Защита флешки от вирусов
Я не открою Америку, если сообщу вам, что большинство вирусов сегодня распространяется через flash-накопители.
Да и самими флешками сейчас никого не удивишь, благодаря техническому прогрессу и ценовой доступности, каждый может завести себе этот удобный и практический девайс.
Но ЗЛОБНЫЕ вирусописатели тоже не стоят на месте, а в ногу идут с прогрессом. Вот именно им мы и “благодарны” за создание большого класса AUTORUN-вирусов, кочующих из зараженного компьютера на flash-накопитель, а из флешки на “чистенький” компьютер.
Я сам когда-то стал жертвой этих вирусов. В то беззаботное время, я не задумываясь пользовался флешкой. В одного из клиентов устанавливал из своей флешки программку, а потом дома при переустановке Windows XP использовал ту-же флешку для установки программ. Какое же мое было удивление когда при установке антивирусной программы на свеженькую операционную систему, обнаруживал что она прямо захлебывалась от количества вирусов.
Со второй переустановки операционки сообразил откуда они лезут. И с тех пор если где-то флешка побывала на другом компьютере, то обязательно дома проверяю ее на наличие вирусов. Очень часто вирусы обязательно присутствуют на флешке.
Такая ситуация начала мне надоедать и я решил заняться вопросом защиты флешки от Autorun-вирусов. Чем и хочу с вами поделиться.
Сначала немного теории
Процесс заражения происходит следующим образом: когда мы вставляем флешку в зараженный компьютер, вирус сразу же активизируется и создает (переписывает) на flash-накопителе файл с именем autorun.inf, в котором прописано, что должно запускаться при подключении этого флеш-накопителя. Вместе с созданием файла autorun.inf на флешку копируется и само тело вируса (файл с произвольным названием и расширением .exe). Как правило эти два файла имеют атрибут “скрытый”, поэтому при стандартных настройках мы их не увидим.
Так вот, именно в файле autorun.inf вирус прописывает автозапуск себя родимого. И при подключении флешки вирус запускается и начинает заражать компьютер.
Теперь перейдем к практике
Нам необходимо сделать две вещи:
- Защитить свой компьютер от заражения Autorun-вирусов.
- Защитить саму нашу флешку от заражения этими-же вирусами.
Для решения первого пункта достаточно отключить автозапуск программ с подключаемых дисков. Для этого заходим Пуск-Выполнить-gpedit.msc.
Появляется окно Групповая политика. Выбираем Конфигурация компьютера-Административные шаблоны-Система-Отключить автозапуск.
Правой клавишей мышки клацаем, выбираем Свойства-закладка Параметр-Включен-Отключить автозапуск на: всех дисководах-Применить
После отключения автозапуска перейдем к второй нашей задаче – защита флешки от вирусов.
Существуют флешки у которых есть специальный переключатель в режим защиты от записи. Но такая защита не оправдывает себя, когда необходимо что-то забрать с зараженного компьютера, так как приходится отключать защиту и тогда наша флешка уже ничем не защищена.
Можно также создать пустой файл autorun.inf и установить ему права “только чтение”, но слышал, сам пока не сталкивался, что новые вирусы уже научились обходить данную защиту.
Поэтому предлагаю вам создать bat-файл с следующим содержанием:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir «\\?\%~d0\AUTORUN.INF\..»
attrib +s +h %~d0\AUTORUN.INF
сохранить под любым именем (flash.bat), скопировать на флешку и там его запустить. Обязательно запускать на флешке. В итоге у вас на флешке создаться папка Autorun.inf, которую невозможно удалить. При попытке вируса создать файл autorun.inf у него ничего не получиться, так как на флешке уже присутствует папка с таким именем. А переписать ее – пусть попробует:-)
Описан выше метод относится к флешкам с файловой системой FAT32.
Запрещается использования данного медота для защиты флешок, которые используют в своей работе возможности autorun.
Обязательно оставляем свои комментарии 
P.s. В этом посте затронута лишь малая часть по обеспечению безопасности компьютера, если вы заинтересованы в том как обеспечить гарантированную защиту Ваших приватных данных и не стать жертвой хакеров, вирусописателей, кардеров, фишеров и прочей «нечисти», то рекомендую вам новейший видеокурс по теме компьютерной безопасности — «Киберсант Оборона»! За подробностями сюда.
