Home / Questions / 1448
Accepted
Goerman
Asked: 2020-12-22 05:02:38 +0800 CST 2020-12-22 05:02:38 +0800 CST

Как удалить файл «AUTORUN.INF» с USB?

  • 772

Оборудование

  • Я использую Windows 7 Профессиональная.
  • У меня есть роль администратора.
  • USB-устройство имеет файловую систему FAT32.

Ситуация : В корневой папке флешки есть файл "AUTORUN.INF", который я хочу удалить, при попытке сделать это через проводник Windows появляется сообщение: "Для внесения изменений в этот файл". Я пробовал следующие альтернативы без успеха.

Проверенные альтернативы:

  1. Удалите все атрибуты файла (файл только для чтения, архивный файл, системный файл, скрытый файл) с помощью командной консоли Windows.
Атрибут –r –a –s –h I:/AUTHORUN.INF

Получение следующего отрицательного результата:

Acceso denegado: I:/AUTORUN.INF
  1. Проверьте, какой процесс использует файл с помощью программы Process Explorer, а затем завершите процесс с помощью программы «Handle V4.0», как это предлагается в этом решении .

Ярлык Ctrl + F, чтобы получить доступ к функции «Дескриптор или подстрока DLL», затем выполните поиск « I:/AUTORUN.INF», это дает мне ответ «0 марширующих элементов»

  1. Попробуйте программу Unlocker .

Я проигнорировал предупреждение «сайт, подозреваемый в использовании нежелательного программного обеспечения», я загрузил и установил его, когда я щелкаю правой кнопкой мыши по файлу, а затем выбираю Unlocker, он показывает мне, что файл не заблокирован каким-либо процессом, но не позволяет ему удалить, просит сделать это после очередной перезагрузки, но и не удаляет в итоге.

Непроверенные альтернативы

  1. Используйте мини-Linux, мини-Windows или BootCD

Отложенная альтернатива, у меня нет этих инструментов.

  1. Отформатируйте USB.

Это подразумевает достаточно отсроченное перемещение данных.

  1. Удалите его с помощью безопасного режима Windows.

Есть ли решение, не требующее перезагрузки компьютера?

archivo

6 Answers

  1. Unlocker надежен, но я покажу вам, как это сделать в Windows.

    Для всех вариантов, которые я вам покажу, откройте консоль в режиме администратора, щелкните правой кнопкой мыши значок и выберите «Запуск от имени администратора».

    введите описание изображения здесь

    И прежде чем что либо проверять целостность файловой системы

    sfc /SCANFILE=I:\autorun.inf

    Если это не работает для вас, сделайте полную проверку системы.

    sfc /SCANNOW

    Опция 1

    Выполните эти команды, может потребоваться «убить» explorer.exe, чтобы иметь возможность удалить файл (проводник мог его заблокировать), и он используется /F, чтобы иметь возможность удалить его, даже если он доступен только для чтения.

    TASKKILL /F /IM explorer.exe
del "I:\AUTORUN.INF" /F /Q /A
explorer

    Вариант 2

    Сценарий может быть более неблагоприятным, если исполняемый файл заблокировал файл, в этом случае загрузите этот инструмент от Microsoft и запустите следующее также от имени администратора.

    Справиться

    handle "I:\AUTORUN.INF"
Algo.exe             pid: 4      type: File          3BE8: I:\AUTORUN.INF
Otro.exe             pid: 5      type: File          40C0: I:\AUTORUN.INF

    Теперь, если вы убьете процессы, используя pid иtaskkill

    TASKKILL /PID 4 /PID 5 /T
del "I:\AUTORUN.INF" /F /Q /A

    Вариант 3

    У вас может не быть разрешения, похоже, это ваш случай, поэтому возьмите файл во владение:

    takeown /F "I:\AUTORUN.INF"

    А затем назначьте разрешение на удаление.

    icacls "I:\AUTORUN.INF" /grant MyUser:(D,W)

    Пока, если удалить

    del "I:\AUTORUN.INF" /F /Q
    • 8

  2. Похоже, что на накопитель была нанесена вакцина Panda USB Vaccine .

    Эта утилита, для предотвращения autorun.infзапуска вирусов с дискеты или usb, позволяет создать (или автоматически создает для всех вставленных дисков) файл autorun.inf erróneo(если я правильно помню, в него включены атрибуты system, hidden , том...), таким образом, что несмотря на то, что файл существует, его невозможно прочитать, удалить или изменить.

