Защита флешки от вирусов
Я не открою Америку, если сообщу вам, что большинство вирусов сегодня распространяется через flash-накопители.
Да и самими флешками сейчас никого не удивишь, благодаря техническому прогрессу и ценовой доступности, каждый может завести себе этот удобный и практический девайс.
Но ЗЛОБНЫЕ вирусописатели тоже не стоят на месте, а в ногу идут с прогрессом. Вот именно им мы и “благодарны” за создание большого класса AUTORUN-вирусов, кочующих из зараженного компьютера на flash-накопитель, а из флешки на “чистенький” компьютер.
Я сам когда-то стал жертвой этих вирусов. В то беззаботное время, я не задумываясь пользовался флешкой. В одного из клиентов устанавливал из своей флешки программку, а потом дома при переустановке Windows XP использовал ту-же флешку для установки программ. Какое же мое было удивление когда при установке антивирусной программы на свеженькую операционную систему, обнаруживал что она прямо захлебывалась от количества вирусов.
Со второй переустановки операционки сообразил откуда они лезут. И с тех пор если где-то флешка побывала на другом компьютере, то обязательно дома проверяю ее на наличие вирусов. Очень часто вирусы обязательно присутствуют на флешке.
Такая ситуация начала мне надоедать и я решил заняться вопросом защиты флешки от Autorun-вирусов. Чем и хочу с вами поделиться.
Сначала немного теории
Процесс заражения происходит следующим образом: когда мы вставляем флешку в зараженный компьютер, вирус сразу же активизируется и создает (переписывает) на flash-накопителе файл с именем autorun.inf, в котором прописано, что должно запускаться при подключении этого флеш-накопителя. Вместе с созданием файла autorun.inf на флешку копируется и само тело вируса (файл с произвольным названием и расширением .exe). Как правило эти два файла имеют атрибут “скрытый”, поэтому при стандартных настройках мы их не увидим.
Так вот, именно в файле autorun.inf вирус прописывает автозапуск себя родимого. И при подключении флешки вирус запускается и начинает заражать компьютер.
Теперь перейдем к практике
Нам необходимо сделать две вещи:
- Защитить свой компьютер от заражения Autorun-вирусов.
- Защитить саму нашу флешку от заражения этими-же вирусами.
Для решения первого пункта достаточно отключить автозапуск программ с подключаемых дисков. Для этого заходим Пуск-Выполнить-gpedit.msc.
Появляется окно Групповая политика. Выбираем Конфигурация компьютера-Административные шаблоны-Система-Отключить автозапуск.
Правой клавишей мышки клацаем, выбираем Свойства-закладка Параметр-Включен-Отключить автозапуск на: всех дисководах-Применить
После отключения автозапуска перейдем к второй нашей задаче – защита флешки от вирусов.
Существуют флешки у которых есть специальный переключатель в режим защиты от записи. Но такая защита не оправдывает себя, когда необходимо что-то забрать с зараженного компьютера, так как приходится отключать защиту и тогда наша флешка уже ничем не защищена.
Можно также создать пустой файл autorun.inf и установить ему права “только чтение”, но слышал, сам пока не сталкивался, что новые вирусы уже научились обходить данную защиту.
Поэтому предлагаю вам создать bat-файл с следующим содержанием:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir “\\?\%~d0\AUTORUN.INF\..”
attrib +s +h %~d0\AUTORUN.INF
сохранить под любым именем (flash.bat), скопировать на флешку и там его запустить. Обязательно запускать на флешке. В итоге у вас на флешке создаться папка Autorun.inf, которую невозможно удалить. При попытке вируса создать файл autorun.inf у него ничего не получиться, так как на флешке уже присутствует папка с таким именем. А переписать ее – пусть попробует:-)
Описан выше метод относится к флешкам с файловой системой FAT32.
Запрещается использования данного медота для защиты флешок, которые используют в своей работе возможности autorun.
Обязательно оставляем свои комментарии 
P.s. В этом посте затронута лишь малая часть по обеспечению безопасности компьютера, если вы заинтересованы в том как обеспечить гарантированную защиту Ваших приватных данных и не стать жертвой хакеров, вирусописателей, кардеров, фишеров и прочей «нечисти», то рекомендую вам новейший видеокурс по теме компьютерной безопасности — «Киберсант Оборона»! За подробностями сюда.
А как узнать какие флешки используют в своей работе возможности autorun?
Евгений, например флешки со сканером отпечатков пальца. Так как у них уже есть свой autorun.inf и применив к ней выше описаный способ вы нарушите работу приложения запускающегося для сканирования отпечатков пальца.
