Як видалити трояни, які використовують autorun.inf файл
У Windows є прекрасна можливість організовувати автозагрузку і автозапуск програм використовуючи спеціально створений файл - autorun.inf. Цей файл «може» багато, і одне з цього - забезпечення автоматичного запуску певного файлу при відкритті диска, де знаходиться сам файл autorun.inf. Завдяки цій можливості трояни, спайваре і віруси можуть поширюватися з одного зараженого комп'ютера на інший. Для прикладу, з зараженого домашнього, за допомогою флешки, на ваш робочий комп'ютер. Розглянемо нижче дії необхідні для того щоб видалити такі трояни.
1. Видаляємо файли autorun.inf з усіх ваших дисків, включаючи дискети і USB диски.
Перезапустіть ваш комп'ютер в безпечному режимі.
Клацніть по кнопці Пуск, далі Виконати, введіть cmd і натисніть Enter.
У вікні командного консолі введіть:
del / a: h / f c: \ autorun. *. для диска D, введіть del / a: h / f d: \ autorun. *,
і так далі, міняйте в рядку тільки ім'я диска, воно виділено жирним шрифтом.
Виконайте подібну операцію для всіх ваших дисків, включаючи USB диски і тд.
Створюємо "Текстовий документ.txt" (правою кнопкою миші -> Створити або Новий -> Текстовий документ.txt).
Копіюємо наступний текст:
attrib -s -h -r autorun. *
Зберігаємо і закриваємо
Тиснемо правою кнопкою миші або вибираємо змінити або в Total Commander нажамаете F4.
Міняємо назву і розширення: наприклад таке: "USB.bat"
Копіюємо фаил USB.bat в корінь флешки і просто запускаємо (з'явиться не видаляється прихована папка).
В даному випадку, файл USB.bat спочатку видаляє існуючий autorun.inf, а потім створює не видаляється папку autorun.inf, все що вам треба - це створити USB.bat і запустити його, тому другий метод набагато зручніше.
Примітка: У файлової системи FAT цей метод працює на всі 100%. А ось в файлової системі NTFS можуть бути проблеми, проблеми полягають в тому, що папку autorun.inf можна видалити.
2. Видаляємо ключі реєстру забезпечують автозапуск трояна при завантаженні комп'ютера
Скачайте і встановіть програму HijackThis.
Запустіть, клікніть по кнопці Do a system scan only.
Виділіть галочкою наступні рядки:
O4 - HKLM \ .. \ Run: [SystemDrive] c: \ windows \ system32 \ SVCH0ST.EXE
O4 - HKCU \ .. \ Run: [avp] C: \ WINDOWS \ system32 \ avp.exe
O4 - HKCU \ .. \ Run: [amva] C: \ WINDOWS \ system32 \ amvo.exe
O4 - HKCU \ .. \ Run: [kxva] C: \ WINDOWS \ system32 \ kxvo.exe
O4 - HKCU \ .. \ Run: [kava] C: \ WINDOWS \ system32 \ kavo.exe
O4 - HKCU \ .. \ Run: [tava] C: \ WINDOWS \ system32 \ tavo.exe
O4 - HKCU \ .. \ Run: [TaskMonitor] C: \ WINDOWS \ system32 \ TaskMonitor.exe
O4 - HKCU \ .. \ Run: [Realshade] C: \ WINDOWS \ system32 \ realshade.exe
O4 - HKCU \ .. \ Run: [cftmonn] C: \ WINDOWS \ system32 \ cftmonn.exe
O4 - HKCU \ .. \ Run: [kamsoft] C: \ WINDOWS \ system32 \ kamsoft.exe
O4 - HKCU \ .. \ Run: [vamsoft] C: \ WINDOWS \ system32 \ vamsoft.exe
O4 - HKCU \ .. \ Run: [kmmsoft] C: \ WINDOWS \ system32 \ revo.exe
O4 - HKCU \ .. \ Run: [jvsoft] C: \ WINDOWS \ system32 \ j3ewro.exe
O4 - HKCU \ .. \ Run: [ckvo] c: \ windows \ system32 \ ckvo.exe
Закрийте всі відкриті вікна, крім HijackThis, після чого натисніть кнопку Fix Checked. В результаті програма видалить з реєстру все що ви виділили.
