Вниз

17 Май 2010

10

Защита флешки от autorun вирусов или прививка для флешки

Наверное многие иногда задумываются как защитить флешку от вирусов? Естественным решением является использование антивируса, ограничение прав пользователя, отключение автозапуска. Но что делать если приходится вставлять флешку в разные зачастую не защищённые компьютеры? Абсолютной защиты под Windows я пока не знаю, но есть способы минимизировать вероятность заражения. Пользуясь случаем не могу не кинуть пару камней в огород Microsoft, за идею autorun во всех версиях Windows, пользователи Linux сейчас довольно улыбаются:) Один из способов защиты флешки от вирусов заключается в том чтобы занять всё свободное пространство с помощью специальной утилиты Autostop 2.4.
Второй способ в следующем:
Форматируем флешку в NTFS
Пуск → Выполнить → cmd →
convert f: /FS:NTFS (c сохранением данных) или format f: /FS:NTFS (с потерей данных)
И далее расставляем разрешения и запреты.
Минусы данного способа в меньшей производительности, не все устройства поддерживают NTFS – магнитолы, плееры и т.д.
Идея третьего в том чтобы создать на флэшке (с FAT-32) файл или папку с именем autorun.inf и вирус записавшись на носитель не сможет создать свой autorun.inf. актуально для флешек. Создается bat-файл следующего содержания:

attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir “?%~d0AUTORUN.INF..”
attrib +s +h %~d0AUTORUN.INF

После чего bat-файл копируется на флешку и запускается. bat-ник создает папку с именем Autorun.inf, которую невозможно удалить средствами системы из-за некорректного имени файла. И вирус не может создать файл autorun, и удалить нашу папку тоже не может. Чтобы потом самим удалить папку нужно создать второй батник с содержимым:
rd /q “\\?\%~d0\AUTORUN.INF\..”
rd /q “\\?\%~d0\AUTORUN.INF”
Он удаляет содержимое и затем саму папку AUTORUN.INF
Минус данного способа в том что AUTORUN.INF удалить всё таки можно, описанным выше способом, а также можно переименовать.
Следующий способ на мой взгляд является более удобным и надёжным способом. Утилита Panda USB and AutoRun Vaccine так же создаёт autorun.inf но его невозможно не только удалить, но и переименовать! Это достигается за счёт изменений байт атрибутов. Не вдаваясь в подробности скажу что это можно сделать в ручную с помощью HEX-редактора, но утилита Panda USB and AutoRun Vaccine делает это в один клик! Ребята с хабра на этом не остановились а отрихтовали утилиту так что она выдаёт наш autorun с атрибутами RHS (только чтение, скрытый, системный)
Так же среди плюсов следует отметить бесплатность, простой и понятный интерфейс.

  1. Владимир
    7 Июль 2010

    Большое спасибо за полезные ссылки!!!

  2. 16 Июль 2010

    Владимир, рад что нашли статью полезной))

  3. Andr
    18 Авг 2010

    проблема у друга информер который блокирует все даже через безопасный режим вылазиет!!! и что самое интиресное не просит отправить смс а оплатить через терминал единой оплаты! (при запуске винды сначала значки вылезают потом проподают остается тока нижняя панель ПУСК и то неначто не реагирует)

  4. 18 Авг 2010

    2Andr, фото в студию, или чего пишет, номер счёта, сумму и т.д. А вообще универсальный способ я описал, если не на что не реагирует, грузимся с liveCD, прогоняем антивирем, например Cureit от Dr.Web.

  5. sany
    25 Дек 2010

    подскажите плиз.. удалил банер а ярлыки не высвечиваються что делать??