    Если вы не можете получить доступ к файлу даже после перезагрузки, я склоняюсь к этому варианту. Вы также можете увидеть, attrib autorun.infдает ли это какую-либо подсказку об этом.

    Сам инструмент (это бесплатная программа) позволяет провести девакцинацию юнита .

    • 3
  3. Best Answer

    ПРИМЕЧАНИЕ. Я разместил этот ответ поверх другого, поскольку он явно решает проблему совсем по-другому и охватывает очень конкретный случай.

    Вариант 4: USB-вакцина Panda

    Оказывается, Panda USB Vaccine использует атрибуты файла, НО недокументированные атрибуты, устанавливая значение 1, которое, согласно документации Microsoft, всегда должно быть равно 0.

    В формате файла последний байт после имени представляет такие разрешения

    XYADVSHR

X, Y: reservados por Windows (Y en 1 indica que el archivo apunta a un dispositivo , por ejemplo los archivos reservados CON, LPT etc)
R: ATTR_READ_ONLY   0x01
H: ATTR_HIDDEN      0x02
S: ATTR_SYSTEM      0x04
V: ATTR_VOLUME_ID   0x08
D: ATTR_DIRECTORY   0x10
A: ATTR_ARCHIVE     0x20

    Если проверить настройку этого BYTE для AUTORUN.INF в редакторе диска RAW, можно найти 42шестнадцатеричное значение, эквивалентное этим байтам .

    01000010
XYADVSHR

    Если вы посмотрите внимательно, установите Yзначение 1, этот атрибут зарезервирован, и он сообщает Windows, что этот файл действительно является устройством , поэтому для Windows этот файл не следует удалять.

    Поэтому вам нужно переписать атрибуты файла на уровне файловой системы, для этого выполните следующие действия:

    1. получите редактор двоичных дисков, их несколько, но я рекомендую iBored

    2. после установки запустите его от имени администратора и откройте USB-накопитель с помощью инструмента iBored открытый диск

    3. после «открытия» нажмите CTRL + Fдля поиска AUTORUN INF <<--- ГЛАЗ БЕЗ ТОЧКИ, С ПРОБЕЛОМ . Обратите внимание на детали, такие как учет регистра, чтобы ускорить поиск, так как это может занять много времени.

      Просмотр необработанного содержимого

    4. Найдя, выберите имя файла в текстовом редакторе, посмотрите на следующий за ним шестнадцатеричный символ, который эквивалентен атрибутам файла (в данном случае 0x42). байты разрешения на поиск 1. Нажмите Ctrl + Shift + M, чтобы сделать диск доступным для записи, вы можете получить ошибки, особенно в Windows 10. Игнорируйте ошибки, нажав «Отмена».

      введите описание изображения здесь

    5. Теперь выберите 42и замените его 20тем, что, по сути, помечает файл как готовый к архивированию и оставляет другие атрибуты равными 0, нажмитеSave
    6. Закройте iBored и вуаля, теперь вы можете удалить файл.
    • 3

  4. В моем случае iBored сработал , как только файл был разблокирован, я открыл его, и внутри было всего несколько букв, никакого вредоносного кода. Я думаю, что этот файл, размещенный ранее удаленным вирусом, блокирует автозапуск USB, чтобы предотвратить запуск чего-либо еще и получение контроля над USB.

    • 1

  5. Вы пробовали PsExec ?

    Если проблема связана с правами доступа, возможно, файлом можно управлять только с системной учетной записи, и здесь на помощь приходит PsExec.

    Скопируйте исполняемый файл, например, в System32, а затем из командной строки запустите:

    PsExec-SID cmd.exe

    Это откроет другой CMD с системными привилегиями; Далее следует, что вы переходите к файлу и используете какую-то известную команду, например:

    DEL autorun.inf
    • 0

  6. У меня была такая же проблема, это был не вирус, я просто не мог удалить autorun.inf из корня USB.

    Мое решение состояло в том, чтобы отключить USB-вакцину Panda Antivirus, однако это не удаляет файл autorun.inf и не создает его заново с новыми воспоминаниями. Те, у кого он уже есть, должны его отформатировать. Похоже, что файл autorun.inf поврежден (преднамеренно Panda) и его нельзя трогать.

    USB-вакцина Panda

    • 0