Что значит создать bat-файл? Как это делается, какие кнопки нажимать?
Копруем текст:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir “\\?\%~d0\AUTORUN.INF\..”
attrib +s +h %~d0\AUTORUN.INF
Открываем блокнот ПУСК-Программы-Стандартные-Блокнот и вставляем скопированный текст.
Дальше Файл-Схранить как… в строчке Имя файла набираем любое имя, но после точки вместо расширения .txt пишем .bat (например flash.bat) и Сохранить.
Все, закрываем блокнот, копируем полученный файл на флешку и запускаем.
Скачать готовый файл: flash.bat
Если скачать готовый файл, его тоже нужно поместить на флешку как и сделаный вручную bat-файл?
Евгений, на флешку копируете только один файл.
Готовый файл я сделал на тот случай, если у кого-то не получиться самому сделать .bat файл, или же лень будет заботится.
Если все правильно сделаете, то они будут идентичны.
Поначалу запустил этот файлик, создалась папка “У”. Оказывается, вместо кавычек были какие-то символы в 4-ой строке:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir ô\\?\%~d0\AUTORUN.INF\..ö
attrib +s +h %~d0\AUTORUN.INF
Исправил, запустил, опять та же беда ! И только когда шрифт поменял на Terminal, все сработало
Спасибо, Alex.
Да действительно немного напортачил .
Исправил и залил по новой.
Попробовал на своей флешке – работает.
Сергей, спасибо за статью. Но проблемка: при запросе gpedit.msc в пуске система выдает, что такой файл не найден. Подскажите, плиз, что делать? уж очень хочется применить к своим флешкам эту защиту.
у меня XP
Елена, если у вас Windows XP Home, то там Групповой политики нет, в отличие от версии Pro, специалисты из майкрософт посчитали ее лишней для домашнего пользования
Создайте на флешке папку, как описано в заметке, этого уже будет достаточно.
Отключение автозапуска в Home версии осуществляется правкой реестра.
Да, у меня home версия. Папку создала, на флешку скопировала, запустила. Сергей, я павильно понимаю: после запуска этого файла на флешке создалась папка Autorun.inf, но я ее не смогу увидеть даже при настройках в ПК: “видеть все скрытые папки и файлы” (у меня именно эти настройки)? и еще, подскажите, плиз, каков путь к реестру в домашней версии, чтобы убрать автозапуск программ с подключаемых дисков? буду очень благодарна
Елена, вы все правильно поняли. А что бы увидеть папку вам еще необходимо в свойствах папки->Вид убрать галочку с пункта “Скрывать защищенные системные файлы (рекомендуется)”
Или воспользоваться файловым менеджером, например Total Commander, с настройками – показывать скрытые/системные файлы.
Проверила, действительно видно =), но вернулась на всякий пожарный в прошлые настройки. Спасибо за объяснение. Может все-таки дадите ответ и на второй вопрос предыдущего поста (”и еще, подскажите, плиз, каков путь к реестру в домашней версии, чтобы убрать автозапуск программ с подключаемых дисков?”), если возможно, конечно
Елена, по поводу отключения автозапуска через реестр правкой ключа NoDriveTypeAutoRun:
В XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому ниже описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправить его.
1) Пуск->Выполнить->regedit->Ok
2) открыть HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3) На папке Policies правой Создать->Раздел
4) Переименовать созданный раздел в Explorer
5) В этом разделе создать параметр DWORD с именем NoDriveTypeAutoRun и присвоить ему нужное значение
Допустимые значения ключа:
0×1 – отключить автозапуск на приводах неизвестных типов
0×4 – отключить автозапуск сьемных устройств
0×8 – отключить автозапуск НЕсьемных устройств
0×10 – отключить автозапуск сетевых дисков
0×20 – отключить автозапуск CD-приводов
0×40 – отключить автозапуск RAM-дисков
0×80 – отключить автозапуск на приводах неизвестных типов
0xFF – отключить автозапуск вообще всех дисков.
p.s. В окошечке значения писать то, что идет после “х”, например для 0хff – отключить автозапуск вообще всех дисков значение пишем ff
Также можно то же самое проделать и для HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
В HKEY_LOCAL_MACHINE хранятся параметры глобальные, для машины и всех юзеров, а в CURRENT_USER – нетрудно догадаться, для текущего, залогиненного пользователя.
После всех изменений перезагрузите компьютер.
