Как вылечить флешку от авторана

На сегодняшний день головная боль почти всех владельцев флешек — это т.н. аутораны. Сам ауторан не вирус — это файл, в котором прописаны команды, исполняемые операционной системой в момент вставки флешки в ПК и сам по себе он абсолютно не опасен.

Например, на моей флешке прописан ауторан, который запускает нужную мне программу, когда я вставляю флешку в компьютер.

Совсем другое дело, когда этот файл используется вирусописателями для своих нужд: они прописывают туда команды для запуска своих зловредных программ, и в этом случае, после запуска флешки, вирусы как блохи перескакивают на компьютер пользователя. Т. е. ауторан это спусковой крючок для запуска вирусов, ружьем же выступает флешка. Причем и сам этот файл также копируется на жесткие диски пользователя, и на ПК пользователя запускается системный процесс, который следит за usb портами, и в случае вставки незараженной флешки, всё происходит в обратном порядке — autoran прыгает с ПК пользователя на флешку. Т.к. пользователей ПК все больше и больше, владельцев флеш носителей еще больше (все MP3 плееры, карты фотоаппаратов и т. д.) эти аутораны распространяются с пугающей скоростью. Кого только не приносят ученики в школу! Всякой твари по паре — тут тебе и трояны, и сетевые черви любых модификаций и окрасов.

Естественно хорошего в этом абсолютно ничего нет. Последствия самые разные — от очередного вылета операционной системы до появления порнозапросов при работе в Интернете. Поэтому я предпочитаю бороться с этой заразой методами, скажем так профилактики. Естественно на это уходит какое то время, но оно не сравнимо с временем потраченном, например, на переустановку Windows после вирусной атаки.

Какие же способы защиты от этой гадости сущестуют на сегодняшний день?

Ну во-первых советуют отключать автозапуск как службу, дело хорошее, но если при отключенном автозапуске вы вставите зараженную флешку, то да — она не запустится, но после того, как вы ее откроете руками, вирус все равно будет у вас в компьютере.

Самое главное и простое — иметь на машине рабочий антивирус со свежими антивирусными базами, какой из них лучше — спор бессмысленный, я лично привык к Касперскому, но не могу утверждать, что он защитит мой компьютер на 100% .

В качестве дополнительной защиты я делаю еще следующее:
открываем любое окно, в строке меню находим Сервис -> Свойства папки -> Вид и снимаем галочку с «скрывать защищенные системные файлы и папки» и отмечаем «показывать скрытые файлы и папки».

Внимание! Если вы не уверены в своей некриворукости, лучше этого не делайте — у вас на компьютере будут видны все системные файлы и папки, и если вы что-нибудь удалите не то, это может привести к краху Windows!

В чем смысл?

Например, я вставляю чужую флешку и вижу там что-то непонятное скрытое:

В ста случаях из ста это вирусы и если ваш антивирус при проверке этих папок молчит это очень плохо.
У меня пока такого не было (тьфу три раза). Естественно, я все эти непонятки всегда удаляю.

Примечание: если на вашем ПК не получается установить показ скрытых файлов и папок, то вариантов всего два: или ваша машина заражена, или она была заражена и пролечена, но следы вирусов остались. Дело в том, что многие зловреды в первую очередь блокируют показ скрытых файлов и папок и потому не видны неискушенному пользователю. Как восстановить эту функцию выходит за рамки этой статьи и обсуждаться не будет.

Также в своей практике я очень широко использую защиту флешек путем разграничения прав доступа к корню флехи. Защита работает на 100% (на сегодняшний день) и почти все флехи, которые попадают мне в руки на работе, я от вирусов закрываю, много времени это не занимает, делается постепенно, но головной боли намного меньше.

Способ радикальный, несложный, но все что будет описано ниже вы делаете на свой страх и риск, автор не несет никакой ответственности в случае порчи или потери информации, или наступления иных действий влекущих за собой те, или иные негативные последствия.

Внимание! Ни в коем случае не применяйте описанную ниже методику для флеш-плееров, карт памяти фотоаппаратов и т. д. — только для обычных флешек!

В чем смысл защиты?

Последовательность действий.