  6. 26 Дек 2010

    sany, я правильно понимаю, у вас не грузится весь рабочий стол, а появляется только фоновая картинка? Тогда должно помочь это – http://problemspk.net/windows/xp/propali-yarlyki-s-rabochego-stola.html

  7. Cortes
    21 Янв 2011

    Если рассматривать баннер, как зависшее приложеное, то логичный выход из него через запуск диспетчера задач. Проблемма успеть нажать три клавиши до запуска баннера, то есть сразу после исчезновения приветствия при запуске винды. За тем переключить в режим сканирования антивирусом (дифект XP на мой взгляд в том что приоритет автозапуска определяется не важноситью приложения, а очередностью установки) либо при отсутствии такового (есть еще такие любители секса с железом) отредактировать автозапуск любым настройщиком системы или реестра. За тем обозначить наивысший приоретет антивируса или убить процесс вместа с источником. А в качестве рассчета за гостеприимство (при наличии номера телефона) можно подписать его на платную рассылку (к примеру http://www.prorabotay24.com) и пусть лохотронщики бадаются между собой.

  8. 21 Янв 2011

    Cortes, способ имеет право на существование, но поможет далеко не всегда. впрочем 100% меня выручал только LiveCD

  9. Cortes
    21 Янв 2011

    Выходов много. Особенно эффективны: восстановление системы из пакета Acronis или Norton 360 восстановление без запуска системы (если не затерт загрузочный сектор винчестера, что встречается исключительно редко) через F11, да с потерей данных (вопрос частоты резервирования), из дисковых систем (той же XP или Knoppix, к стати они редко стали встречаться). Но не всегда эти диски есть под рукой, а при распростронении netbook этот вопрос актуален так как нет привода. У меня под рукой всегда есть флэшка с загрузкой аварийных пакетов liveCD, образов Norton и Acronis (правда уже давно не пользовался, но и не стераю), образа системы XP, хотя уже давно уже перешел на nix Mandrick (на всякий случай, есть не просят, хотя место занимают).

  10. Farik
    21 Янв 2011

    Если Windows не запускается, а на весь экран черный рекламный модуль, то просто нажимает Win+D. Все окна сворачиваются, в том числе и рекламный модуль. После этого нажимаем правой кнопкой на свернутый процесс модуля на панели задач и закрываем его. Далее проверяем антивирусом и удаляем этот самый вирус-модуль!!!!

  11. Artem
    23 Янв 2011

    у меня вобще захожу в винду а там баннер и ярлыков нет нажимаю деспечер задачь а там калькулятор нече недействует лазял по сайтм нфига непомогло у меня 2 windosa захожу со второго удаляю фаил с рабочего стола захожу с первого виндоса и банера нет но и папок даже нет че мне делать плизз скажите.

  12. Artem
    23 Янв 2011

    народ помогите кто на сайте!

  13. Artem
    23 Янв 2011

    как можно удалить баннера с windos 7 ? заранее спасибо

  14. rafa
    23 Янв 2011

    пиши сюда дам код для удаления баннера вот уин 373532219

  15. 23 Янв 2011

    Farik, сейчас почти все баннеры блокируют горячие клавиши, так что твой способ сработает только если баннер школота писала.

  16. 23 Янв 2011

    Artem, каких папок нет, на рабочем столе или вообще винт чистый?

  17. Евген
    25 Янв 2011

    ребята, помогайте!!! на рабочем столе нет ничего, кроме банера, курсор за пределы банера не выходит. диспетчер задач включается,но при нажатии на клавишу “диспетчер задач” тут же перекрывается банером! через безопасную загрузку винда не грузится! на рабочем столе ни одного значка, “пуск” тоже нет! что делать???

  18. 25 Янв 2011

    Евген, либо пробуйте подобрать код по номеру, либо грузится с LiveCD и сканировать антивирусом.

  19. Евген
    26 Янв 2011

    ура, правдами-неправдами банер удалил, но явно присутствует троян! Просканировал ESETом – 4 угрозы,но ничего он с ними не сделал, запустил AVAST , тот вообще завис, поставил снова ESET , пока ничего не выдает! Но при перезагрузке на рабочем столе кроме фонового рисунка ничего нет! Значки рабочего стола вывожу через диспетчер задач…. Объясните, что такое LiveCD и как с ним работать, что делать пошагово…. Будте добры!

