Если флешка после подключения ведёт себя странно — папки стали скрытыми, появились ярлыки, диск сам предлагает запустить программу или в корне виден файл autorun.inf — его нужно проверить первым. Сам по себе autorun.inf не вирус: это обычный текстовый файл настроек автозапуска. Но на USB-накопителях его часто используют вредоносные программы, чтобы запускаться при подключении или маскировать заражение.
Ниже — практичный порядок проверки: как увидеть скрытый autorun.inf, как найти его через командную строку и PowerShell, на что смотреть внутри файла и когда найденный файл действительно должен насторожить.
- Почему autorun.inf может быть скрыт
- Первый быстрый способ: посмотреть через Проводник
- Проверка через командную строку
- Полный поиск через PowerShell
- Что показывает каждый способ
- Что смотреть внутри найденного autorun.inf
- Если autorun.inf найден только в корне
- Если autorun.inf найден не в корне
- Если файла нет, но флешка ведёт себя странно
- Как выбрать способ проверки
- Частые ошибки при поиске autorun.inf
Почему autorun.inf может быть скрыт
Файл autorun.inf обычно лежит в корне флешки, то есть прямо в E:\, F:\ или другой букве накопителя. Windows может не показывать его по двум причинам:
- у файла стоит атрибут Hidden — «скрытый»;
- у файла стоит атрибут System — «системный».
Проводник по умолчанию скрывает защищённые системные файлы, поэтому даже опытный пользователь не всегда видит autorun.inf, пока не включит нужные параметры отображения.
На современных Windows автозапуск с флешек часто ограничен, но это не значит, что файл безопасен. На старых системах, в корпоративной среде с изменёнными настройками или при ручном запуске заражённых ярлыков autorun.inf всё ещё может быть частью проблемы.
Не открывайте флешку двойным кликом по диску. Зайдите в неё через адресную строку Проводника или сначала проверьте накопитель антивирусом. Двойной клик может запустить сценарий, прописанный в
autorun.inf.
Первый быстрый способ: посмотреть через Проводник
Этот способ подходит, если нужно быстро понять, есть ли autorun.inf в корне флешки.
- Подключите USB-накопитель.
- Откройте «Этот компьютер».
- Запомните букву флешки, например
E:. - В Проводнике откройте настройки папок: «Вид» → «Параметры» или «Показать» → «Параметры».
- Перейдите на вкладку «Вид».
- Включите «Показывать скрытые файлы, папки и диски».
- Снимите галочку с «Скрывать защищённые системные файлы».
- Также включите «Показывать расширения имён файлов».
- Откройте флешку и посмотрите, есть ли в корне файл
autorun.inf.
Расширения имён файлов лучше оставлять включёнными постоянно. Так легче заметить подделку вроде autorun.inf.exe или autorun.inf.lnk. Настоящий autorun.inf — это текстовый файл без дополнительного расширения.
Если после изменения настроек Windows показывает предупреждение о скрытии защищённых системных файлов, нажмите «Нет» или «Отмена». Нам нужно временно увидеть файлы, а не менять системную защиту.
Проверка через командную строку
Командная строка удобна тем, что показывает файлы даже тогда, когда Проводник их скрывает. Она не лечит флешку и не меняет файлы — только помогает обнаружить autorun.inf.
Откройте командную строку и выполните проверку корня накопителя. Если флешка имеет букву E:, команда будет такой:
dir E:\autorun.inf /a
Если файл найден, вы увидите его размер, дату и атрибуты. Если появится сообщение вроде «Файл не найден», в корне накопителя autorun.inf нет.
Чтобы посмотреть все файлы в корне флешки, включая скрытые и системные, используйте:
dir E:\ /a
А чтобы найти все копии autorun.inf по всей флешке, выполните:
dir /a /s E:\autorun.inf
Отдельно можно посмотреть атрибуты файла:
attrib E:\autorun.inf
В выводе могут быть буквы:
H— hidden, скрытый;S— system, системный;R— read-only, только для чтения;A— archive, архивный.
Если у autorun.inf стоят H и S, это как раз тот случай, из-за которого файл не виден в обычном Проводнике.
Полный поиск через PowerShell
PowerShell удобнее, если нужно не просто найти файл, а сразу увидеть путь, размер, дату изменения и атрибуты. Для одной флешки с буквой E: используйте:
Get-ChildItem E:\ -Filter "autorun.inf" -Force -Recurse -ErrorAction SilentlyContinue |
Select-Object FullName,Length,LastWriteTime,Attributes
Команда ищет autorun.inf во всех папках накопителя. Параметр -Force показывает скрытые и системные файлы, а -Recurse проверяет вложенные папки.
Если нужен только корень флешки, где autorun.inf действительно используется для автозапуска, команда короче:
Get-Item E:\autorun.inf -Force -ErrorAction SilentlyContinue |
Select-Object FullName,Length,LastWriteTime,Attributes
Если флешек несколько, можно проверить все съёмные диски одной командой:
Get-Volume | Where-Object {$_.DriveType -eq "Removable"} | ForEach-Object {
if ($_.DriveLetter) { Get-ChildItem "$($_.DriveLetter):\" -Filter "autorun.inf" -Force -Recurse -ErrorAction SilentlyContinue |
Select-Object FullName,Length,LastWriteTime,Attributes }
}
Если накопитель разбит на несколько разделов, у него может быть несколько букв. Проверяйте каждую букву отдельно.
