Сегодня практически все флешки заражены «Autorun» вирусами. Иногда штатный антивирус справляется с ними, иногда нет. Получить такую заразу можно практически везде — в институте, в школе, на работе. Вы можете просто дать флешку приятелю, а обратно вам принесут свеженький троян, который автоматически запустится, как только вы откроете флешку. Как же бороться с этими вирусами?
СПОСОБ №1
Это самый простой способ, правда не самый удобный и эффективный. Суть его в следующем… При подключении флэшки к разъему USB, необходимо удерживать нажатой клавишу «SHIFT». Это позволяет избежать автостарта, а заодно и заражения Вашего компьютера.
СПОСОБ №2
Итак, всё, что нужно сделать – это отключить автозагрузку на флэшке и CD. Для Windows XP Professional схема отключения будет выглядеть так:
- Запускаем GPEDIT.MSC (Это Групповая Политика). Для этого нажмите комбинацию Win+R, в командной строке введите GPEDIT.MSC и нажмите ENTER.
- Далее выбираем... Политика "Локальный компьютер" --> Конфигурация компьютера --> Административные шаблоны --> Система
- Правый клик на службе "Отключить автозапуск" --> Свойства
- Выбираем режим "Включен", "на всех дисководах" Если понадобиться вернуть всё как было, то в поле "Отключить автозапуск" ставим "Не задан".
СПОСОБ №3
Форматируем в NTFS*. Заходим в свойства флешки, и на вкладке "безопасность” начинаем управлять правами.
- Назначаем права системе "только чтение”, и этим сразу ограничиваем права всех вирусов, (а не только авторанов) считающих себя системными.
- Нажимаем кнопку "Дополнительно” и проявляем чудеса изобретательности. Самым простым способом будет создать папки "autorun.inf" и "RECYCLER" и назначить им права запрещающие все действия, ну может быть кроме возможности смены прав. Можно заранее создать нужные вам папки, и запретить доступ к её корню. Таким способом можно создать "неубиваемые” файлы, ни Unlocker, ни автораны ничего сделать не смогут. Простая пометка "только для чтения” тут бессильна, сами попробуйте. Самое главное перед всем этим перенести данные с флешки на другой носитель, а то можно сделать флешку недоступной для самого себя.
Защиту реестра можно организовать по такому же принципу: переписать все права на изменение веток на администратора. * Отформатировать флэшку в NTFS можно при помощи встроенной утилиты "convert.exe". Порядок действий такой:
- Нажмите комбинацию Win+R, в командной строке введите "cmd" (без кавычек) и нажмите "Ok".
- После приглашения системы C:Documents and SettingsАдминистратор> введите convert <буква_флешки>: /fs:ntfs /nosecurity /x например, для флешки H: нужно ввести convert h: /fs:ntfs /nosecurity /x После завершения конвертирования введите exit (или просто закройте окно интерпретатора команд).
СПОСОБ №4 - Эффективный.
Создаем файл "1.bat" в который записываем следующий код:
mkdir "\\?\f:\AUTORUN.INF"
mkdir "\\?\f:\AUTORUN.INF\XXX."
где f - это буква, которую система присвоит вашей флешке.
Далее запускаем файла "1.bat" и если всё сделано верно, то на флешке должна появиться папка "AUTORUN.INF" в которой будет находиться ещё одна папка "XXX.", причем удалить папку "XXX." стандартными средствами станет невозможно!
Делается это для того, чтобы вирус, в момент попытки заражения вашей влешки, не смог создать на ней файл "autorun.inf". Сама операционная система заблокирует подобную попытку, ведь на флешке уже будет находиться папка с таким же именем.
Особо продвинутый вирус может попробовать удалить папку "AUTORUN.INF", но и это ему не удасться, ведь в этой папке находится неудаляемая папка "XXX.". Таким образом на флешку могут попась только "куски" вируса, но без файла "autorun.inf" - они становятся абсолютно бесполезными и уже не представляют угрозы.
Эти "куски" можно легко обнаружить и удалить... Для этого в проводнике нужно включить режим отображения скрытых файлов и далее можно смело удалять папки с названиями: "Recycled", "Recycler", "!Recycled", "temp" ну и так далее (вариантов может быть много). Помните, на Вашей влешке должны находиться только те файлы, которые Вы сами туда записали. Всё остальное можете смело удалять!
И на последок... Если Вам по каким-либо причинам понадобиться удалить папки "AUTORUN.INF" и "XXX.", то сделать это можно так: Создаем файл "2.bat" в который записываем следующий код:
rd "\\?\f:\AUTORUN.INF\XXX."
rd "\\?\f:\AUTORUN.INF"
где f - это буква, которую система присвоит вашей флешке.
Далее запускаем файла "2.bat" и если всё сделано верно, то папки "AUTORUN.INF" и "XXX." удалятся.
СПОСОБ №5 - Эффективный.