Евгений, запустите на флешке файл del_autorun
цепанул какойто плохой вирус который не видит текущий антивирь мой! симптомы дублирует папки в которые заходишь на флешке всем папкам на флешке присвоено рарешение exe! форматирование не помогало! низкоуровневое форматирование вроде сначало помогло но когда я залил файл флеш запустил, папка авторан стала видимой и вирус вернулся! как его убить(((((и я так подразумеваю он вернулся уже с компа??так как низкоуровневое форматирование убивает намертво все)
Правильно подразумеваете, надо начинать лечение с компа.
Это не авторан вирус, у него схема заражения несколько иная. Вирус дублирует папки, содержащиеся в флешке, только вместо оригинала отображает свой файл и скрывает вашу настоящую. Вирус создает аналогичные по виду (по виду как папка) но являющийся программой файлы папка.exe. Когда вы пытаетесь открыть такую папку в флешке, то вы на самом деле сами же нажимаем на запуск вируса, причем этот вирус автоматически вас перенаправляет на оригинал. Таким образом вы и не замечаете замены.
От этого флешку защитить достаточно сложно, проще всего научиться это находить и лечить. Можно это сделать и без антивируса.Нужен лишь файл менеджер, показывающий скрытые файлы: находим скрытые папки и по названиям удаляем файлы с расширением EXE. Также незабываем убирать атрибут «скрытый» с оригинальных папок. Когда лечение такого вируса происходить с помощью антивируса. Антивирус удалив все файлы с вирусами не восстанавливает атрибут скрытости с папок и можно ужаснуться увидив «пустую» флешку, хотя это на самом деле это не так.
понятное дело удалять тотал командер не видит оригиналы((да даже не проблема форматнуть флешку. проблема возникла в том как найти источник на компе! сканировал нодом ничего! скачал софтину от каспера она нашла not-a-virus:RemoteAdmin.Win32.RAdmin.ao при этом не пишет что это вирус! но сам файл not-a-virus:RemoteAdmin.Win32.RAdmin.ao C:\:services.exe не могу найти он както маскируется хорошо! не в курсе как его удалить или обнаружить?
Если включить в настройках «Показывать скрытые/системные файлы» – должны быть видны.
Это какая-то новая разновидность вируса, начинает со вчерашнего дня заполнять интернет. Однозначного ответа пока нет, необходимо смотреть логи с компа и применять лечение именно к конкретному компу. Сходите на форум http://www.virusinfo.info в раздел «Помогите» – там обязательно отыщут и уничтожат вашу заразу.
Вот попалась похожая ситуация и скрипт для AVZ для удаления заразы, но повторюсь, скрипт сделан после исследования логов с конкретного компьютера
Выполнить скрипт в AVZ:
beginSearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\:services.exe');
QuarantineFile('c:\:services.exe','');
DeleteFile('c:\:services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
показывание скрытых папок всегда включено!!
да спасибо я именно там уже и решил все почитал обратился сделали скрипт и мне! на будущее у кого возникнет такаяже проблема обращайтесь http://www.virusinfo.info и создавайте новую тему в похожих отписыватсья бесполезно! спасибо за совет
Сергей,как?удалить
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir ?\\?\%~d0\AUTORUN.INF\..?
attrib +s +h %~d0\AUTORUN.INF и папку созданную им.Или подскажите как отфарматировать.Из системы и низко уровневой утелитой PQI_LowForma(родная) не идёт,из командной строки тоже никак.И любой файл почемуто с флешки не удоляется.
Игорь, что бы удалить папку AUTORUN.INF запустите на флешке файл del_autorun.
А это уже странно, загляните сюда, различные утилиты для флешек.
Есть такая программа Autorun Disk Security вроде (если точно помню
). Она для того, чтобы ставить защиту от autorun вирусов на флешки и другие диски. И ещё, кажется, позволяла блокировать автозапуск на самом компьютере по выбору. Ну, т.е. отключать автозапуск у отдельных категорий дисков – съёмных,локальных, оптических, сетевых и т.д. Работает с FAT32 и NTFS. 
Вот с помощью неё и можно защитить флешку и компьютер от autorun вирусов. 
Да, вот она на mail.ru: http://soft.mail.ru/program_page.php?grp=81809
суть вируса такая, он каким то образом скрыл мои фалый (их 3.5 гб из 4) и вместо них сделал копии ярлыков размером 1кб, я как не пытался найти данные не получается, даже смотря в скрытом режиме, а флешка как весила так и весит 3.5г, при этом я уже ее почистил нна вирус
Sergey, открой флешку через Total Commander. В настройках программы включи функцию «показывать скрытые/системные файлы». В ней же сможешь поменять атрибуты своих скрытых файлов, в свойствах файла убрать «скрытый».
