Что за файл — Autorun.inf ?
Это скрытый файл в ОС Windows, находящийся в корне диска.
Каждый раз, когда Вы открываете диск (локальный, портативный или тот, что в приводе) или USB флешку (частый случай) система сразу проверяет его на наличие данного файла. Если он есть — она смотрит что там прописано и запускает.
Это автозагрузочный файл, который указывает что делать системе при запуске диска.
Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.
И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.
Что из себя представляет файл Autorun.inf ?
Это обычный текстовый документ (правда он скрытый), внутри которого прописан код для запуска программ. И его так же можно открыть и редактировать с помощью стандартного Блокнота.
Обычно файл Autorun.inf содержит в себе следующий код:
Где:
1 — это путь к программе
2 — имя программы
3 — иконка
4 — название (метка) диска
Это для примера. Команд для него большое множество, но для общего представления достаточно.
Как создать файл Autorun.inf для автозапуска ?
Это своего рода пособие по шалости
1) Создаем текстовый документ с названием Autorun .
2) Создаем папку vindavoz .
3) Открываем наш Autorun и вставляем туда
4) Сохраняем его с расширением .inf
5) Закидываем файл и папку в корень диска
В итоге должно получится следующее:
При загрузке диска (или флешки) иконка будет та, которая MyIcon.ico . Название диска будет Виндавоз. И сразу откроется MyProg.exe с названием в меню автозапуска Прога.
Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для "красоты", можно сделать эти папку и файлы скрытыми.
Так же можно просто сделать название диска и иконку. Удивить друзей тем, что у Вашей флешки будет своё имя — это не ново. А вот когда ещё и иконка будет другая — это уже фокус
Содержание файла AutoRun.inf тогда будет таким:
Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.
Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.
Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.
Как удалить файл AutoRun.inf ?
Обычно вирус всячески пытается защититься: делает себя скрытым, не удаляемым, не дает зайти в во флешку и т.п.
Для того, чтобы удалить эту пакость вручную, воспользуемся командной строкой (win+r -> вводим cmd ).
1) Переходим на зараженную флешку (посмотрите на букву диска в Моем компьютере)
У меня флешка под буквой g , соответственно вместо неё Вы должны написать свою букву.
2) Меняем атрибуты файла на нормальные
Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.
3) Удаляем вирус
Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2(Буква_неоткрывающегося_диска)]
и удаляем в нем подраздел Shell . Можно так то удалить всё в разделе MountPoints2, но тогда удалится информация обо всех носителях. Решать Вам.
Так же можете воспользоваться программой Anti Autorun , которая блокирует создание файла autorun.inf и делает невозможным автозапуск любых вредоносных программ. Создает специальную папку и файл, которые не занимают места на диске.
Ещё пара программ которые могут Вам помочь, как я считаю, это Autorun Guard и USB_Tool .
Как защититься от вирусов AutoRun.inf ?
Конечно же Отключить автозапуск!
Немного об этом я писал в статье Как обезопасить свой компьютер, в частности в первом совете. В нем было описано как отключить автозапуск стандартными средствами Windows, а сейчас я опишу как это сделать "жестко" с помощью Редактора реестра.
Открываем редактор реестра (win+r ->вводим regedit ) и идем по ветке HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer в которой создаем параметр DWORD (32 Бита)
NoDriveTypeAutoRun со значением dword:000000ff
А теперь сделаем защиту ещё прочнее
Дело в том, что ОСь Windows не позволяет создавать файлы и папки с одинаковыми именами, потому что для нее разница между файлом и папкой состоит только в одном бите.
Поэтому если существует папка autorun.inf, то файл с таким именем создаться уже не сможет. Поэтому первоначальный вариант — создать файл или папку с названием autorun.inf . Вирус увидит что такое название уже есть, обидится и уйдет ни с чем
Это имеет место быть правдой, но т.к. есть "интеллектуальные" вирусы, которые поймут, что существует файл или папка с таким именем и смогут запросто удалить Вашу созданную папку (файл) и записать свой файл autorun.inf, который будет запускать вирусы.
Для решения этой проблемы мы создадим супер-пупер неудоляемую папку . Которую удалить можно будет только если отформатировать флешку.
Итак, для создания такой папки, нужно создать простой текстовый документ в Блокноте со следующим содержанием:
d0autorun.infvindavoz.." attrib +s +h %
Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве. vindavoz.zip 307 b cкачиваний: 1520
Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.
Этот "Фокус" не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.
P.S.
Зачем делать папку в папке? Да потому что папка autorun.inf служит как бы "индикатором". И если после блужданий по компьютерам она к Вам попапла и атрибут у неё стоит не скрытый — значит вирусы уже хотели её удалить и прописаться в ней для чего и сменил атрибуты. Можете смело искать незнакомые скрытые файлы и удалять их. Это будут вирусы.
Для общей информативности, можете почитать статью на Википедии про него.
