Autorun.INF vírusfertőzés megelőzése, eltávolítása

Elegem van az autorun.inf típusú vírusfertőzésekből…Zavarban levő

Gondolom másoknak is.
Az elmúlt napokban többször találkoztam ezen kártevő család által okozott problémával.
Két gépet is használhatatlanná zilált, összeomlasztva még a vírusirtót is.
Elkezdtem túrni a netet, hátha van rá egyértelmű megoldás.
Hozzá is fogtam fordítani angolból egy blog bejegyzést, de közben nyilvánvaló lett, hogy nincs fekete-fehér megoldása a dolognak.
Így elhatároztam, hogy inkább összeszedem egy helyre a fellelt információt a témával kapcsolatban.
Mivel nem egyértelmű a dolog, nem tudom azt mondani, hogy könnyű a megoldás.
A használható találatok/megoldások ráadásul angolul vannak. Nem bonyolult szöveg, de mégis angol.

Elsőként talán néhány magától értetődőnek tűnő dolog az általános megelőzéssel kapcsolatban, amit viszont alig tart be néhány felhasználó:

1.
Ne Rendszergazda jogosultsággal használjuk a gépünket.
Előnye: a kártevők sem tudnak rendszergazdai joggal futni, sokszor ez is elég a megelőzéshez.
Hátrány: pusztán a kényelem. Ahhoz, hogy változtatni tudjunk bizonyos beállításokon, vagy telepíteni tudjunk programokat, rendszergazdai jog kell.
Ekkor vagy átjelentkezünk a Rendszergazda fiókba (kényelmetlen) vagy “futtatás mint rendszergazda” opciót választjuk. Mindenképp kényelmetlenebb, mint Rendszergazdaként dolgozni, viszont sokkal biztonságosabb.

2.
-Mindig töltsük le és telepítsük az aktuális frissítéseket. Ehhez csak be kell állítani az automatikus frissítést, hogy mikor töltse le a hibajavításokat.
A Microsoft minden hónap első keddjén adja ki a javításokat, de néha eltérnek ettől, sürgős esetekben. Ezért érdemes úgy beállítani az automatikus frissítéseket, hogy naponta keressen, lehetőleg azt az időt beállítva, amikor a gépünk bekapcsolt állapotban van. Ezt a munkahelyen, ha nincs erre előre meghatározott rendszer, akkor dél körül érdemes, otthon pedig az az időpont, amikor nagy valószínűséggel általában használni szoktuk a gépünket.
Ha jobb oldalt lent a tálcán megjelenik a kis sárga pajzs az elérhető frissítésekkel, akkor telepítsük.
A telepítés a háttérben fut, tehát nem zavar a munkában, maximum jóváhagyást kér néha, de ez még mindig jobb, mint vírust irtani, ahogy azt később látni fogjuk.
Ha újraindítást kér, azt megtehetjük azonnal is, de az sem gond, ha a munka végeztével kikapcsoljuk a gépet, másnap pedig a bekapcsolásnál lépnek életbe az új frissítések.

3.
-Fontos, hogy mindig tartsuk be a biztonságos internetezés szabályait. Ne klikkeljünk mindenre. Ha nem vagyunk biztosak egy-egy weboldalban (honnan is tudhatnánk?), akkor tegyünk óvintézkedéseket, használjunk segítséget.

4.
-Bár kényelmes bizonyos helyzetekben, mégis ne legyünk restek kikapcsolni az autorun funkciót a gépünkön, pendrive-on.
Az első módszer arra, hogyan kapcsolhatjuk ki a Windows AUTORUN funkcióját, hogy módosítjuk a Rendszerleíró adatbázist a Registry Editor segítségével:

  • Töltsük le a DISABLE-AUTORUN.REG fájlt és mentsük el a számítógépünkre.
  • Miután letöltöttük a fájlt, nyissuk meg a könyvtárat, ahova elmentettük és klikkeljünk duplán a fájlra. Egy megerősítést fog kérni tőlünk a Rendszerleíróadatbázis-szerkesztő (Registry Editor), hogy biztosan hozzá kívánjuk-e adni a DISABLE-AUTORUN.REG fájlban található információt a rendszerleíró adatbázishoz. Válasszuk az Igen gombot a folytatáshoz. (Ha más üzenet jelenik meg, mint például: “A rendszerleíróadatbázis-szerkesztést letiltotta a Rendszergazda”, valószínű, hogy a számítógépet már megfertőzte egy vírus, ami megakadályozza a rendszerleíró adatbázishoz való hozzáférést. Ennek javításához olvasd el Az autorun.inf fertőzések megoldásával kapcsolatos hivtakozások című részt.)
    Egészséges paranoiaval megáldottaknak megnyugtatásként a fenti .reg fájl tartalma, amit egy egyszerű szövegszerkesztővel ellenőrizni is lehet:
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    “NoDriveTypeAutoRun”=dword:000000ff
    [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    “NoDriveTypeAutoRun”=dword:000000ff
  • Indítsuk újra a számítógépet a változtatások életbe léptetéséhez.

Egy másik módszer, hogy létrehozunk egy AUTORUN.INF nevű könyvtárat a rendszerünk gyökérkönyvtárában (a főkönyvtárat általában egy “” szimbólummal jelölik, idézőjelek nélkül). A könyvtárat létrehozhatjuk a Windows Intéző segítségével vagy a Parancs sorral, de ajánlott inkább a Parancs sorral való létrehozás módszere.