  20. Джони
    26 Янв 2011

    Попробуй призагрузке нажать F8 и загрузить последнюю удачную конфигурацию. А LiveCD это скачиваешь с сайта касперского или DrWeb а образ загрузочного диска, записываешь его на диск загружаешься с него там есть сканер вирусов им прогоняешь систему

  21. 26 Янв 2011

    Евген, Джони всё верно сказал насчёт LiveCD, единственное дополню что LiveCD это операционная система с множеством утилит запускаемая с компакт диска, т.е. при невозможности запуска системы с жёсткого, она нас выручает. В сети их множество, обычно это iso образ, который записывается на диск.
    Также с популяризацией флешек появилось понятие LiveUSB – то же самое только с флешки. Как сделать такую флешку я писал в разделе блога BootUSB

  22. Евген
    28 Янв 2011

    Суть немного поменялась, снял винт, на работе просканили ребята из IT отдела – все нормуль, я в растерянности, мой антивирус видел 4 угрозы, правда не знаю, возможно он их удалил (завис комп на 97%),а на работе лицензионный NOD32 ничего подозрительного не увидел.Еще вот чего, я когда с банером справился, по четким инструкциям (с интернета)менял ключи в реестре. Может дело все в этом? Проблема такова, при загрузке появляется только картинка,значки рабочего стола только через диспетчер задач, и то половина не грузится, и ни один не открывается, комп просто тупит. Все операции провожу через диспетчер задач и то только минут 5-10, затем начинает тормозить, приходится перезагружать. Откат сделать не дает, т.к не могу выбрать нормальную точку отката, дает 26,27 числа, а мне надо хотя бы 20. Вот в чем вопрос, если вируса якобы нет, может мне где то (???) посмотреть, мож я сам чего сбил??? И просто система тупит из-за того, что я что-то не то сделал???

  23. 28 Янв 2011

    Евген, если думаешь что проблема с ОС попробуй в командной строке команду sfc /scannow, должна проверить системные файлы. но я думаю что всё таки сидит вирус, попробуй проверить свежей cureit от Dr/Web. только нужно полную проверку ставить.

  24. Евген
    28 Янв 2011

    а как проверить то? с флешки скачать и на проверку???

  25. 28 Янв 2011

    да, конечно

  26. Саня
    13 Фев 2011

    Запускаем комп в безопасном режиме (кто не знает включаем и сразу зажимаем F8 через некоторое время появляется меню. Выбираем там безопасный режим с поддержкой командной строки). Если Безопасный режим не включается, то там же выбираем “Восстановление службы каталогов”. Далее, после включения нажимаем Пуск-Выполнить набираем msconfig. В открывшемся окне вкладка Автозагрузка и снимаем флажки в которых НЕТ Windows или Program Fies. Перезагружаем комп. Баннера нет но он в системе. Пуск-Панель управления-Свойства папки.вкладка Вид-Скрытые файлы и папки-ставим флажок Показывать скрытые папки. Далее путь: диск C-Documents and Settings-Admin-Local Settings-Temp. Далее удаляем там файл с расширением exe (Таких файлов там вообще не должно быть!) Вот и всё. Потом антивирусом делаем полную проверку компьютера, ну или пользуемся вот этой утилитой от касперского. Скачать ее можно тут http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ и запустить установку программы, на все соглашаясь.
    Наблюдаем установку и работу программы Virus Removal Tool 2010. Через небольшое время программа найдет врага и удалит его. После завершения работы программы она предложит удалить себя с компьютера.