Невелике зауваження, в кожному конкретному випадку як набір ключів, так і назва файлів - троянів можуть відрізнятися, тому якщо ви побачили в балці HijackThis, а саме в секції O4, підозрілі рядки, обов'язково їх перевірте, використовуючи Google або Yahoo.
3. Видаляємо трояни з диска.
Скачайте архів програми Avenger.
Розпакуйте програму на ваш робочий стіл.
Запустіть Avenger, після чого у вікні введення введіть або просто скопіюйте наступний скрипт:
C: \ WINDOWS \ system32 \ avp.exe
C: \ WINDOWS \ system32 \ amvo.exe
C: \ WINDOWS \ system32 \ kxvo.exe
C: \ WINDOWS \ system32 \ kavo.exe
C: \ WINDOWS \ system32 \ tavo.exe
c: \ windows \ system32 \ Bitkv0.dll
c: \ windows \ system32 \ Bitkv1.dll
c: \ windows \ system32 \ kavo0.dll
c: \ windows \ system32 \ kavo1.dll
c: \ windows \ system32 \ tavo0.dll
c: \ windows \ system32 \ tavo1.dll
C: \ WINDOWS \ system32 \ SCVVHSOT.exe
C: \ WINDOWS \ system32 \ TaskMonitor.exe
C: \ WINDOWS \ system32 \ RavMon.exe
C: \ WINDOWS \ system32 \ realshade.exe
C: \ WINDOWS \ system32 \ cftmonn.exe
C: \ WINDOWS \ system32 \ wincab.sys
c: \ windows \ system32 \ ckvo.exe
c: \ windows \ system32 \ ckvo0.dll
c: \ windows \ system32 \ gasretyw0.dll
c: \ windows \ system32 \ gasretyw1.dll
c: \ windows \ system32 \ kamsoft.exe
c: \ windows \ system32 \ vbsdfe1.dll
c: \ windows \ system32 \ vbsdfe0.dll
c: \ windows \ system32 \ vamsoft.exe
C: \ WINDOWS \ system32 \ revo.exe
c: \ windows \ system32 \ j3ewro.exe
c: \ windows \ system32 \ jwedsfdo0.dll
c: \ resycled \ boot.com
C: \ kjibu.com
C: \ 6fnlpetp.exe
C: \ rcukd.cmd
C: \ rqq2v.bat
C: \ t.com
C: \ xp19.com
C: \ x0.cmd
C: \ yg.cmd
C: \ ntde1ect.com
C: \ tio8 × 6.cmd
C: \ d6fagcs8.cmd
C: \ gbiehbsb.dll
C: \ tio8 × 6.cmd
C: \ fooool.exe
C: \ 8ng8w.com
C: \ x.com
C: \ xn1i9x.com
c: \ invwft2h.com
c: \ AutoRun \ AutoStart.exe
c: \ AutoRun \ autorun.pif
c: \ ktnquo.exe
c: \ NewVirusRemoval.vbs
c: \ kinza.exe
c: \ rs.cmd
c: \ yssjnngm.cmd
c: \ h3.bat
c: \ 6fnlpetp.exe
c: \ boot.exe
C: \ 6j2j.com
c: \ 0jbnlnu8.exe
c: \ 1q8p0y.com
c: \ 2g.com
c: \ 39ysi89.com
c: \ 3jkka91.com
c: \ 92j11sm.com
c: \ a.exe
c: \ cjrp8.com
c: \ dp.exe
c: \ jg6w3yx.com
c: \ ntnq.exe
c: \ nw0t1l0d.exe
c: \ q0rppr.exe
c: \ tj8odymw.exe
c: \ uh31.exe
c: \ vnkucvv.com
c: \ xpq63xl.exe
c: \ xwpehlv.com
c: \ fun.xls.exe
c: \ iqe68o.bat
c: \ AutoRun \ AutoStart.exe
c: \ ampfrb.cmd
c: \ hbs.exe
c: \ yfog8p.exe
c: \ as.bat
c: \ phwe.com
c: \ o0s.cmd
c: \ xa2c.exe
c: \ killVBS.vbs
c: \ uxdeiect.com
c: \ clshsy.cmd
c: \ awda2.exe
Після чого натисніть кнопку Execute.
З'явиться запит на підтвердження ваших дій, клікніть Yes / Так.
Комп'ютер буде перезавантажений.
4. Завершальний етап.
Після перерахованих вище кроків бажано так само просканувати ваш комп'ютер використовуючи будь-якої антивірус.