Что показывает каждый способ
| Способ | Что покажет | Когда использовать | Ограничения |
|---|---|---|---|
| Проводник с показом скрытых и системных файлов | Быстро покажет autorun.inf в корне флешки |
Для разовой проверки без команд | Можно пропустить файлы в защищённых или недоступных папках |
dir E:\autorun.inf /a |
Наличие или отсутствие файла в корне | Когда нужно быстро проверить главную точку автозапуска | Не показывает содержимое файла |
dir /a /s E:\autorun.inf |
Все найденные копии autorun.inf на накопителе |
Если нужно найти не только корневой файл | Вывод менее удобный, чем в PowerShell |
PowerShell Get-ChildItem |
Путь, размер, дату и атрибуты найденных файлов | Для точной проверки нескольких флешек | Нужно знать букву накопителя или использовать поиск по съёмным дискам |
| Антивирусное сканирование | Покажет, связан ли файл с вредоносным объектом | Если флешка ведёт себя подозрительно | Не всегда объясняет, где именно находится autorun.inf |
Что смотреть внутри найденного autorun.inf
Если файл найден, не спешите сразу его удалять. Сначала посмотрите, что внутри. Откройте его Блокнотом через правый клик: «Открыть с помощью» → «Блокнот». Сам файл текстовый, но лучше не запускать ничего с флешки, пока не проверите накопитель антивирусом.
Чаще всего внутри встречается раздел [autorun]. Подозрительными считаются строки, которые запускают программы:
open=something.exe;shell\open\command=...;shellexecute=...;- путь к
.exe,.vbs,.bat,.cmd,.scr,.jsили.lnk.
Особенно плохой признак — запуск из скрытых или странных папок: Recycler, RECYCLER, System Volume Information, Temp, папок с точкой в начале или случайными именами.
Строки icon=... и label=... сами по себе обычно меняют значок или имя диска. Они не всегда опасны, но на неизвестной флешке всё равно повод проверить накопитель внимательнее.
Если autorun.inf найден только в корне
Корень флешки — главное место для autorun.inf. Именно оттуда Windows historically читала настройки автозапуска для диска. Если файл лежит в E:\autorun.inf, его нужно проверить обязательно.
Признаки, что файл подозрителен:
- он скрытый и системный;
- появился недавно;
- содержит команду запуска программы;
- флешка после подключения предлагает открыть странный файл;
- папки на флешке стали скрытыми, а вместо них появились ярлыки;
- файл появился на накопителе, который раньше использовался на чужих компьютерах.
Если файл содержит только label или icon, паниковать рано. Такое иногда делают производители флешек или сами пользователи. Но если накопитель неизвестный, безопаснее считать его подозрительным до проверки.
Если autorun.inf найден не в корне
Копии autorun.inf во вложенных папках сами по себе обычно не запускаются как автозапуск диска. Но они могут быть:
- следом старой вредоносной программы;
- попыткой запутать пользователя;
- файлом, который был скопирован внутрь папки вместе с другими данными;
- признаком того, что заражение было шире, чем один корневой файл.
Поэтому находка в подпапке — не такая критичная, как файл в корне, но повод прогнать флешку антивирусом и проверить, нет ли рядом исполняемых файлов или ярлыков.
Если файла нет, но флешка ведёт себя странно
Отсутствие autorun.inf не гарантирует чистоту накопителя. Вредоносные программы могли использовать другой способ заражения: ярлыки, скрытые папки, поддельные документы, заражённые исполняемые файлы.
Типичная картина: папки есть, но не открываются, а вместо них лежат ярлыки с теми же именами. В таком случае проблема может быть не в autorun.inf, а в вирусе, который скрывает настоящие папки и создаёт .lnk-файлы.
Что делать:
- Не открывать ярлыки.
- Проверить флешку антивирусом.
- Скопировать нужные документы и фото на чистый компьютер после проверки.
- Не копировать ярлыки,
.exe,.bat,.cmd,.scrи неизвестные файлы без необходимости. - Если данные не критичны, после сохранения нужного проще отформатировать флешку.
Как выбрать способ проверки
- Нужно быстро проверить одну флешку. Включите показ скрытых и системных файлов в Проводнике, затем выполните
dir E:\autorun.inf /a. - Нужно убедиться, что копий нет нигде. Используйте PowerShell с
Get-ChildItemи параметром-Recurse. - Нужно проверить несколько накопителей. Подойдёт PowerShell-команда по съёмным дискам.
- Флешка с важными данными. Сначала сканируйте, потом копируйте только нужные документы, не запускайте ничего с накопителя.
- Флешка найдена или получена от неизвестного человека. Проверяйте полностью: Проводник, командная строка, антивирус.
- Нужно просто подготовить флешку к передаче файлов. После проверки и копирования данных лучше отформатировать её.
Частые ошибки при поиске autorun.inf
- Открывать флешку двойным кликом. Это именно то действие, которое может запустить вредоносный сценарий.
- Смотреть только обычные файлы. Если не включён показ скрытых и системных файлов,
autorun.infлегко пропустить. - Не включать расширения имён файлов. Из-за этого
autorun.inf.exeможет выглядеть как обычныйautorun.inf. - Удалить файл и считать флешку чистой. Удаление
autorun.infубирает один файл, но не обязательно удаляет вредоносную программу. - Запускать команды на очистку без понимания. Команды вроде массового снятия атрибутов могут изменить состояние файлов и усложнить восстановление данных.
- Удалять
System Volume Information. Это системная папка Windows, она не является признаком заражения сама по себе. - Доверять отсутствию
autorun.inf. Флешка может быть заражена без этого файла. - Форматировать флешку до копирования нужных данных. Если файлы важны, сначала проверьте накопитель и сохраните нужное.</li


