2-5. Для нормальной работы после удаления вируса нужно открыть редактор реестра Windows: «ПУСК» -> «Выполнить…» -> regedit -> «OK».

2-6. Найдите раздел:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)] и удалить в нем подраздел Shell. Можно просто удалить раздел MountPoints2, но тогда удалится информация обо всех носителях.

ТРЕТИЙ СПОСОБ.

Для реализации третьего способа найду другой вирус. Пусть это будет «strongkey.exe» (Trojan.Win32.Buzus.asqt).

Опять Касперский среагировал, поработать не дает Отключаем всю защиту, форматируем флешку, отключаем интернет, устанавливаем вирус :)

Содержимое файла «autorun.inf»:

«
[autorun]
shellexecute=strongkey.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey.exe
shell=default
»

Вставляем флешку и удаляем папку «virus» с рабочего стола.

Открываем флешку, ищем (были скрытые, но их можно сделать видимыми):

Попробуем удалить их вручную – безрезультатно (снова появились), но это и понятно, так как посмотрите на рисунок ниже. Открываем «msconfig», кто тут у нас?

Я знаю, что у меня не было никакого «services.exe», поэтому я стал его подозревать. Вы можете попробовать найти в интернете, что это за элемент, у Вас в автозагрузке. Я нашел, были подобные проблемы у людей.

Далее последовала, знакомая нам уже модификация меню, а вот иконка сохранилась:

Фаервол показывает очень активную сетевую активность :)

Ладно, я добился чего хотел, вирус есть и работает, Вы это тоже увидели. Теперь я хочу убрать этот вирус с глаз долой :) Так всегда, летом ждешь зиму, зимой мечтаешь о лете.

Только предположим, что с помощью Проводника Windows, я не смог увидеть злостный вирус (просто потому, что такие встречаются очень часто и мне нужно показать Вам, как их можно обнаружить), как быть в этом случае?

3-1. Сейчас нам понадобится программа Total Commander, я работаю с ней, Вы можете воспользоваться любым удобным для Вас. Сначала удалим файлы вируса, для этого открываем программу и на панели инструментов находим кнопку, которая позволяет включать/отключать просмотр скрытых элементов, нажимаем ее. Т.е., если проводник не позволяет нам «прозреть», то «TC» нам в этом точно поможет.

3-2. Теперь, когда мы увидели на флешке (м.б. на дисках «С», «D») скрытый файл «autorun.inf» откроем его, для этого нажмем кнопку <F3> или <F4> (если нашли с помощью поиска, тогда открывайте через «Блокнот»). Мы видим следующее:

«
[autorun]
shellexecute=strongkey.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey.exe
shell=default
»

То есть данный файл сообщает нам, что истинным корнем зла является файл «strongkey.exe», вот кто наш вирус. Теперь без колебаний можно уничтожить и «strongkey.exe», и «autorun.inf» его запускающий.

Чаще всего, при удалении этих двух файлов, они через какое-то время снова восстановятся. Это говорит о том, что вирус работает и следит за состоянием диска. В таком случае попробуем завершить все «подозрительные» процессы в оперативной памяти компьютера.

3-3. Итак, «убиваем» запущенный процесс. Одновременно нажимаем <Ctrl+Alt+Del> на клавиатуре, тем самым открываем «Диспетчер задач» Windows. Переходим на вкладку «Процессы». Начинаем отключение для начала с процессов, которые запускаются от Вашего имени. Об этом сообщит колонка под названием «Имя пользователя». Если значение в ней не равно «SYSTEM», значит данный процесс работает от Вашего имени.

Чтобы отключить «подозрительный» процесс, нажимаем кнопку в нижней части окна «Завершить процесс». Если вирусные файлы перестали восстанавливаться, значит, искомый процесс был отключен, вирус выгружен из памяти и не сможет следить за состоянием дисков и флешек. Можно «грохать» файлы.

На данном этапе я не обнаружил подозрительных процессов.

Что делать, если я уже знаю, что мне надо удалить и где это находится, но не могу это сделать, по причине восстановления файлов, которые я удалил, а просмотр запущенных процессов не увенчался успехом?

3-4. Следующим этапом нашей борьбы с вирусом станет работа с автозагрузкой. Если ваша операционная система расположена на диске «С», то можно открыть следующую утилиту «C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe». Для диска «D» и прочих путь соответственно изменится, ровным счетом, на первую букву.

Есть еще один вариант, через уже знакомую нам командную строку Windows. Нажимаем «ПУСК» -> «Выполнить…» (или комбинация клавиш <Win+R>, последовательно, т.е. сначала <Win> и не отпуская последней <R>. Клавиша <Win> чаще всего находится между <Ctrl> и <Alt> и выглядит, как изображение окна).