1. Сохраняем с флешки всю важную информацию

2. Форматируем флеху в NTFS. Если у вас Виста, или Семерка проблем ну будет — ПКМ (правой кнопкой мыши) по флешке -> Форматировать -> Тип файловой системы NTFS.
Если у вас ХР, то тут маленько сложнее:
нужна или специальная программа, или используем командную строку, команду convert,
пример convert e: /fs:ntfs, вместо е подставляем свою букву для вашей флешки (в случае использования этой команды алгоритм действий изменится, но если вы работаете с командной строкой, то разберетесь).

Я рекомендую программу hp usb disk storage format tool. В Интернете ее найти не проблема, сама программа несложная:

В DEVICE выбираем нашу флеху, файловая система NTFS, и жмем кнопку Start

3. Идем путем уже описанным выше: Сервис -> Свойства папки -> Вид и снимаем галочку с чекбокса «использовать простой общий доступ к файлам и папкам (рекомендуется)»

4. ПКМ по нашей отформатированной флешке -> Свойства и идем в раздел Безопасность (раньше его не было)

5.Жмем Изменить и удаляем всех пользователей и все группы:

6. После удаления выбираем добавить и впечатываем своего пользователя, у меня это пользователь Root -> OK
Внимание: еще раз напоминаю, что компьютер должен быть чистым от вирусов, доверенным, за которым вы постоянно следите! И вы, естественно, должны работать с правами администратора.

7. Выставляем для этого пользователя Полные права:

8. Аналогично добавляем группу пользователей Все, но галочек никаких не добавляем, т.к. Все в правах у нас будут ограничены.

9. Создаем на флешке папку, называем ее например Рабочая и также идем Свойства -> Безопасность.
Теперь маленький финт ушами — идем в раздел Дополнительно -> Изменить разрешения

Жмем Добавить и опять впечатываем Все:

После нажатия ОК у вас появится такое окно, выставляем для Все полные права (это у нас общая папка и мы в нее на всех машинах будем записывать, все что нам потребуется) -> OK:

Снимаем галочку «Добавить разрешения. наследуемые от родительских объектов» -> «Удалить» -> OK:

Все, дело сделано! В корень вашей флешки можно записывать только на одной машине, на чужой машине можно записывать и удалять файлы только в папке Рабочая. Вы на 100% защищены от ауторанов, по крайней мере на сегодняшний день. И естественно, на вашей доверенной машине тоже должно быть всегда чисто.

Возможно поначалу вам покажется, что все это сложно, но уверяю вас, что если вы поймете принцип защиты, то у вас будет уходить на все телодвижения не более 5 минут с перекуром, или чашкой кофе.

Подводные камни: после установки защиты вы не сможете на чужой машине пользоваться разделом контекстного меню Отправить что-либо на флешку. Для меня это не критично, привык. И еще: в файловой системе NTFS есть понятие «отложенная запись», не буду вдаваться в детали, но будьте аккуратнее при вытаскивании флешки, обязательно используйте безопасное извлечение устройства.

Удачи!

Алексей Кулагин, учитель информатики шк.№ 3 г. Нерехты Костромской области

Наверное, уже у каждого пользователя ПК имеется флешка. Большая, маленькая, в цветочек или без, она стала неотъемлемым атрибутом нашей жизни. Этот карманный «накопитель» может вместить в себя кучу полезной информации, а может принести хозяину неприятный подарок. Создатели вирусов быстро смекнули, что удобная в пользовании флешка может стать хранителем «заражающей» информации и начали активно создавать USB-шные (флешечные) вирусы. Самый популярный из них, конечно, Autorun.Этот «приживалка» легко цепляется к носителю и медленно пожирает дисковое пространство. Но, как известно, непобедимых нет.

Итак, если ваша флешка не открывается, а компьютер выдает сообщение об ошибке, типа «Диск невозможно открыть, т.к. не был найден какой-то файл», знайте, носитель подцепил вирус. В таком случае контекстное меню флешки очень часто вместо привычного проводника показывает набор различных знаков. Как избавиться от неприятного соседа? Для этого жмем «Пуск», далее «Выполнить», в открывшемся окне вводим «cmd.exe» и нажимаем ОК. Открывается командная строка – выполняем команды:

del /a:hrs X:autorun.bin
del /a:hrs X:autorun.reg
del /a:hrs X:AUTORUN.FCB
del /a:hrs X:autorun.srm
del /a:hrs X:autorun.txt
del /a:hrs X:autorun.wsh
del /a:hrs X:Autorun.~ex
del /a:hrs X:Autorun.exe
del /a:hrs X:autorun.inf_?????
del /a:hrs X:autorun.inf,

где Х-буква флешки.

