Загрузочные вирусы Autoran

Есть такая категория вирусов, который распространяются не через сеть Интернет, а через съемные носители информации: дискеты и флешки. Особенно много хлопот доставляет FANTOM (В КЛАССИФИКАЦИИ АНТИВИРУСОВ Win32.Besso)- самомодифицирующийся вирус, вследствие чего, практически не обнаруживаемый современными антивирусами.

Первые признаки заражения этим вирусом очень специфичны, вы не сможете настроить проводник Windows на отображение скрытых системных файлов. Вирус блокирует эту опцию в реестре для своей маскировки. Так как файлы вируса имеют атрибуты скрытого, системного файла, то в системе проводник его попросту не видит. Total Commander – при этом его видит просто прекрасно.

Работает FANTOM так. Когда в компьютер вставляется зараженная флешка с FANTOM, система автозапуска читает файл Autoran.inf, и запускает прописанный в нем вирус. Затем этот вирус прописывает себя в автозагрузку системы, устанавливает dll библиотеку которая клеится ко всем процессам, а также прописывает в корне всех дисков файл Autoran.inf и файл с расширением .сом .exe. название варируется, но на одном компьютере ,на всех дисках будет одинаково.

Признаки заражения:
Невозможно активировать в проводнике Виндовс опцию «отображать скрытые системные файлы»
В корне всех жестких дисков компьютера будет присутствовать файл Autoran.inf и файл с расширением .сом .exe Название и расширение файла меняется от компьютера к компьютеру.
Вставьте в зараженный компьютер заведомо чистую флешку. Затем откройте ее в Total Commander. Вы увидете что на флешке появились файлы Autoran.inf и файл с расширением .сом .exe. При попытке удалить эти файлы с флешки, или жестких дисков компьютера они появляется через несколько секунд снова.

Лечение:
Увы если заразились, антивирусы не помогут. Все придется делать ручками. Ваш главный инструмент - Total Commander, или Far Manager, так как в проводнике Винды вы ничего не увидите.

Запоминаем дату создания файлов Autoran.inf, которые уже присутствуют в корнях дисков. Напоминаю, смотрим это в Total Commander. Причем устанавливаем в нем отображение файлов по дате создания.

Проверяем следующие ключи реестра отвечающие за автозапуск:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run
И смотрим все файлы, которые грузятся из системной директории system32, остальные нас не интересуют.

Выглядят они так:
C:\WINDOWS\system32\имя_файла.exe или .сом
Или просто «имя_файла.exe или .сом» для запуска из system32 полный путь не обязателен.
Далее находим в system32 эти файлы и сравниваем дату создания файла Autoran.inf в корне жесткого диска и файлов из реестра. Они должны быть созданы в один день (если вы ранее не пытались удалять Autoran.inf сами). Рядом же должна быть и .DLL библиотека созданная в тот же день и час, что и наш подозреваемый. Если все сходится, это и есть ФАНТОМ, но удалить его пока не просто.

Для этого первым делом, удаляем из реестра его ключ, и перезагружаем компьютер. При перезагрузке, это ВАЖНО жмем F8 и выбираем БЕЗОПАСНЫЙ РЕЖИМ!!!

Загружаемся в безопасном режиме, запускаем Total Commander и в system32 убиваем ранее найденные файлы. Сам фантом и его библиотеку .DLL

Затем убиваем в корнях всех дисков найденные файлы Autoran.inf и привязанные к нему программные модули (инсталляторы фантома). Они на всех дисках одинаковы. Перезагружаемся, система чиста. ФАНТОМ сильно пакостит в системе, так что после его удаления, многие глюки могут остаться.

Защита:
Фантом распространяется благодаря огромной дырке в безопасности системы, которую из благих побуждений сделала для нас Microsoft. Эта дыра называется –Автозапуск. Когда вы вставляете в CD-Rom диск, или в USB разъем флешку, система в первую очередь ищет на носителе файл Autoran.inf и, если находит, запускает прописанную в нем программу, ничего не спрашивая у пользователя ПК. И по умолчанию, в системе эта опция любезно включена! Этим и пользуются многочисленные загрузочные вирусы.

Первым делом надо вырубить автозапуск:
Пуск-Выполнить-gpedit.msc

Выбираем:
Административные шаблоны-система

Справа в окне выбираем:
Отключить Автозапук

Выбираем отключен – применить. Перезагружаем компьютер. Автозапуск выключен. НО! При открытии диска или флешки никогда ее не открывайте кликая по значку носителя в проводнике! Сработает принудительный автозапуск. Выделите нужный носитель правой кнопкой мыши и выберете открыть. Никакая гадость не запуститься. Удачи.

Отсюда