До командной строки можно добраться и так: <Ctrl+Alt+Del> (зажмите первые две клавиши и не отпуская их – последнюю), этим самым Вы запустите «Диспетчер задач Windows».

Далее, пункт меню «Файл» -> «Новая задача (Выполнить…)». Результат – командная строка Windows.

Какой бы вариант запуска командной строки Вы не избрали, в результате на экране должно появиться окно «Запуск программы».

Окно «Запуск программы» – это и есть командная строка Windows. Напишем в поле «Открыть:» команду «msconfig». Сейчас у нас в этом поле отображена команда, которую я набирал последней («regedit»). Наберем команду, которая нужна нам сейчас («msconfig») и нажмем кнопку «ОК». Появилось окно «Настройка системы», Вы видите его на рисунке ниже.

Нас будет интересовать закладка «Автозагрузка». Переходим на вкладку «Автозагрузка». Щелкаем по ней левой кнопкой мыши, и перед нами появится список программ, которые загружаются вместе с запуском Windows.

Если в поле «Элемент автозагрузки» установлена галочка – данная программа загружается в момент загрузки операционной системы (автоматически, при каждой загрузке Windows).

Автозагрузка – самое частое «местожительства» большинства вирусов, так как их запуск производится незаметно для пользователя и вместе с запуском ОС, что очень удобно.

Что же мы видим в окне «Настройка системы»: каждый элемент (программа или сервис) автозагрузки включается и отключается (нажатие левой кнопки мыши по квадрату) – если стоит галочка, как отмечалось выше, то элемент загружается, если нет, то соответственно не грузится.

Смотрим внимательно на название элемента («Элемент автозагрузки») и местоположение запускаемого файла («Команда»).

3-5. Отключаем все подозрительные элементы автозагрузки (снимаем галочки).

Отключайте все подозрительные элементы автозапуска безбоязненно, в случае если Вы отключаете какой-то важный элемент системы в автозагрузке, всегда есть возможность включить его обратно.

Не забываем, после выполненных действий нажать кнопку «Применить».

Затем нажмите кнопку «Закрыть», а на вопрос …

… ответьте «Перезагрузка».

После того, как Windows XP загрузится, появится окно с информацией о том, что был изменен способ запуска Windows. Поставьте галочку в свободном квадратике (он там один, не промахнетесь) и нажмите кнопку «ОК» (если не поставить галочку и закрыть окно, как есть, то это окно Вы будет лицезреть каждый раз после перезагрузки компьютера, до тех пор, пока не поставите назойливую галочку).

3-6. После перезагрузки находите на локальном диске уже известные Вам вирусные файлы и удаляете их.

Внимание! Не открывайте диски с помощью ярлыка «Мой компьютер», а делайте это с помощью Проводника, который запускается комбинацией клавиш <Win+E>.

Если вирус на флешке, тогда надо действовать через пункт 3-7.

3-7. После того как Вы отключили подозрительный элемент автозагрузки и перезагрузили компьютер, не торопитесь вставлять флешку для удаления с нее вируса, т.к. вирус у Вас, скорее всего, снова будет загружен в память. Т.о. предварительно нужно отключить автозагрузку для флешек. Делается это так:

3-7-1. Самый простой вариант, скачайте программы Autorun Guard v1.0 beta 1 и/или Autorun Guard 1.1 (в добавок, программа отслеживает появление нового съемного диска и проверяет его на наличие «autorun.inf»), которые отключат автозапуск за Вас, Вам нужно только убрать галочку или выбрать соответствующий пункт меню. Описание второй программы можно прочитать здесь. 

www.siliks.org/STUFF/autorunguard/autorunguard.htm

3-7-2. Через групповую политику. «ПУСК» -> «Выполнить…» -> в поле «Открыть:» набрать «gpedit.msc».

В окне «Групповая политика»: 
Конфигурация компьютера -> Административные шаблоны -> Система -> Отключить автозапуск

Правой кнопкой мыши -> Свойства -> Всех дисководах -> ВКЛЮЧЕНА -> Применить -> Перезагрузить компьютер.

3-7-3. Автозагрузка флешки также снимается и в реестре. Вручную это делается так: 
Нажимаем <Win>+<R> - пишем «regedit» ищем нижеперечисленное и ставим значение что в ( ).

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=( 0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
"NoDriveTypeAutoRun"=(FF)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=(FF)

Также перезагружаем компьютер.

Теперь автозагрузка на флешках не работает и вирусы не смогут распространиться без Вашей помощи, а помогать Вы им не станете.

3-8. После перезагрузки компьютера вставляете флешку и удаляете на ней вирус.