  • A Parancs sor futtatásához kattintsunk a Start menüre a Futtatáshoz vagy nyomjuk le egyszerre a Windows billentyű + R kombinációt.
  • A futtatás részhez írjuk be: CMD, majd üssünk enter-t. Ez meg fogja nyitnia  fekete hátterű parancssori ablakot.
  • A villogó kurzorhoz írjuk be: MD C:AUTORUN.INF, majd üssünk enter-t.
  • Ismételjük meg ezt a lépést a többi meghajtónkon, partíciónkon és USB meghajtónkon is. Csak annyit kell tenni, hogy kicseréljük az eredeti parancsban szereplő “C” betűt (idézőjelek nélkül) az épp aktuális meghajtó betűjelére. Ha nem sikerül létrehozni a könyvtárakat, akkor lehet, hogy már a számítógépünk korábban megfertőződött. Ha így van, akkor olvassuk el a következő részt ebben a leírásban a probléma megoldásához.

5.
-Mindig legyen jól működő vírusirtó szoftver, friss vírus adatbázissal a gépünkön.
Legjobbak a jó nevű cégek fizetős szoftverei, de ha erre nincs keret, akkor választhatunk az ingyenes (és ettől még nem rossz) megoldások közül is.

Ha ezeket betartjuk, jó eséllyel kerüljük el a fertőzéseket, mint amilyen az autorun.inf típusú vírusfertőzés.
De ha már beütött a baj, lássuk, mit tehetünk.

Következőként az autorun.inf fertőzések megoldásával kapcsolatos hivtakozások

Leírások angolul:
PC-Gyaan: ERADICATE MALWARE
Felixberto Baguyo Jr.’s Blog – Preventing and Removing Autorun.inf Virus
SpywareRemove – Remove Autorun.inf Virus
Kioskea.net – [Virus] System Volume Information – The solution

Diagnosztika:
Trend Micro – HijackThis

Eltávolítók:
SpyHunter
AutorunEater
Norton Removal Tool
Ingyenes eltávolítók az ESET-től (NOD32 gyártója)

Frissítve:
2009. október 9. – Tapasztalat:
Ma belefutottam a szokásos jelenségbe: vírusirtó nem frissít, a gép IP-t kap, pingelni lehet, FTP kapcsolat van, de a http blokkolva van, böngészők használhatatlanok. A partíciók gyökerei szokásos .exe kiterjesztésű fájloktól hemzsegnek.

Sok sikert a megelőzéshez és ha már megtörtént a baj, akkor az eltávolításhoz!

Megjegyzés:
Ha nem járnánk sikerrel: akkor birtokunkban van egy telepítő média, amivel bő egy óra alatt újra tudjuk telepíteni készre a gépünket az aktuális frissítésekkel, és eszközmeghajtókkal.
Azt követően pedig rendelkezésünkre áll egy hasznos program, hogy a jól működő rendszerünkről pillanatképet készítsünk és azt egy következő fertőzésnél visszatöltsük.

~ Szerző: monostori - 2009. szeptember 24..

biztonság_antivirus kategória

3 hozzászólás to “Autorun.INF vírusfertőzés megelőzése, eltávolítása”

  1. Mezei megoldás: amikor autorun-nal induló média/eszköz kerül a gépbe, nyomjuk le és tartsuk nyomva a SHIFT gombot. 😉

    Csaba said this on 2009. szeptember 29. - 14:05 | Válasz

  2. Az jó, csak a vírust nem hatja meg, ha a x+n-ik pendrive dugdosásnél, külső hdd csatlakoztatásnál elfelejtünk shift-et nyomni:)De alapból konstruktív a javaslat:)

    Attila said this on 2009. szeptember 29. - 15:58 | Válasz

  3. Csak Gratulálni tudok ezen cikk szerzőjének, és köszönetet mondani!!!A Shift billentyűzet lenyomása lehet hogy meg akadályozza egy adott program bootolását, de maga az autorun indulást nem, mivel a shift pontosan az autorun ciklust szakítja meg, tehát a virus ekkor már aktiválódott, vagyis a megoldás a cikkben szerepel….elkel távolítani ( DISABLE-AUTORUN.REG).Nekem manuálisan sikerült eltávolítani ezt az igen kellemetlen féreg típusú vírust, ami lassan minden fájl jogusúltságot át írt. Sajnos a Hiren’S Boot cd min win xp-ben sem lehet törölni…. megoldás linux.1. Lekel tölteni egy http://www.ubuntu.com/getubuntu/download2. Az iso fájlt cd-re írni és be bootoltatni (Újra indításkor vagy bios opciókban meg adni boot from cd(del,f2,enter stb(enter setup)) vagy ha bevan alítva a boot menü (f12 vagy f8) boot cd/dvd.3. Az első opció a cdén hogy kipróbálás a nyalv megadása után,enter …enter ekkor elkezd a laiv cd betöltődik .4. Mikor az asztal betöltött Bal felső sarokban a második fülben található a böngésző „explorer”(system, C:\,D:\ stb . CTRL + U láthatóvá teszi a rejtett mappákat Így a gyökér könyvtárban megtalálható a vírus autorun.inf fájl és a mappa mappa ujabban a 999 mapa. Ubuntu alat nem érvényesek a Windos atributumok így könnyedén törölhetőek a fájlok.5. Az autorun.inf-ek törlése után bekell lépni a Recycle.Bin mappába és a mappa tartalmát törőlni.6. Bekell lépni a RECYLER mappába is és a mappa tartalmát törőlni. Igen sajnos a vissza állítási ponokba is bele férkőzik.7. Ekkor újre megjeleni a 999 mappa és véglegesen lehet törőlni. 8. Ezt a műveletett minde partición el kel végezni az összes létező adathordozónkon.Újra inditáskor futatni kell több registry clinert pl Cclinert, Regcuve, Quad Registri Clinert.köszönetem a cik szerkesztőjének tisztelettel: http://www.kerekespeter.net

    Peter said this on 2010. január 12. - 21:53 | Válasz

Hozzászólás