Вирусы на флешке

Способ #1: очистка антивирусом

(если требуется сохранить данные на usb-накопителе)

Отключение автозапуска

Первым делом необходимо обезопасить операционную систему компьютера, на котором будет выполняться проверка. Отключить в Windows автозапуск. Чтобы вирус после подключения USB-флешки не смог автоматически запуститься и скрытно проникнуть на винчестер ПК.

Эта процедура выполняется следующим образом:

в Windows 7

1. Нажмите сочетание клавиш «Win» и «R».

2. В строке панели «Выполнить» введите директиву — gpedit.msc.

3. Щёлкните «OK».

4. В окне редактора групповой политики выберите раздел «Конфигурация компьютера».

5. Откройте подраздел «Административные шаблоны».

6. В списке опций выберите «Компоненты Windows».

7. Перейдите к параметрам «Политики автозапуска» → «Отключить автозапуск».

8. В открывшемся окне настроек:

  • щелчком левой кнопки мышки включите радиокнопку рядом с надстройкой «Включить»;
  • нажмите кнопки «Применить» и «OK».

в Windows 8.1

1. Клацните правой кнопкой по иконке Windows на панели задач.

2. В контекстном меню выберите «Найти».

3. В поисковой строке наберите — автозапуск.

4. Кликните в выдаче — «Включение и отключение автозапуска».

5. В панели «Компьютер и устройства» перейдите в раздел «Автозапуск».

6. В блоке слева установите значение «Не выполнять никаких действий» в полях «Съёмный носитель» и «Карта памяти».

Совет! Если вы хотите полностью отключить функцию автозапуска, переведите щелчком ползунок вверху блока в значение «Откл.».

Сканирование флешки

1. После отключения автозапуска подключите флешку к ПК.

2. Нажмите «Win+E».

3. В открывшемся окне правой кнопкой клацните по иконке USB-носителя.

4. Чтобы проверить флешку на вирусы, выберите в перечне опций «Сканировать… «. (В данном случае это ESET Smart Security).

5. Удалите все найденные вредоносные объекты.

Совет! Выполнить очистку можно альтернативными антивирусными сканнерами — Dr.Web CureIT!, Free Anti-Malware или Kaspersky Virus Removal Tool. Перед тем, как будет выполняться проверка, не забудьте установить галочку возле флеш-накопителя в списке разделов.

Способ #3: удаление вирусов вручную

(только для опытных пользователей)

Этот алгоритм очистки целесообразно использовать, если требуется сохранить максимум полезных данных, размещённых на инфицированном флеш-накопителе.

1. Включите в Windows отображение скрытых файлов и папок:

  • нажмите «Win+E»;
  • в появившемся окне нажмите «Alt»;
  • в верхней панели откройте: Сервис → Параметры папок;
  • перейдите во вкладку «Вид»;
  • в последнем пункте опций включите кликом «Показывать скрытые файлы… «;
  • клацните кнопки «Применить» и «OK».

2. Проверьте настройку автозапуска. Он должна быть отключённой (см. Способ #1).

3. Подключите и откройте содержимое флешки.

4. Проанализируйте файлы. Элементы зловреда могут выглядеть так:

  • • файлы с расширением .bat;
  • • ярлыки;
  • • папка Recycler (явный признак присутствия вируса).

5. Кликните по каждому из них правой кнопкой и просмотрите в свойствах настройку «Объект» (клик → пункт в меню «Свойства»). В вирусных файлах, в «Объекте», как правило, отображается исполняемые файл «микроба», атаковавшего USB-носитель.

6. Удалите все вредоносные файлы и ярлыки, а также исполняемый элемент вируса, к которому они обращаются (прописанный в строке «Объект»).

Удаление вируса с компьютера

Наиболее простым и надежным способом очистки компьютера от вируса будет полная переустановка Windows с удалением системного раздела.

Но если вы являетесь опытным пользователем, вы можете опробовать следующий способ:

  1. Отключите запуск вируса при старте Windows в реестре. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Перейдите к ключу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.