Скажите пожалуйста как можно копировать файл через cmd Типа copy C;\??? to D:\???
)
copy c:\papka\fail.exe d:\papka
c:\papka\fail.exe – имя файла и место откуда копируем
d:\papka – место куда необходимо скопировать файл.
У меня такая же проблема как и у Sergey, однако даже при включении функции “показывать скрытые/системные файлы” ничего не меняется!!!Очень надеюсь на Вашу помощь!!!
Artur, опишите поконкретней именно вашу ситуацию. Для просмотра срытых файлов воспользуйтесь Total Commander, а не проводником.
Ни одна программа не видит папки на флешке!!!Только когда запускаю проверку антивирусом, то видно названия папок в пути сканирования…Получается что папки на флешке есть, но их совершенно не видно!!!Я и реестр правил (параметры hidden и т.д.), что только не делал, бесполезно!
Точно такая же проблема как у Artur, кроме антивира ни одна прога не видит файлы, а там очень нужная информация.
Почему у меня после запуска файла *.bat на флешке создается папка «У», а не «Новая папка.inf»?
У них атрибут «скрытый», потому и не видно, других вариантов не вижу. В программе Total Commander снимите с них атрибут «скрытый», «системный». Ctrl+H в тотале показывает скрытые файлы, папки.
Тигр, проверьте четвертую строчку, там должны быть кавычки
mkdir «\\?\%~d0\AUTORUN.INF\..«
еще такая беда вылазит в зависимости от того в каком шрифте сохраняем, при шрифте Terminal все работает, проверено.
Сергей зря мучаешь народ, ни проводником, ни Total Commander, они своих папок не увидят. Т.к. каталог с папками (которые раньше были в корне флешки), находится в каталоге .. (.. – имя каталога), поэтому винда их и не видит. Об этом хорошо написал HuaZhang здесь: http://forum.kaspersky.com/lofiversion/index.php/t172394.html. Сам вчера столкнулся с вышеописанной проблемой. На флехе пропали все папки, а вместо них exe -ники, но никаких скрытых папок в корне нет.
Pavka, никого я не мучаю. Сам с таким еще не сталкивался, но теперь буду знать, спасибо за информацию лично от меня и всех будущих посетителей данной заметки.
Проделал эксперименты с папкой [..] на своей флешке и убедился на практике, что кроме командной строки (cmd.exe) никто эту папку не видит, ни Windows, ни Total Commander.
Привожу сообщение пользователя HuaZhang, с форума:
Всетаки полезно подключатся на подписку
Еще не сталкивался с таким, но думаю столкнусь, скорее не сам но товрищи с проблемой прийдут
П.С. всем спасибо за полезную инфу
такая же проблема и у меня…нужна прога UFS Explorer Pro…нигде нету в инете…дайте ссылку на норм прогу с крякрм и т.д…спасибо заранее…
есть проги такие похожие только рабочие????
По запросу UFS Explorer Pro мне Google выдал следующее: Результатов: примерно 124 000 (0,25 сек.)
Все ссылки перебрали
там нет толковых…везде просит ключ….
Все бы хорошо, но групповые политики доступны только в XP Professional. Пользователям версии Home такой способ не подходит. К тому же помимо XP есть еще много систем.
2(che)n, всегда можно приступить к выполнению второй части, а именно к созданию защищенной папки Autorun.info непосредственно на флешке. Вы хоть и не предотвратите попаданию вируса на флешку, но помешаете его автоматической активизации на «здоровом» компьютере. Так как вирус записывая себя на флешку создает свой файл autorun.info, в котором прописаны команды по самостоятельному запуску вируса, без ведома пользователя.
У меня все флешки с аппаратной блокировкой записи. Это гораздо надежнее любых программных методов. Если в продаже не можете найти – купите за 200 рублей usb-sd кардидер и карту нужного объема. Получаем флешку с возможностью наращивания памяти и аппаратную защиту от вирусов.
2(che)n, а что вы будете делать, если с «больного» ПК надо будет что-то забрать. Рычажок придется переводить в состояние «Открытый»
Сниму хард с больной машины и подключу к своей. Полная проверка, потом уже скачаю что нужно.
На дворе эпоха дешевого безлимитного и быстрого интернета. Музыка что мне нужна уже давно у меня есть.