  27. Кирилл
    21 Фев 2011

    Сань, спасибо большое, помогло)

  28. раф
    22 Фев 2011

    пишите мне помогу всем. дам код для удаления баннера не дорогу )жду вас вот уин 565644777

  29. андрей
    8 Март 2011

    поямал вирус или банер.просит положить денег на номер 9618080316 или 9602796646 а потом просит весть номер чека свой телефон.помогите убрать.ком. не работает даже в безопасном режиме.что делать? зарание спасибо.

  30. 8 Март 2011

    Андрей, самый верный способ на мой взгляд – http://problemspk.net/bezopasnost/kak-ubrat-banner-s-rabochego-stola-universalnyj-sposob.html

  31. Наталья
    10 Март 2011

    О ужас,на рабочем компе.баннер,что посещала гей-порно,что делать не знаю,в компах не разбираюсь,признаваться на работе боюсь,уволят к чертям. Голубая табличка сообщает что в течении 12 часов все данные будут удалены. просят пополнить счет и ввести код на чеке. я в панике,денег не жалко,да не поможет,видимо

  32. Наталья
    10 Март 2011

    И за пределы банера курсор не двигается,ну значков ни ярлыков,ни пуска

  33. 11 Март 2011

    Наталья, слишком мало информации для того чтобы помочь. если напишите номер и текст сообщения с вашего баннера, попробую помочь. деньги отправлять не стоит, не поможет факт. данные не удалятся тоже.

  34. Наталья
    11 Март 2011

    Ваш компьютер заблокирован
    Причина: просмотр гей-порно
    Для разблокировки ком-ра пополните счет абонента Билайн 9626952469 на сумму 400 р через терминал оплаты сотовой связи,на чеке оплаты вы найдете ваш первональный код,который нужно ввести для разбловировки ком-ра.

    в течении 12 часов если не введете код все будет утеряно

  35. Наталья
    11 Март 2011

    я нашла название вируса: Trojan. Winlock.2741

  36. 11 Март 2011

    Попробуйте следующие коды разблокировки:

    1. 21186533
    2. 70000004
    3. 123123
    4. 111000
    5. avothui0
    6. 16342131
    7. 000111
    8. 456456
    9. 654654
    10. 852852
    11. 147741
    12. tadam
    13. herbert
    14. CHILDREN OF DUNE
    15. FRANK HERBERT
    16. gbpltw
    17. RAMMSTEIN
    18. qwaszxvbh
    19. put
    20. izvini (для ввода кода использовать комбинацию Win+R)
    21. relby7534
    22. kaka
    23. sorysory
    24. sy4ki
    25. PLANET HELL
    26. planet hell
    27. WISH I HAD AN ANGEL
    28. Feed mi haed
    29. FEED MY HEAD
    30. 31428961
    31. LORD OF THE LAST DAY
    32. WE ROCK
    33. 8059547
    34. 80640897
    35. SHAME ON THE NIGHT
    36. NOGLUES
    37. DNKEYS
    38. poputal
    39. in-male
    40. pret
    41. 123456
    42. lord
    43. bingo
    44. zxas12345
    45. kisskiss
    46. йц321
    47. zx123456
    48. qw12345
    49. qwas12345
    50. as12345
    51. qa321
    52. TNMTTF
    53. 73050487
    54. 36420102
    55. 128
    56. dfvgbh789
    57. 99105784
    58. 11111 (ввести во все поля, пробовать 2 раза)
    59. VALDEZ
    60. Ввести 11111 во все поля, повторить ввод 2 раза
    61. DNRATE
    62. 80633210
    63. 8893020

  37. Наталья
    11 Март 2011

    Спасибо большое,завтра пойду на работу пробовать. А это вообще реально код подобрать,или чаще переустанавливать приходиться?

  38. 12 Март 2011

    Наталья, не всегда подобрать реально. но ни разу из-за этого не переустанавливал систему. для меня проще и быстрее загрузиться с реанимационного диска или с флешки и проверить на вирусы

  39. Паша
    21 Март 2011

    Привет!!! Я даже в меню пуск не могу зайти!!! Всё перепробовал! Помогите!!!