Сергей, спасибо, Вы хороший учитель) обязательно попробую осторожно поэксперементировать, чтоб не напортачить. успехов
Добрый день, Сергей! Не мудрствуя, кинула на новенькую флешку скачаный у вас файлик . И навернулась она, родимая… Жалко восемь-то гигов… Флешка теперь не открывается и не запускается. Система её видит, но сообщает, что этот съёмный диск не отформатирован. Но при попытке отформатировать – пшик. И что? Кранты флешке однозначно?
Наталья, файликом вы бы однозначно флешку не угробили , может совпадение, стечение обстоятельств в одну точку времени. А что конкретно пишет при попытке форматировать и как именно форматируете?
Наталья, загляните сюда, различные утилиты для флешек.
Значит так… флешка была новая. Открыла, чего-то на неё кинула, проверила, что с ней всё в порядке. На днях забрела на Ваш бесценный сайт. (Спасибо за статью о роликах, снятых Камтасией и Эдоби плеерах!!!!!) Решила проблему!!! Заодно обнаружила много полезной инфы. Вот по поводу флешек в том числе. Ну и закинула файлик на флешку. На следующий день хотела её открыть. А система порадовала, что съёмный диск не отформатирован. Во как интересно! И предложила форматнуть. Ну, поскольку бесценного там всё равно ещё ничего нет, что ж, пришлось соглашаться. FAT32 – всё норм. Либо быстрое форматирование, либо нет. Ну, там флажок можно поставить. Ни то, ни другое не проходит. Диспетчер логических дисков сообщает, что завершить форматирование успешно не удалось. Покрутилась на месте. С проводника зашла, может там что-то открыть и заглянуть на неё удастся, в контекстном меню пошарила… В управление дисками сходила.. Меня выбрасывает на форматирование. Больше система ничего предложить не может. Вот, собственно и всё. В управлении дискам: исправен, свободен 100% Мдя, прикольно… Видит око, да зуб неймёт.
Вот так хранишь на флешках что-нибудь серьёзное, файл ключей от Кипера, к примеру, а флешке раз – и кирдык на ровном месте.
извените но я вообче не понимаю! жму что надо жать и кликаю но ничего не происходит!! рабочий стол пуст! ни иконок ни в низу ” запуск” ни часов! что делать?
Людмила, смотрите комментарии к заметке Пропали все ярлыки с рабочего стола, что делать?
Что-то подобное делает утилита Panda USB Vaccine, можно ли все-таки как-то эту папку удалить или только форматированием флешки.
Для еще незараженных флешек рекомендую эту программу https://ardatov.wordpress.com/ps, устанавливающую защиту на носитель.
Марат, если вы имеете в виду папку AUTORUN.INF, то ее можно удалить и без форматирования флешки. Для этого запустите файлик на флешке. Скачать файл: del_autorun
Уважаемый Сергей! У меня такой вопрос. Для восстановления ОС в случае сбоя я пользуюсь программой PARAGON. И в случае необходимости я вставляю диск с образом, пускаю ноут на перезагрузку и пошло восстановление ОС. Если я отключу автозапуск флешек и внешних дисков, то смогу ли я по-прежнему прибегнуть к восстановлению ОС по указанной схеме: ведь автозапуск будет отключен? Спасибо.
Михаил, отключение автозапуска думаю никак не повлияют, так как вы отключаете автозапуск именно в операционной системы, а восстановление как я понял идет сразу при старте компа, тоесть до загрузки операционки. Наверняка в биосе у вас выставлен первый источник закгрузки с CD-Rom и когда вы вкидаете диск с образом то система начинает грузиться с диска образа. Вот где-то так, может немного запутано, но думаю смысл понятен.
Спасибо, Сергей! Я всё понял. В БИОСе действительно выставлен вариант загрузки с CD-Rom.Удачи Вам!
Помогите кто-нибудь! С недавнего времени заметил что при открытии папок или файлов, которые находятся на DVD-диске все папки или файлы с ярлыком интернет страницы.
Здравствуйте Серьгей!!!
Можно ли с помощью бат вирусов ,чтобы сгорел материнка???
Мне один файл попал и я запустил. Тот человек мне говорит что через определенное время моя материнка сгореть. Это возможно???
На файле который он отправил была простая рисовалка. но когда я запускаю комп у меня появляется окно и потом исчезает.
Помогите!!!
Пишите на почту
А сам bat-файл я так понимаю надо удалить?
Да, файлик можно удалять, он необходим только для создания защищенной папки.
А как отключить автозапуск в Windows 7 подробнее https://websofthelp.ru/infchan/139-autoplay-windows-7-.html
Здравствуйте Сергей!