такая же проблема и у меня…нужна прога UFS Explorer Pro
Disk Editor and Data Recovery
UFS Explorer Pro конечно может восстановить файлы, но если много каталогов, то здесь – это не поможет. т.к. эта прога, да и другие может восстановить, за раз, только одну папку и несколько файлов в ней, а если папок много… Disk Editor and Data Recovery вот палочка – выручалочка, долго искал прогу, чем можно подобраться к файловой системе флехи. Ну а дальше все просто, переименовываем каталог .. в любой другой и все. Вынимаем, затем вставляем беднягу и получаем нормальный каталог в корне, заходим туда, а там все наши папочки. Удачи!!!
Pavka, спасибо за полезную инфу
а у меня на флешке видно скрытые папки и через командер и так при включении в свойствах папки, но галочка для снятия не активна. что можно сделать?
Самый простой вариант через Total Commander, если установлен, свойства папки и снять атрибуты.
или через командную строку
Пуск->Выполнить
cmd (нажимаем ENTER)
и уже В ОКНЕ
f: (f: – буква флешки, нажимаем ENTER)
attrib -r -h -s *.* (нажимаем ENTER)
дельный способ, один раз полечился, отключил автозапуск и сделал с флешкой все рекомендуемое, в общем жил – горя не знал (ну в смысле с моей флешкой все до сих пор отлично и ни разу с тех пор на ней не приносил угроз компьютеру)
а сегодня отец принес свою флешку, касперский обнаружил вот такую штуку – e:\kazan\marijana.exe при том что папка казан не наблюдается даже при просмотре скрытых файлов
и вот такую гадость e:\marija\ludasam.exe
какая-то из этих штук тут же дала команду на восстановление автозапуска и сразу выскочила табличка типа «…чтобы новые параметры вступили в силу нужно перезагрузиться… да? нет?»
вроде бы убил их, повторно убрал автозапуск в настройках и вот провожу полную проверку
Что же это за твари такие?
Pavka, А как поменять название каталога .. в Disk Editor and Data Recovery, бьюсь уже час, не пойму, помоги, может туплю
Disk Editor and Data Recovery не нужен, папка переименовывается стандартной досовской командой rename. Обнаружили это с помощью ваших же подсказок – зашли из командной строки на флешку, сделали dir /x и тогда (ВНИМАНИЕ!) там можно увидеть что-то типа досовского имени папки «..»: E2E2~1.
в общем вводим: RENAME E2E2~1 LOST
и получаем папку LOST с потерянным содержимым.
удачи!
А как поменять название каталога .. в Disk Editor and Data Recovery???
Выбираем вкладку «Редактор» и «Директория», а если проще то нажимаем Ctrl+D. А каталог .. , действительно, как писал АК-47, называется E2E2~1, вот его и надо переименовывать. Удачи.
Ситуация такая, флешка 4гб, на ней много папок и просто файлов word, exel. Там что то непонятное, все папки стали весом по 355 кб, с .exe, когда кликаешь на папку открывается содержимое в отдельном окне проводника. А недавно все папки пропали, да так что тотал командер не видит, хотя все скрытые папки на компе видит, антивирус нод и каспер не берут avz тоже, что касается заполнености то вся инфа весит 1,8 гб, а word exel докуметы всего 570 метров, остальное папки с содержимым, которые никак не отображаются, что делать?
Артемий, нужно прочитать внимательно все вышеописаное. И потом со знанием дела полечить флешку, а затем преименовать скрытую папку и тем самым восстановить содержимое.
В моем случае помогли cureIt от DrWeb, procexplorer и командная строка
Сергей Холоша! Респект Вам, вариант через Total Commander получилось….
Блин, народ! Не тупите! Если не получается снять атрибут СКРЫТЫЙ – это потому что вирус присвоил папкам атрибут СИСТЕМНЫЙ! Снимается это через ПУСК – ВЫПОЛНИТЬ – cmd
Затем вводим F: – имя вашей флешки (возможно любое другое)
Затем вводим команду attrib -S -H /S /D
И все! И не слушайте лузеров этих тут! Они нифига не понимают! )))
Ростислав, вы повторили то, что уже здесь было высказано «лузерами»![]:->](http://www.friendlypc.ru/wp-content/plugins/qipsmiles/smiles/devil.gif "]:->")
.
Сергей, для особо одаренных, нужно уточнять, что высказано было 9 ноября 2010 года.