В последнее время настоящей чумой компьютеров стали флешечные вирусы. Существует сотни модификаций различных троянов, которые проникают на компьютеры жертв и воруют у них пароли к различным сервисам. Однако борьба с ними антивирусных компаний малоэффективна, ввиду того, что они не успевают добавлять сигнатуры вредоносного кода в свои базы с той же скоростью, с которой вирусы распространяются на компьютерах жертв. Ситуацию также усугубляет тот факт, что компьютеры, на которые попали вирусы с флешки, зачастую не имеют выхода в сеть для того, чтобы получить последние обновления антивирусных баз. Единственным правильным выходом из этой ситуации является осведомленность пользователя о методах проникновения, заражения флеш-вирусов и методах борьбы с ними.
Начнем с того, что в ОС Windows программы запускаются, а вирусы являются программами. Это означает, что ни один вирус не попадет на компьютер, пока он не будет запущен. В случае с флеш-вирусами запуск осуществляет сам пользователь. Это значит, что сам по себе процесс подключения инфицированного флеш-носителя к компьютеру является безвредным, но вот дальнейшие действия пользователя провоцируют запуск зловредной программы и заражение компьютера.
Все вирусы лезут на компьютер с флешек через одну и ту же дырку и называется она Автозапуск. Автозапуск – старейшая технология Windows, которая позволяет определить поведение компьютера в зависимости от содержимого носителя. Конкретно, за это поведение отвечает файл autorun.inf, расположенный в корне носителя. Заполнив его содержимое соответствующим образом можно указать Windows, какие действия нужно произвести в случае манипуляций пользователя с данным носителем. То есть, в этом файле хранится информация о том, что должно происходить, когда например пользователь пытается открыть его в окне «Мой компьютер» или какие действия предлагаются пользователю в окне автозапуска.
Вирусы прописывают в файл autorun.inf именно 2 последних действия путем добавления строчек:
[autorun]
Open=Virus.exe
Shell\Open=Virus.exe
Или их вариаций. Как следствие – при попытке открыть диск, пользователь запускает зловредную программу. В связи с этим существует один вполне очевидный способ избежать заражения компьютера – отключить функцию автозапуска на сменных носителях. Делается это следующим образом:
Пуск->Выполнить печатаем regedit, жмем enter.
Затем в дереве реестра переходим на следующую ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
Затем создаем новый параметр типа строка, который называется *.*
Теперь никакой файл не может запуститься.
Теперь идем в ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
И создаем там 2 параметра типа DWORD
NoDriveTypeAutoRun со значением 91 в hex (145 целое число)
NoSaveSettings со значением 0.
Теперь Ваша машина кажется вполне защищенной от нечаянного запуска вируса.
Для упрощения этих действий можете скачать также этот файлик реестра и запустить его:
Файл реестра для запрета Автозапуска на носителях
Теперь всякие попытки проникновения на Ваш компьютер вирусов пресечены, однако вставленные компакт диски не выводят сами меню диска. Ну и ничего страшного.
Теперь рассмотрим ситуацию вторую: вирус уже проник в компьютер. К сожалению, однозначного алгоритма удаления вирусов не существует. Но некоторые советы я, пожалуй, дам.
Алгоритм поиска вируса на компьютере:
- Определить имя файла вируса.
Я предпочитаю делать это следующим образом:
Пуск->Выполнить, команда cmd жмем Enter.
Запускаем диспетчер задач (Ctrl+Shift+Esc), и вырубаем все что можно (в особенности explorer.exe ) кроме svchost.exe и cmd.exe, после чего и сам диспетчер задач(taskmgr.exe).
Теперь перед нами осталась одна лишь командная строка.
- Теперь последовательно печатаем
cd C:\
dir *.exe /ash /b
Смотрим список файлов, и записываем имена.
- cd C:\Windows\
dir *.exe /ash /b
Смотрим список файлов, и записываем имена.
- cd C:\Windows\System32\
dir *.exe /ash /b
Смотрим список файлов, и записываем имена.
- Теперь у нас есть список файлов, которые скорее всего являются вирусами. Поясню немного эти действия. Сначала вызываем командную строку Windows, это делается запуском оболочки cmd. Затем мы смотрим 3 папки и в каждой из них выводим список исполняемых файлов с атрибутами скрытый и системный. Именно эти атрибуты всегда имеют вирусы, чтобы не быть видными пользователю. Почему я делаю это именно при помощи cmd? Потому что эта оболочка не имеет оконных процедур, которые часто используются вирусами.
- Итак, у нас теперь есть имя файла, которое скорее всего нам нужно.
-
Теперь попробуем его удалить.
Печатаем для каждого из найденных имен вирусов:
taskkill /IM имя_файла.exe /T /F
Эта команда принудительно завершает все процессы, этого вируса (на случай, если через в диспетчере они не видны или не завершаются).
- Теперь сделаем этот вирус неспособным запускаться, для этого просто переименуем все исполняемые файлы:
ren директория\имя_файла.exe директория\имя_файла.exe.bak
- Перезагрузим компьютер:
shutdown –r
- После перезагрузки жмем Пуск->Выполнить и печатаем msconfig.exe
Перед нами консоль управления компьютером. Идем на вкладку Автозагрузка и снимаем галки напротив всех файлов, которые кажутся подозрительными.
- Еще раз перезапускаем компьютер.
Этих мер вполне достаточно для того, чтобы выцепить 90% сегодняшних вирусов.
|