Рекомендуется поискать эти файлы в папке «windowssystem32.» и тоже их удалить. ВАЖНО! Постарайтесь не удалить ничего нужного, если вы не уверены в правильности своего выбора, лучше просто оставьте все как есть. Для того, чтобы реестр продолжал нормально работать, откроем редактор реестра (Пуск > Выполнить > regedit > OK). Находим слева раздел: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2(буква флешки) и безжалостно стираем подраздел «Shell». Также можно удалить вкладку «MountPoints2», но это приведет к уничтожению всей информации о существующих носителях, поэтому не рекомендуем экспериментировать.
Настройка компьютера для повышения безопасности
Используйте браузер Mozilla Firefox ( https://www.mozilla-russia.org/products/firefox/ ) или Opera ( www.opera.com ) вместо дырявого, как решето Internet Explorer.
Отключите автозапуск с флэшек через gpedit.msc или через regedit, добавив по пути HKEY_CURRENT_USER->Software->Microsoft->Windows->CurrentVersion->Policies->Explorer шестандцатиричную переменную NoDriveTypeAutoRun со значением 0xff или просто ff.
Настройте, чтоб компьютер показывал расширения файлов и вы видели где реальная папка, а где «Новая папка.exe». В свойствах папки отключите «Скрывать расширение для файлов зарегистрированного типа». Для этого зайдите в любую папку, найдите в меню Сервис->’Свойства папки’ и уберите галочку «Скрывать расширение для файлов зарегистрированного типа». После этой настройки нажмите «Применить ко всем папкам». Таким образом даже если на флэшке вы видите «Новая папка.exe» вы уже будете знать, что ни в коем случае не стоит пытаться зайти в эту папку.

Не хочется возиться? Тогда скачайте программу для автоматического распознавания и удаления вируса Autorun. Самая простая из них – «Anti-Autorun v 3.1» . Смело запускайте программу и ждите, пока она сотрет все подозрительные файлы. Программы такого типа не требуют установки, просто скачайте и начните работу.

Все выше описанное автором является верным решением для борьбы с мелким вредителем.
Вот еще одна программка для ленивых.
Antirun – удобная утилита, которая поможет защитить ваш компьютер от вирусов, работающих через автоматический запуск с диска (autorun-вирусов). Крошечная программа совсем не конфликтует с полноценными антивирусными продуктами, проста в использовании и использует минимум памяти.OC Windows 7/Vista/XP. Язык русский.
https://turbobit.net/9vgq07on756w.html
https://turbobit.net/e91n51mrxwpk.html
https://depositfiles.com/files/2pn3jtjrd
https://depositfiles.com/files/ldovlcefr
https://www.lisintaras.ru/publ/sovety_po_pk/windows…_udalit_virus_autorun/3-1-0-34

Вирусы с флэшек
Вы вставляете USB флэш драйв в компьютер, заходите на флэшку, а вас не пускают. Что это? А это использование вирусами фунции Windows «Автозапуск». Если вы вставляли вашу флэшку в зараженный компьютер, значит на ней уже есть файлы инструктирующие любой компьютер в который будет вставлена флэшка запустить вирус. Это файлы Autorun.inf и прочие autorun.*, к которым прилагаются .EXE или .DLL вирусы, которым собственно и передается управление с помощью автозапуска. Пользователю ничего не нужно делать чтоб вирус запустился, кроме как вставить флэшку. Для того чтоб избежать такого вы должны отключить автозапуск в операционной системе и только вручную открывать то что вам нужно. Система не должна без вашего ведома что либо запускать. Чтоб отключить автозапуск надо открыть редактор групповых политик. В кнопке ПУСК -> выполнить наберите «gpedit.msc», далее «политика Локальный компьютер» -> «Конфигурация компьютера» — «Административные шаблоны» — «система» и справа пункт «Отключить автозапуск»; открыть свойства этого пункта и поставить «Включен». А в менюшке «Отключить автозапуск» выбрать «на всех дисководах». Удаляйте с всегда с флэшек файлы Autorun. Как удалять такие вирусы из процессов читайте дальше.
https://yandexbox.at.ua/publ/kompjutery_internet/kak_udaljat_virusy_trojany/5-1-0-131