.

CmosPwd работает со следующими типами BIOS:
- ACER/IBM BIOS;
- AMI BIOS;
- AMI WinBIOS 2.5;
- Award 4.5x/4.6x/6.0;
- Compaq (1992);
- Compaq (New version);
- IBM (PS/2, Activa, Thinkpad);
- Packard Bell;
- Phoenix 1.00.09.AC0 (1994), a486 1.03, 1.04, 1.10 A03, 4.05 rev 1.02.943, 4.06 rev 1.13.1107;
- Phoenix 4 release 6 (User);
- Gateway Solo - Phoenix 4.0 release 6;
- Toshiba;
- Zenith AMI.

При помощи CmosPwd можно также создавать резервные копии, восстанавливать и стирать/уничтожать данные в CMOS.

Программа может работать как в DOS, так и в среде Windows.)

Можно конечно обнулить другими методами , но это дело такое ...

В ноутах немного подругому ... Спецы знают ...
( Алгоритмы и методы снятия паролей с базовой системы ввода-вывода ноутбуков не подлежат разглашению.)

[Гость_Георгий_*]

Да не Биос на пароле...а хард. Вот ..сейчас не пускает пароль ввести.
Мало того, клава блокируеться чего то...
Ноут Аsus F5 .

[Гость_Moshkin_*]

Это плохо . Я не понял , думал что биос запоролен . Там вроде феникс стоит .

Это уже надо работать с PC3000 .
( Программно-аппаратный комплекс "РС-3000" предназначен для ремонта и восстановления HDD с интерфейсом IDE, АТА, Serial ATA, форм факторов 3", 2.5", емкостью от 20 MB до 250 GB, производства: Maxtor, Seagate, Western Digital, HGST(IBM), Fujitsu, Quantum, Samsung, Hitachi, Toshiba и другие.
Использование РС-3000 позволяет ремонтировать 50-80% неисправных HDD . Высокая эффективность ремонта достигается за счет использования специального технологического режима работы накопителя (аналогично тому, как это делается самими производителями HDD - Techno Mode, Supper Mode, Kernel Mode, Safe Mode), в котором доступны такие операции, как: восстановление формата нижнего уровня (Low-Level Format); восстановление служебной информации, хранящейся на служебных (отрицательных) дорожках накопителя (Resident Mikrocode); восстановление или изменение параметров в паспорте диска (Identify Drv); замена дефектных секторов и дорожек на резервные или их исключение из работы накопителя (Assigne, Realocation, Skipping Defects); переконфигурация HDD путем исключения из работы неисправных областей магнитных поверхностей или отключение неисправных магнитных головок, а также снятие пароля с запароленных HDD .)

Вообще про все это сюда http://www.notebook1.ru/

Есть утилиты для сброса , но !

... сброс CMOSа, а не БИОСа. Во-вторых, аналогичный результат можно получить отключением батарейки.
В-третьих, если стоит пароль на включение, ка Вы сможете загрузиться с чегобы-то-нибыло ?
В-четвёртых, в этих буках пароль во флэшке, и его Вы не сбросите. Даже если это удастся каким нибудь чудом, то получите не работающий винт, так как при установке пароля супервизора ставится пароль и на винт, при чём если поставить пароль хххх, то для винта он не будет хххх, так как система его тоже кодирует. Единственное, что можно (или нет) будет добиться от такого винта, это снять пароль исользуя мастер-пароль, но при этом вся инфа на винте будет уничтожена.
Вот ...

[Гость_Gldanski2_*]

необязательно ПС3000
для многих винчестеров есть мастер-пароли, списки есть в инете. Через мхдд можно сбросить софтово, сам не раз делал.

[Гость_Moshkin_*]

Вот еще по теме Снимаем пароль на bios в ноутбуке http://www.notebook-help.ru/other/neispr/11/

[Гость_Moshkin_*]

Защита флешек от вирусов .

 5.jpg ( 486 байт ) Кол-во скачиваний: 0
Panda USB Vaccine http://ru.wikipedia.org/wiki/Autorun

«Vaccinate USB»:
Программа переписывает стандартный файл autorun.inf и делает так чтобы его «невозможно было ни удалить, ни переименовать , ни модифицировать, ни открыть» тем самым защищая его от вирусов. Замечу что средствами программы отменить вакцинацию флешки невозможно. Если уж появилась необходимость создать на флешке свой autorun.inf (например, чтобы сделать ее загрузочной) — то WinHex вам в помощь, или переформатирование (для этой цели, кстати, хорошо использовать HP USB Disk Storage Format Tool).

"Panda USB Vaccine это бесплатное решение, разработанное для защиты от подобных угроз. Продукт предлагает двойной уровень превентивной защиты, позволяя пользователям отключить функцию автозапуска на компьютерах, USB-устройствах и других устройствах:

Vaccine for computers: Это «вакцина» для компьютеров для предотвращения запуска любого файла AutoRun вне зависимости от того, инфицировано устройство или нет (карты памяти, CD и пр.).

Vaccine for USB devices: Это «вакцина» для съемных USB-устройств, предотвращающая от ситуаций, когда файл AutoRun становится источником инфицирования. Утилита отключает этот файл таким образом, что он не может быть прочитан, модифицирован или перемещен вредоносным кодом.

Данный продукт – это очень полезная утилита, т.к. не существует простого способа отключения функции автозапуска в Windows. Утилита предоставляет пользователям простой способ отключения этой функции, предлагая высокий уровень защиты от инфекций, способных распространяться со съемных устройств."

Программа стартует с автозагрузкой тихонько так .
 прогр.jpg ( 38.92 килобайт ) Кол-во скачиваний: 2

Есть экзешник для удаления
 прогр_1.jpg ( 5.7 килобайт ) Кол-во скачиваний: 3

http://www.pandasecurity.com/

Autorun Virus Remover
Flash_Disinfector