В этой статье подробно об автозагрузке в Windows 10 — где может быть прописан автоматический запуск программ; как удалить, отключить или наоборот добавить программу в автозагрузку; о том, где находится папка автозагрузки в «десятке», а заодно о паре бесплатных утилит, позволяющих более удобно всем этим управлять.
Программы в автозагрузке — это то ПО, которое запускается при входе в систему и может служить для самых разных целей: это антивирус, Skype и другие мессенджеры, сервисы облачного хранения данных — для многих из них вы можете видеть значки в области уведомлений справа внизу. Однако, точно так же в автозагрузку могут добавляться и вредоносные программы.
Более того, даже избыток «полезных» элементов, запускаемых автоматически, может приводить к тому, что компьютер работает медленнее, а вам, возможно, стоит удалить из автозагрузки какие-то необязательные из них. Обновление 2017: в Windows 10 Fall Creators Update программы, которые не были закрыты при завершении работы, автоматически запускаются при следующем входе в систему и это не автозагрузка. Подробнее: Как отключить перезапуск программ при входе в Windows 10.
Содержание
Автозагрузка в диспетчере задач
Первое место, где можно изучить программы в автозагрузке Windows 10 — диспетчер задач, который легко запустить через меню кнопки Пуск, открываемое по правому клику. В диспетчере задач нажмите кнопку «Подробнее» внизу (если такая там присутствует), а затем откройте вкладку «Автозагрузка».
Вы увидите список программ в автозагрузке для текущего пользователя (в этот список они берутся из реестра и из системной папки «Автозагрузка»). Кликнув по любой из программ правой кнопкой мыши, вы можете отключить или включить ее запуск, открыть расположение исполняемого файла или, при необходимости, найти информацию об этой программе в Интернете.
Также в колонке «Влияние на запуск» можно оценить, насколько указанная программа влияет на время загрузки системы. Правда здесь стоит отметить, что «Высокое» не обязательно означает, что запускаемая программа в действительности тормозит ваш компьютер.
Управление автозагрузкой в параметрах
Начиная с версии Windows 10 1803 April Update (весна 2018), параметры перезагрузки появились и в параметрах.
Открыть нужный раздел можно в Параметры (клавиши Win+I) — Приложения — Автозагрузка.
Папка автозагрузки в Windows 10
Частый вопрос, который задавался и по поводу предыдущей версии ОС — где находится папка автозагрузки в новой системе. Находится она в следующем расположении: C: Users Имя_пользователя AppData Roaming Microsoft Windows Start Menu Programs Startup
Однако, есть куда более простой способ открыть эту папку — нажмите клавиши Win+R и введите в окно «Выполнить» следующее: shell:startup после чего нажмите Ок, сразу откроется папка с ярлыками программ для автозапуска.
Чтобы добавить программу в автозагрузку, вы можете просто создать ярлык для этой программы в указанной папке. Примечание: по некоторым отзывам, это не всегда срабатывает — в этом случае помогает добавление программа в раздел автозагрузке в реестре Windows 10.
Автоматически запускаемые программы в реестре
Запустите редактор реестра, нажав клавиши Win+R и введя regedit в поле «Выполнить». После этого перейдите к разделу (папке) HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
В правой части редактора реестра вы увидите список программ, запускаемых для текущего пользователя при входе в систему. Вы можете удалить их, или добавить программу в автозагрузку, нажав по пустому месту в правой части редактора правой кнопкой мыши — создать — строковый параметр. Задайте параметру любое желаемое имя, после чего дважды кликните по нему и укажите путь к исполняемому файлу программы в качестве значения.
В точно таком же разделе, но в HKEY_LOCAL_MACHINE находятся также находятся программы в автозагрузке, но запускаемые для всех пользователей компьютера. Чтобы быстро попасть в этот раздел, можно кликнуть правой кнопкой мыши по «папке» Run в левой части редактора реестра и выбрать пункт «Перейти в раздел HKEY_LOCAL_MACHINE». Изменять список можно аналогичным способом.
Планировщик заданий Windows 10
Следующее место, откуда может запускаться различное ПО — планировщик заданий, открыть который можно, нажав по кнопке поиска в панели задач и начав вводить название утилиты.
Обратите внимание на библиотеку планировщика заданий — в ней находятся программы и команды, автоматически выполняемые при определенных событиях, в том числе и при входе в систему. Вы можете изучить список, удалить какие-либо задания или добавить свои.
Более подробно об использовании инструмента вы можете прочитать в статье про использование планировщика заданий.
Дополнительные утилиты для контроля программ в автозагрузке
Существует множество различных бесплатных программ, позволяющих просматривать или удалять программы из автозагрузки, лучшая из них, на мой взгляд — Autoruns от Microsoft Sysinternals, доступная на официальном сайте https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
Программа не требует установки на компьютер и совместима со всеми последними версиями ОС, включая Windows 10. После запуска вы получите полный список всего, что запускается системой — программы, службы, библиотеки, задания планировщика и многое другое.
При этом, для элементов доступны такие функции как (неполный список):
- Проверка на вирусы с помощью VirusTotal
- Открытие места расположения программы (Jump to image)
- Открытие места, где программа прописана для автоматического запуска (пункт Jump to Entry)
- Поиск информации о процессе в Интернете
- Удаление программы из автозагрузки.
