Вірус від якого важко позбутися

Autorun.inf, вірус від якого важко позбутися?

Даний вірус є нешкідливим по частині знищення інформації або нанесення будь-якого шкоди системних файлів, але в свою чергу заважає працювати на персональній техніці і легко переноситися через зовнішні накопичувачі інформації. І так в чому ж полягає суть і принцип роботи вірусу і як його деактивувати.


За умови, що ПК заражений цим вірусом, і використовується в якості обміну інформацією зовнішні накопичувачі, будь то flash, зовнішні вінчестери і інші пристрої які підключаються через usb підключення, то відбувається наступне:


1. Windows автоматично запускає механізм plug-n-play і встановлює драйвера до зовнішнього пристрою.


2. Запуск системи механізм автоматичного запуску пристрою в системі, після якого на екрані відображається запрошення з варіантами вибору, що необхідно з ним зробити. Чи то відкрити в провіднику, то чи через запропоновані програми.


Ось саме в момент, який описаний в п.2 і відбувається зараження зовнішнього пристрою вірусом autorun.inf. На зовнішній носій переносяться вірусні файли, ці файли можуть бути різні в залежності від модифікації вірусу, але виконують вони практично одні і ті ж дії, а саме:


1. Чи переноситься файл autorun.inf в корінь диска і супутнє йому виконують файли.


3. Самі себе роблять прихованими, а новіші модифікації і ще до того ж роблять себе системними.


4. Далі при використанні зовнішнього накопичувача на іншому, що не зараженому ПК, відбувається той же механізм, до якого ще додається, прописування деяких змін в гілках реєстру windows.


Ось і весь принцип зараження ПК вірусом autorun.inf. А ось як же його позбутися? Адже всі антивірусні комплекси визначають вірус, але до кінця його не виліковують і після перезавантаження ПК він знову з'являється і продовжує функціонувати.

У так виглядає вирус якщо він є н а носії:

Вірус від якого важко позбутися

Методи боротьби з вірусом.


Методів боротьби з цим вірусом багато, так як і модифікацій даного вірусу багато і всі вони функціонують однаково, але механізм активації на ПК різний. Далі постараюся писати принцип визначення даного вірусу і його деактивацію вручну, так як автоматичним шляхом його видалити практично неможливо.
Для знаходження вірусу знадобиться файловий менеджер: windows commander або total commander, так з включеними опціями відображення прихованих і системних файлів.

Вірус від якого важко позбутися

Рис 1. Файловий менеджер windows commander.


Для активації цієї опції необхідно увійти: Конфігурація -> Налаштування -> Екран і поставити галочку навпроти опції «Показувати приховані і системний файли».

Вірус від якого важко позбутися

Рис 2. Конфігурація windows commander.


Озброївшись файловим менеджером, можемо приступати.
1. Переходимо на диск «з:» і шукаємо файл autorun.inf і фали мають дозвіл «.exe», які є прихованими і мають в назві набір букв і символів.

Примітка: Системні файли, такі як: Msdos.sys, Io.sys, Bootfont.bin, boot.ini, Autoexec.bat, Ntdetect.com, ntldr не чіпаємо, так як їх зміна або видалення спричинить за собою збій у функціонуванні, а часто і взагалі відмова від запуску windows.
2. Відшукавши ці файли відзначаємо їх клавішею «insert» і залишаємо переходячи до наступної операції. Виконуємо команду msconfig (Пуск -> Виконати -> msconfig) і переходимо у вкладку «Автозавантаження».

Вірус від якого важко позбутися

Рис3. Налаштування системи msconfig.


Дивимося чи немає там підозрілих програм, які мають в назві набір символів і дозвіл «.exe» і запускаються з папки: «c: \ windows \ system32». Якщо такі є, то відключаємо всі елементи автозавантаження і перенавантажуємо ПК, натиснувши кнопку «Застосувати», а далі «Перегрузить».

3. Після того як ПК перезавантажився, виконуємо п.1, але на цей раз видаляємо файли, а так само видаляємо файли, які знайшли в msconfig і мають в назві набір букв і символів і розташовуються по «c: \ windows \ system32». Не завжди цей вірус в назві складається з набору букв і символів, найчастіше в новіших модифікаціях він використовує нормальні назви файлів наприклад: csrs.exe, він дуже схожий на системний файл csrss.exe, відрізняється тільки одним символом. Як же визначити чи є ця програма вірусом чи ні? Як виявилося дуже просто. Все в тому ж windows commander або total commander заходимо в Конфігурація -> Налаштування -> Операція і ставимо галочку навпроти опції «Лівою кнопкою миші (як завжди)», як показано на Рис 4 і натискаємо «ок».

Вірус від якого важко позбутися

Рис 4. Конфігурація windows commander.


Примітка: Файли, що знаходяться в папці «c: \ windows \ system32» з назвами: autorun.inf, autorun.i, autorun.in та іншими дозволами видаляємо теж.

Вірус від якого важко позбутися


Для виконання пошуку необхідно натиснути клавіші «ctrl + F» або виполоти Правка -> Знайти. В відобразиться вікні вписуємо назву файлу і натискаємо «Знайти». Як тільки буде знайдено 100% система сама перекине в цю гілку реєстру і підсвітити рядок залишиться тільки видалити її, натиснувши кнопку «Delete» на клавіатурі і підтвердити дію. Виконувати пошук і видалення знайдених рядків до тих пір, поки не з'явитися повідомлення «Пошук в реєстрі завершений», як показано на рис 6.

Вірус від якого важко позбутися

Рис 6. Пошук в реєстрі


Примітка: Вірусний файл так само може перебувати як опція для файлу Explorer.exe. Коли під час пошуку відобразиться рядок не з назвою файлу, а якийсь інший програми, то видаляти її не треба, необхідно виконати наступне:
1. Два рази натиснути лівою кнопкою миші на назві рядка.
2. У вікні, знайти цікавий файл.
3. Видалити його назву зі рядок і натиснути «ок».
4. Продовжити пошук.


Виконавши всі ці дії необхідно перезавантажити ПК і після перезавантаження активувати всі додатки в msconfig, як це виконувалося в п.2. і остаточно перевантажити ПК. ПК більше не заражений вірусом: autorun.inf.

Євген Прищепа, начальник відділу інформаційних технологій компанії Watson Telecom, аспірант ВНЗ ВМУРоЛ "Україна" з спеціальності: "Комп'ютерні системи та компоненти"