Защита флешки от вирусов
Я не открою Америку, если сообщу вам, что большинство вирусов сегодня распространяется через flash-накопители.
Да и самими флешками сейчас никого не удивишь, благодаря техническому прогрессу и ценовой доступности, каждый может завести себе этот удобный и практический девайс.
Но ЗЛОБНЫЕ вирусописатели тоже не стоят на месте, а в ногу идут с прогрессом. Вот именно им мы и “благодарны” за создание большого класса AUTORUN-вирусов, кочующих из зараженного компьютера на flash-накопитель, а из флешки на “чистенький” компьютер.
Я сам когда-то стал жертвой этих вирусов. В то беззаботное время, я не задумываясь пользовался флешкой. В одного из клиентов устанавливал из своей флешки программку, а потом дома при переустановке Windows XP использовал ту-же флешку для установки программ. Какое же мое было удивление когда при установке антивирусной программы на свеженькую операционную систему, обнаруживал что она прямо захлебывалась от количества вирусов.
Со второй переустановки операционки сообразил откуда они лезут. И с тех пор если где-то флешка побывала на другом компьютере, то обязательно дома проверяю ее на наличие вирусов. Очень часто вирусы обязательно присутствуют на флешке.
Такая ситуация начала мне надоедать и я решил заняться вопросом защиты флешки от Autorun-вирусов. Чем и хочу с вами поделиться.
Сначала немного теории
Процесс заражения происходит следующим образом: когда мы вставляем флешку в зараженный компьютер, вирус сразу же активизируется и создает (переписывает) на flash-накопителе файл с именем autorun.inf, в котором прописано, что должно запускаться при подключении этого флеш-накопителя. Вместе с созданием файла autorun.inf на флешку копируется и само тело вируса (файл с произвольным названием и расширением .exe). Как правило эти два файла имеют атрибут “скрытый”, поэтому при стандартных настройках мы их не увидим.
Так вот, именно в файле autorun.inf вирус прописывает автозапуск себя родимого. И при подключении флешки вирус запускается и начинает заражать компьютер.
Теперь перейдем к практике
Нам необходимо сделать две вещи:
- Защитить свой компьютер от заражения Autorun-вирусов.
- Защитить саму нашу флешку от заражения этими-же вирусами.
Для решения первого пункта достаточно отключить автозапуск программ с подключаемых дисков. Для этого заходим Пуск-Выполнить-gpedit.msc.
Появляется окно Групповая политика. Выбираем Конфигурация компьютера-Административные шаблоны-Система-Отключить автозапуск.
Правой клавишей мышки клацаем, выбираем Свойства-закладка Параметр-Включен-Отключить автозапуск на: всех дисководах-Применить
После отключения автозапуска перейдем к второй нашей задаче – защита флешки от вирусов.
Существуют флешки у которых есть специальный переключатель в режим защиты от записи. Но такая защита не оправдывает себя, когда необходимо что-то забрать с зараженного компьютера, так как приходится отключать защиту и тогда наша флешка уже ничем не защищена.
Можно также создать пустой файл autorun.inf и установить ему права “только чтение”, но слышал, сам пока не сталкивался, что новые вирусы уже научились обходить данную защиту.
Поэтому предлагаю вам создать bat-файл с следующим содержанием:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir “\\?\%~d0\AUTORUN.INF\..”
attrib +s +h %~d0\AUTORUN.INF
сохранить под любым именем (flash.bat), скопировать на флешку и там его запустить. Обязательно запускать на флешке. В итоге у вас на флешке создаться папка Autorun.inf, которую невозможно удалить. При попытке вируса создать файл autorun.inf у него ничего не получиться, так как на флешке уже присутствует папка с таким именем. А переписать ее – пусть попробует:-)
Описан выше метод относится к флешкам с файловой системой FAT32.
Запрещается использования данного медота для защиты флешок, которые используют в своей работе возможности autorun.