Возможно, для начинающего пользователя программа может показаться сложной и не совсем понятной, но инструмент действительно мощный, рекомендую.
Есть варианты проще и знакомее (и на русском языке) — например, бесплатная программа для очистки компьютера CCleaner, в которой в разделе «Сервис» — «Автозагрузка» вы также можете просмотреть и отключить или удалить при желании программы из списка, запланированные задания планировщика и другие элементы запуска при старте Windows 10. Подробнее о программе и о том, где ее скачать: CCleaner 5.
Если у вас остаются вопросы, имеющие отношение к затронутой теме — задавайте ниже в комментариях, а я постараюсь ответить на них.
А вдруг и это будет интересно:
Почему бы не подписаться?
Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)
12.03.2018 в 15:43
13.03.2018 в 11:26
Спасибо! Только программа Autoruns помогла избавиться от автозапуска торрента…остальное не помогало! Еще раз спасибо!
16.05.2018 в 12:25
Дмитрий, подскажите, как можно запустить программу из автозагрузки в конкретном виртуальном рабочем столе Виндовс 10 (например, на втором виртуальном столе)?
16.05.2018 в 12:42
здравствуйте. есть сторонняя утилита vdesk позволяющая реализовать это. Как добиться такого встроенными средствами на текущий момент не знаю.
А с этой утилитой будет выглядеть примерно так (запуск блокнота на 3-м рабочем столе):
vdesk on:3 run:notepad
03.10.2018 в 11:24
Доброго дня, Дмитрий.
Запустил эту программу Autoruns. Выдало немало жёлтых строк как на вашем примере (File not found): что это означает и что с этим делать — можно удалить, нужно «лечить» или ещё как-то?
(Поражён, насколько данные в этой программе про Автозагрузку отличаются своим объёмом информации от тех, что выдаёт, например, Window 10…)
03.10.2018 в 12:30
Здравствуйте.
Можно удалить. Такая ситуация объясняется тем, что запись о файле в автозагрузке присутствует, а по факту этого файла уже нет (была удалена программа, это был вирус и был удален антивирусом).
03.10.2018 в 12:39
Дмитрий, к предыдущему письму хочется добавить (увы, не вижу его среди комментариев, но надеюсь, что оно дошло до вас) о «жёлтой полосе»: чуть ниже есть тот же самый адресат загрузки, но с небольшой разницей в том, что первый и жёлтый относится к версии 86-й, второй и существующий — к 64-й. Что это и «с чем его едят»?
03.10.2018 в 12:44
Тут бы скриншот увидеть, не совсем понял из описания ситуацию.
02.05.2019 в 12:03
Здравствуйте,Дмитрий! В программе Glary Utilities Менеджер автозапуска обнаруживает 140 программ, которые запускаются вместе с Windows. В диспетчере задач в автозагрузке оставила только 2. А папка C: Users Имя_пользователя AppData Roaming Microsoft Windows Start Menu Programs Startup вообще пустая. Какие программы и приложения можно безболезненно выключить в автозапуске через Glary Utilities или какую-нибудь другую утилиту? Или какие нельзя трогать ни в коем случае?
03.05.2019 в 12:31
Здравствуйте.
Я Glary Utilities не пользуюсь, а потому сходу ответить не могу (пользуюсь Sysinternals Autoruns). Но: если вы куда-то выложите скриншот (или скриншоты), где видно, что именно программа видит в автозагрузке и дадите ссылку, я гляну и отвечу, что можно отключить, а чего не стоит.
09.06.2019 в 05:19
Всем привет.
Проблема в следующем.
Когда то настроил браузер edge на автозапуск при старте винды. Настроил в планировщике заданий, т.к. из автозагрузки он не хотел запускаться.
Теперь возникла необходимость отменить его загрузку при старте системы.
И возникла следующая проблема: я просто не могу его найти, откуда он стартует.
В планировщике его нет. В автозагрузках (диспетчер задач, реестр, ccleaner) тоже его нет.
Помогите найти/отменить его загрузку.
09.06.2019 в 08:35
07.07.2019 в 08:36
Спасибо за Ваши старания, иногда очень выручает ресурс, я сам то не сказать что бы «рак» но иных вещей просто не знал, например как справиться с данной!
10.10.2019 в 13:59
Указанная папка автозагрузки не работает. Виндовз 10 официальная, активированная, со всем последними апдейтами.
Работает папка
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp
Примечание: после отправки комментария он не появляется на странице сразу. Всё в порядке — ваше сообщение получено. Ответы на комментарии и их публикация выполняются ежедневно днём, иногда чаще. Возвращайтесь.
Вот код авторана:
[AutoRun]
open= FD.exe
icon= Ic.ico
С иконкой Ic.ico вроде все нормально, а exe-шник не запускается, когда я вставляю накопитель.
Оба файла и сам авторан в корне флешки.
Выручайте))