  40. 21 Март 2011

    Привет, Паша! Все перепробовал это что конкретно? пробовал подобрать код на сайтах антивирусов? если не помогает, тут я описывал способ который меня ни разу не подвёл. Понадобится всего
    1. LiveCD или LiveUSB, что есть под рукой
    2. свежий антивирус. рекомендую Cureit для таких случаев.
    3. минут 40 свободного времени.
    По ссылке выше всё подробнее.

  41. 9 Апр 2011

    Баннер удаляется в 2 счета нужен только лайф сиди или другой комп, смысл в том что в реестре правим winlogon параметр shell значение этого параметра это путь у вирусу удаляем и вирус и параметр , а вместо вписываем explorer.exe и будет вам счастье)) подробнее тут написано com-serv.ru/index.php/2010−01−10−20−09−27

  42. Олегатор
    4 Май 2011

    У меня баннер вот этот ! Ссылка http://images.yandex.ru/yandsearch?ed=1&text=%D0%B1%D0%B0%D0%BD%D0%BD%D0%B5%D1%80%20windows%20%D0%B7%D0%B0%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD&img_url=kvazi.ru%2Fwp-content%2Fuploads%2F2011%2F03%2Ftrojan-ransom.win32.gimemo.png&rpt=simage&p=21

    Но я избавился от него!Удалил! НО после перезагрузки компа У меня РАБОЧИЙ СТОЛ СТАЛ ЧЁРНЫМ! И нечиго мышкой неподелаеш! :( ПОМОГИТЕ!!!!!!!!!!!!!!

  43. Олегатор
    4 Май 2011

    ЧТО ЭТО? :( :(

  44. Олегатор
    4 Май 2011

    ???????? :(

  45. Олегатор
    5 Май 2011

    ДА есть тут ктонитЬ???!!

  46. 5 Май 2011
  47. 5 Май 2011

    да, извини что не мог раньше ответить

  48. 22 Май 2011

    Вот здесь подробно в картинках описано как удалить баннер-вымогатель http://wm-lave.narod.ru/instbann.htm

  49. 18 Июнь 2011

    я удалил баннер экран пустой иконок нет меню Пуска нету,и еще при запуске игры комп перезагружается.Я удалял банер с помощью восстановления системы

  50. коля
    26 Июнь 2011

    баннер сномером 89651895601 требует 500 рублей положить на счет как его удалить

  51. коля
    26 Июнь 2011

    пожалуста помогите

  52. 26 Июнь 2011

    коля, в статье выложены общие принципы, также есть универсальный способ Почитайте внимательно, ничего сложного нет. Если будут конкретные вопросы, спрашивайте, всегда отвечу.

  53. марина
    30 Июнь 2011

    Здравствуйте, подскажите, пожалуйста что делать. Все выше перечисленные способы не работают. баннер не дает ничего сделать. значков на рабочем столе нет, пуск не работает. диспетчер высвечивается, но курсор не выходит за рамки баннера. и винду компьютер не переустанавливает

  54. 30 Июнь 2011

    Марина, тогда поможет только LiveCD подробнее писал тут – http://problemspk.net/bezopasnost/kak-ubrat-banner-s-rabochego-stola-universalnyj-sposob.html

  55. Юрий
    26 Июль 2011

    У моего брата была аналогичная проблема,( за исключением того что не надо было отпровлять смс, а сразу скинуть лавэ на Webmoney. ) но так как он полный чайник- этой проблемой пришлось заниматся мне. Мне не помогли никакие способы, уже был готов сносить винду, а тут нарыл прогу “Kaspersky WindowsUnlocker” – и помогло! Всем советую.

Поделись своими мыслями!

(обязательно)
(обязательно)

Почтовые адреса не публикуются.

Подпишись на комментарии