Внимание! Не открывайте диски с помощью ярлыка «Мой компьютер», а делайте это с помощью Проводника, который запускается комбинацией клавиш <Win+E>.

Я своего удалил, клонов не появилось.

Запускаю фаервол, запускаю Касперского и все проверяю.

Вот Касперский «нарыл» кусок от нашего вируса: «c:\windows\system32\drivers\sysdrv32.sys».

Дополнительно:

Рекомендую воспользоваться программой Autoruns (Архив WinRAR: 473 КБ (485 282 байт))
Язык: Английский.

Программа настройки системы (msconfig.exe) позволяет просмотреть и отключить некоторые файлы и службы, но есть еще большое количество элементов, которые она игнорирует: панели инструментов, объекты модулей поддержки обозревателя, расширения оболочки Windows Explorer. Кроме того, msconfig дает не слишком обширную информацию об объектах, загружаемых автоматически. Гораздо более удобным способом просмотра и управления ими является программа Autoruns от Sysinternals.

Программа Autoruns – это бесплатная служебная программа, обнаруживающая все элементы списка автозагрузки компьютера под управлением Windows. Она позволяет увидеть все автоматически загружаемые элементы, скрывающиеся в папках автозагрузки, в реестре и где бы то ни было еще.

Autoruns позволяет быстро – одним кликом – перейти в то место, откуда запускается интересующее приложение/сервис. Наконец, есть у этой программы и такая замечательная опция, как получение дополнительной (кроме той, что показывается в окне программы) информации о приложении или сервисе, для чего достаточно выделить интересующее приложение и нажать <Ctrl+G> (или выбрать в меню «Entry –> Google). Autoruns сформирует запрос и отправит его на поисковую систему Google; результаты запроса будут показаны в веб-браузере. Работает без инсталляции во всех версиях Windows, включая 64-битные.

По работе с программой «Autoruns» читайте следующую статью «Обзор утилиты Autoruns от Sysinternals.com».

Кроме того Вы можете воспользоваться еще одной бесплатной программой для борьбы с «Autorun»:

1. «USB_Tool» (версия 1.3)

USB_Tool – бесплатная, но мощная программа для борьбы с вирусами и троянами на флешках, картах памяти и жестких дисках, которые заражают ПК через autorun.inf.

Функции USB_Tool: 
Моментальная блокировка скрытого автозапуска
Возможность выбора дисков для сканирования
Три режима работы – ручной и автоматический + режим «Иммунизация», при котором USB_Tool поможет ОС предотвратить проникновение вируса/трояна в систему
Удаление ошибочных AUTORUN.INF
Автоматическое удаление из процессов и автозапуска уже запущенного вируса
Функция скрытой работы USB_Tool
Ведение логов
Автоматическое создание архивных копий удаленных файлов
Управление USB_Tool через системный трей
Функция автоматической иммунизации
Режим карантин

Язык интерфейса: Русский
Операционная система: Windows XP, Windows Vista

Версию 1.3 Вы можете скачать у нас (672 КБ) или проверить новую на сайте разработчика. www.soft01.moy.su/

Почитайте дополнительные статьи в интернете:

1. Удаление вируса autorun.inf forum.k0d.cc/showthread.php?t=374
2. Лечение вируса Autorun.inf attachment://2/attachment2.htm
3. AUTOSTOP – скрипт для защиты флешки от autorun-вирусов attachment://41/attachment41.htm
4. Защита флешки от записи новых файлов habrahabr.ru/blogs/infosecurity/55524/

Еще раз напомню, что для решения проблем рассказанных в этой статье, Вам поможет прочтение статей «Что делать без антивируса, когда он так необходим?» и «Как избавиться от вирусов с помощью одноразовых антивирусов».

Думаю, что на этом пора поставить точку, мыслей много, т.к. много различных вариантов развития событий. Одна мысль цепляется за другую, ее перебивает третья, вспоминаешь, что был такой случай, и такой и…, и чем дальше, тем сильнее понимаешь, что описать все, что возможно в борьбе с вирусами, просто не реально. Как минимум нужно будет книгу писать, а не статью.

Тем не менее все сводится к тому, что чтобы постараться победить вирус, Вам нужно уметь работать с командной строкой, автозагрузкой, знать список основных служб, которые должны быть запущены на Вашем компьютере и т.д. Научитесь пользоваться файловыми менеджерами, программой «Autoruns» и пр. Дальше все будет зависеть от Вас.

И напоследок, как бы там ни было, но более менее полноценную защиту Вашего компьютера от назойливых вирусов сможет обеспечить только антивирус. А еще лучше антивирус и фаервол.

«Чистых» Вам флешек! http://www.pcservice24.ru/view_articles.php?id=27