Обязательно оставляем свои комментарии 
P.s. В этом посте затронута лишь малая часть по обеспечению безопасности компьютера, если вы заинтересованы в том как обеспечить гарантированную защиту Ваших приватных данных и не стать жертвой хакеров, вирусописателей, кардеров, фишеров и прочей «нечисти», то рекомендую вам новейший видеокурс по теме компьютерной безопасности — «Киберсант Оборона»! За подробностями сюда.
Евгений, запустите на флешке файл del_autorun
цепанул какойто плохой вирус который не видит текущий антивирь мой! симптомы дублирует папки в которые заходишь на флешке всем папкам на флешке присвоено рарешение exe! форматирование не помогало! низкоуровневое форматирование вроде сначало помогло но когда я залил файл флеш запустил, папка авторан стала видимой и вирус вернулся! как его убить(((((и я так подразумеваю он вернулся уже с компа??так как низкоуровневое форматирование убивает намертво все)
Правильно подразумеваете, надо начинать лечение с компа.
Это не авторан вирус, у него схема заражения несколько иная. Вирус дублирует папки, содержащиеся в флешке, только вместо оригинала отображает свой файл и скрывает вашу настоящую. Вирус создает аналогичные по виду (по виду как папка) но являющийся программой файлы папка.exe. Когда вы пытаетесь открыть такую папку в флешке, то вы на самом деле сами же нажимаем на запуск вируса, причем этот вирус автоматически вас перенаправляет на оригинал. Таким образом вы и не замечаете замены.
От этого флешку защитить достаточно сложно, проще всего научиться это находить и лечить. Можно это сделать и без антивируса.Нужен лишь файл менеджер, показывающий скрытые файлы: находим скрытые папки и по названиям удаляем файлы с расширением EXE. Также незабываем убирать атрибут «скрытый» с оригинальных папок. Когда лечение такого вируса происходить с помощью антивируса. Антивирус удалив все файлы с вирусами не восстанавливает атрибут скрытости с папок и можно ужаснуться увидив «пустую» флешку, хотя это на самом деле это не так.
понятное дело удалять тотал командер не видит оригиналы((да даже не проблема форматнуть флешку. проблема возникла в том как найти источник на компе! сканировал нодом ничего! скачал софтину от каспера она нашла not-a-virus:RemoteAdmin.Win32.RAdmin.ao при этом не пишет что это вирус! но сам файл not-a-virus:RemoteAdmin.Win32.RAdmin.ao C:\:services.exe не могу найти он както маскируется хорошо! не в курсе как его удалить или обнаружить?
Если включить в настройках “Показывать скрытые/системные файлы” – должны быть видны.
Это какая-то новая разновидность вируса, начинает со вчерашнего дня заполнять интернет. Однозначного ответа пока нет, необходимо смотреть логи с компа и применять лечение именно к конкретному компу. Сходите на форум https://www.virusinfo.info в раздел “Помогите” – там обязательно отыщут и уничтожат вашу заразу.
Вот попалась похожая ситуация и скрипт для AVZ для удаления заразы, но повторюсь, скрипт сделан после исследования логов с конкретного компьютера
Выполнить скрипт в AVZ:
beginSearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\:services.exe');
QuarantineFile('c:\:services.exe','');
DeleteFile('c:\:services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
показывание скрытых папок всегда включено!!
да спасибо я именно там уже и решил все почитал обратился сделали скрипт и мне! на будущее у кого возникнет такаяже проблема обращайтесь https://www.virusinfo.info и создавайте новую тему в похожих отписыватсья бесполезно! спасибо за совет
Сергей,как?удалить
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir ô\\?\%~d0\AUTORUN.INF\..ö
attrib +s +h %~d0\AUTORUN.INF и папку созданную им.Или подскажите как отфарматировать.Из системы и низко уровневой утелитой PQI_LowForma(родная) не идёт,из командной строки тоже никак.И любой файл почемуто с флешки не удоляется.