1) Я недавно купил флешку 16Gb Kingston. А она с файловой системой FAT32 поэтому ничего с большим размером не копируется на флешку. Нужно сделать NTFS
2) Есть еще флешка 8Gb Kingston вдруг стал с ф.с RAW и не форматируется на NTFS выдает “завершить форматирование успешно не удалось”
Подскажите пожалуйста. Мне очень нужна флешка
Анатолий, 1) Отформатировать. При форматировании указать в какую файловую систему форматировать. Можно также переконвертировать, без форматирования и потери данных на флешке
2) Файловая система RAW – это разрушенная файловая система. И обычно система называет так файловую систему когда не может с ней работать. Попробуйте специальными утилитами (например Акрониксом) удалить раздел и по новой его создать и отформатировать.
Загляните еще сюда, тут куча различных утилит для восстановления работоспособности флешек, в том числе и родимых-фирменных.
Люди, чтобы вирусы на флешке вас не беспокоили, пользуйтесь специальными программами в том случае, если перенастройка системы для вас в тягость. Найтиде в интернете программку AntiFlash 1.07i или более новую, она вам поможет. Использовать ее рекомендуется тем, у кого стоит WIndows XP, а если у Вас более поздняя версия (Vista, windows 7), то там есть встроенные средства контроля. Всем удали и здоровых компьютеров
HELP, ФОРМАТИРОВАЛ ФЛЕШКУ В NTFS ПРОГРАММОЙ HPUSBFW, ВЫКЛЮЧИЛИ СВЕТ, ТЕПЕРЬ КОГДА ПЫТАЮСЬ ОТКРЫТЬ ЕЕ ПОЯВЛЯЕТСЯ СООБЩЕНИЕ (ДИСК НЕ НАЙДЕН). СТАНДАРТНОМУ ФОРМАТИРОВАНИЮ НЕ ПОДДАЕТСЯ, PeToUSB_3.0.0.7 ФЛЕШКУ НЕ ВИДИТ, HPUSBFW ВИДИТ НО НЕ ФОРМАТИРУЕТ
«В итоге у вас на флешке создаться папка Autorun.inf».
У меня после этого bat-файла создалась на флешке папка под названием «У».
Иллюстрация: https://www.ljplus.ru/img4/f/n/fnaq/011.PNG
Евгений, скачайте готовый файл: flash.bat. Или смотрите комментарий Aleks 28 Окт 2009 в 15:40 была та же проблема, там все дело в шрифте на котором создаете bat файл.
Спасибо. Кавычки действительно немного отличаются.
Скажите Сергей, а если флешка в формате NTFS можно ли на ней создать папку flash.bat для защиты от вирусов, или надо форматировать её в fat32.
Возможно не по теме…
Вчера востанавливал комп у знакомого. Ком востановил от вирусов почистил. Но перед этим заразил свою флеху. Такая папка у меня была, сам когдато созавал. Все нормально авторана нет. Но вот куча зараженных ехе-файлов, у меня инсталок много, на флехе. После того как антивируска(каспер2010 с новыми базами) просканировала флеху и поудаляла вирусы(Virus.Win32.Sality.aa), то на флешку нельзя ничего скопировать или что-то удалить с нее, пишет: диск защищен от записи. Но с флехи можно скопировать. Файловая система на флешке exFat, переделывал для того чтоб таскать фалы больше 4Гб. Винда ХР-Про, пак-3.
На компе вирусов нет – 100% Мож флеха глюканула…
Можно как-то снять защиту, или прийдется форматировать???
Может и глюконула, проще конечно слить с нее нужную инфу и попытаться отформатировать, чем искать способ снять эту самую защиту.
Так и сделал. Глюканула таки, хоть инфу вытянул)))
Форматнулась без проблем.
Сергей Холоша помогите с флешкой микро сд ничего не получается я пробывал копировать то что вы писали нашет формата бат но пишет что диск защищен от записи!
Арсен, на таких флешках обычно сбоку есть переключатель для блокировки записи.
после установки bat-файла флешка не форматируется и не удаляются файлы
Сергей Холоша пишет:
08 мая 2010 в 14:36
Арсен, на таких флешках обычно сбоку есть переключатель для блокировки записи.
нет у меня вирус на флешке от телефона!и там никокого переключателя нету(эта обычная флешка телефонов nokia- micro sd
в случае виндовс 7 создаваемая вашим батником папка спокойно удаляется средствами винды, что делать?
Как удалить папку autorun.info , созданную вашим bat ?