Usuwanie pliku autorun.inf na zainfekowanym komputerze

Pisząc niedawno o blokowaniu funkcji auto-odtwarzania i pliku autorun.inf wywołałem przysłowiowego „wilka z lasu”. Oto moja poranna próba wejścia na dysk sieciowy zakończyła się dziwnym zjawiskiem:  explorer zamiast wyświetlić mi pliki i katalogi zapytał o wybór programu. Dlaczego zachował się tak, jakby dysk był plikiem? Otóż znalazł się tam plik autorun.inf prowadzący do pliku, który już nie istniał. Plik ten był wynikiem działania jakiegoś wirusa.

Pliki autorun.inf są bardzo często wykorzystywane przez złośliwe oprogramowanie. W każdym przypadku podejrzewanej infekcji komputera warto znaleźć i usunąć taki plik, aby zapobiec dalszej infekcji.

Jak wykryć plik autorun.inf, gdy nie możemy wejść na dysk?

Polecam zrobić to w CMD za pomocą starego, dobrego polecenia:

dir

Jeśli „dir” nic nie wskazał na liście pliku autorun.inf, być może plik ten jest ukryty (gdybym sam pisał wirusy, starałbym się je ukrywać).

Ukryte pliki wyświetlimy w ten sposób:

dir /A:h

Zanim jednak usuniemy autorun.inf warto zajrzeć w jego treść, aby sprawdzić, co on miał uruchomić. Najpewniej bedzie to właściwy wirus – autorun.inf pełni jedynie funkcje zapalnika. Aby podejrzeć zawartość pliku w CMD, wykonamy proste polecenie “type”.

type „G:\autorun.inf”

Dysk G to oczywiście mój przykład. U Was zapewne będzie to inna litera. Plik może mieć różną zawartość, ale uruchamiane programy występują po słowie „open=”.

[autorun]
open=setup.exe

W naszym scenariuszu był to plik setup.exe. Teraz należy sprawdzić, czy on ciągle znajduje się na dysku – zrobimy to w sposób identyczny, jak zrobiliśmy to z plikiem autorun.inf. U mnie plik setup.exe na dysku nie istniał – mogłem więc przejść do skasowania samego pliku autorun.inf.

Jeżeli Wasz plik nie był ukryty, wystarczy:

del autorun.inf

Ukrytego pliku nie skasujemy tak łatwo… Ale wszystko się da:).

Atrybuty „read-only (do odczytu)”, „system file (plik systemowy)”, „archive (plik archiwalny)”, wreszcie „hidden (ukryty)” usuniemy poleceniem:

attrib –r –s –a -h autorun.inf

Jeśli polecenie wykonało się bez błędu, możemy spróbować usunąć plik autorun.inf:

del autorun.inf

W tym momencie plik powinien zniknąć, a explorer znowu powinien zacząć wyświetlać poprawnie zawartość dysku sieciowego. Jeśli któryś z kroków nie zadział (na przykład przy próbie zmiany atrybutów pliku mamy komunikaty w stylu „Access Denied”, warto zrobić to w trybie „safe mode” (podczas startu systemu wciskamy F8 ). Na stacji roboczej nie powinno to być najmniejszym problemem. Restart serwera plików może się nie spodobać waszym użytkownikom, no, ale pewnie w tym momencie i tak serwer jest niedostępny, więc w ramach walki z wirusem jesteśmy nie raz zmuszeni do podejmowania twardych decyzji :).

Jeśli macie podobne doświadczenia z wirusami, zachęcam do dzielenia się nimi w komentarzach.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

2 komentarze

  1. Gosciu pisze:

    BUUU Autorun Windows a gdzie Linux, Mac, Android,…?

  2. Gosciu pisze:

    A Autorun Linux?

Dodaj komentarz