Игорь, что бы удалить папку AUTORUN.INF запустите на флешке файл del_autorun.
А это уже странно, загляните сюда, различные утилиты для флешек.
Есть такая программа Autorun Disk Security вроде (если точно помню ). Она для того, чтобы ставить защиту от autorun вирусов на флешки и другие диски. И ещё, кажется, позволяла блокировать автозапуск на самом компьютере по выбору. Ну, т.е. отключать автозапуск у отдельных категорий дисков – съёмных,локальных, оптических, сетевых и т.д. Работает с FAT32 и NTFS. Вот с помощью неё и можно защитить флешку и компьютер от autorun вирусов.
Да, вот она на mail.ru: https://soft.mail.ru/program_page.php?grp=81809
суть вируса такая, он каким то образом скрыл мои фалый (их 3.5 гб из 4) и вместо них сделал копии ярлыков размером 1кб, я как не пытался найти данные не получается, даже смотря в скрытом режиме, а флешка как весила так и весит 3.5г, при этом я уже ее почистил нна вирус
Sergey, открой флешку через Total Commander. В настройках программы включи функцию “показывать скрытые/системные файлы”. В ней же сможешь поменять атрибуты своих скрытых файлов, в свойствах файла убрать “скрытый”.
Скажите пожалуйста как можно копировать файл через cmd Типа copy C;\??? to D:\??? )
copy c:\papka\fail.exe d:\papka
c:\papka\fail.exe – имя файла и место откуда копируем
d:\papka – место куда необходимо скопировать файл.
У меня такая же проблема как и у Sergey, однако даже при включении функции “показывать скрытые/системные файлы” ничего не меняется!!!Очень надеюсь на Вашу помощь!!!
Artur, опишите поконкретней именно вашу ситуацию. Для просмотра срытых файлов воспользуйтесь Total Commander, а не проводником.
Ни одна программа не видит папки на флешке!!!Только когда запускаю проверку антивирусом, то видно названия папок в пути сканирования…Получается что папки на флешке есть, но их совершенно не видно!!!Я и реестр правил (параметры hidden и т.д.), что только не делал, бесполезно!
Точно такая же проблема как у Artur, кроме антивира ни одна прога не видит файлы, а там очень нужная информация.
Почему у меня после запуска файла *.bat на флешке создается папка “У”, а не “Новая папка.inf”?
У них атрибут “скрытый”, потому и не видно, других вариантов не вижу. В программе Total Commander снимите с них атрибут “скрытый”, “системный”. Ctrl+H в тотале показывает скрытые файлы, папки.
Тигр, проверьте четвертую строчку, там должны быть кавычки
mkdir “\\?\%~d0\AUTORUN.INF\..“
еще такая беда вылазит в зависимости от того в каком шрифте сохраняем, при шрифте Terminal все работает, проверено.
Сергей зря мучаешь народ, ни проводником, ни Total Commander, они своих папок не увидят. Т.к. каталог с папками (которые раньше были в корне флешки), находится в каталоге .. (.. – имя каталога), поэтому винда их и не видит. Об этом хорошо написал HuaZhang здесь: https://forum.kaspersky.com/lofiversion/index.php/t172394.html. Сам вчера столкнулся с вышеописанной проблемой. На флехе пропали все папки, а вместо них exe -ники, но никаких скрытых папок в корне нет.
Pavka, никого я не мучаю. Сам с таким еще не сталкивался, но теперь буду знать, спасибо за информацию лично от меня и всех будущих посетителей данной заметки.
Проделал эксперименты с папкой [..] на своей флешке и убедился на практике, что кроме командной строки (cmd.exe) никто эту папку не видит, ни Windows, ни Total Commander.
Привожу сообщение пользователя HuaZhang, с форума:
Всетаки полезно подключатся на подписку
Еще не сталкивался с таким, но думаю столкнусь, скорее не сам но товрищи с проблемой прийдут
П.С. всем спасибо за полезную инфу