    Просмотрите все ключи, которые находятся в этом разделе. Если вы видите необычное название или расположение программы – удалите запись. Часто вирусы прячутся под автоматически сгенерированными названиями, например – sfdWQD234dcfF. Любые ключи, которые запускают VBS, INI, LINK или EXE файлы потенциально опасны. Однако только вы знаете какие программы установлены на компьютере и должны загружаться при старте Windows, поэтому вы должны сами принять решение об удалении того или иного ключа. Для удаления выделите ключ левой кнопкой мышки и удалите его кнопкой Del.

  2. Отключите запуск вируса через службы Windows. Нажмите клавиши Win + R, в появившемся окне введите msconfig и нажмите Enter. В открывшемся окне перейдите на вкладку Службы. Просмотрите их и отключите все подозрительные.

  3. Отключите приложения, запускаемые автоматически через диспетчер задач (для Windows 8и старше). Нажмите Ctrl + Shift + Esc и перейдите на вкладку Автозагрузка. Для отключения подозрительного приложения по нему нужно кликнуть правой кнопкой мышки и выбрать Отключить.

Вирусы, живущие на флешке. Будь осторожен.

В последнее время достаточно часто приходится слышать о вирусах распространяющихся преимущественно через съёмные usb-drive или попросту говоря через флешки.
Хотел бы отметить, что процент встречаемости данной заразы составляет чуть ли не 80% (и продолжает расти) от всех случаев обращения за помощью. Подобный бурный рост, скорее всего можно объяснить широким распространением флеш-накопителей среди населения.
В контексте данной статьи мы рассмотрим принципиальные особенности инфекции через флеш: как именно происходит заражение системы, как распознать «на глаз» заражена ли флешка, и что делать, если вы всё же подцепили такую заразу.

Итак, на самом деле, механизм инфекции не отличается особой изощрённостью, за некоторыми исключениями, разумеется.
Заражение чаще всего происходит в момент попытки посмотреть содержимое флешки (это может быть двойной щелчок мышью или нажатие на выделенный значок диска клавишей ввод). Я не зря так тщательно, почти даже по-детски, описал процесс открытия флеш — весь «секрет заражения» как раз и заключается в способе просмотра диска. При открытии диска должен сработать «авторан» или автозапуск содержимого.

ВНИМАНИЕ! Для того, чтобы авторан-вирус заразил вашу систему в некоторых случаях достаточно просто того, чтобы флешка была вставлена в USB.

Суть автозапуска заключается в следующем. В корне инфицированного флеш-диска можно найти файл autorun.inf содержимое которого (а это простой текстовый файл) указывает путь к исполняемому файлу (файл может иметь и .com расширение). Как правило, исполняемый файл — а это и есть наш вирус, располагается также в корне флеш-диска либо в папке, которая имеет отрибуты «скрытый». Файл autorun.inf и исполняемый файл имеют как правило атрибуты «системный», «только чтение» и «скрытый».

Существует достаточно простой и эффективный способ как можно распознать, заражена флешка или нет, но оговорюсь, что каждое правило имеет свои неожиданные исключения. Одним из наиболее простых способов засечь такую заразу является щелчок правой кнопкой мыши по диску. Появление первым жирным пунктом «Автозапуск» должно насторожить: скорее всего, ваша флешка инфицирована:

Рис. 1 «Автозапуск»
Рекомендуемые в данном случае действия:
1) Просканировать вашу флешку антивирусом (хотя, если при открытии флеш, резидентный антивирусный монитор не смог распознать заразу – шансов её найти при сканировании мало)

Рис.2

К слову будет сказано, после лечения антивирусом попытка открытия флеш может выглядеть, как показано на рис 2. Такое сообщение обусловлено тем, что антивирус, скорее всего, удалил лишь исполняемый файл, оставив при этом autorun.inf лежать на своём месте.
2) Попытаться удалить заразу своими руками (чем мы сейчас и займёмся)
В самом простом варианте очищение от «чужого» подразумевает простое удаление исполняемого файла и файла автозапуска. Дабы не вводить читателя в дебри командной строки, наиболее резонным вариантом доступа к заражённой флеш-диску может стать Total Commander. Просто открываем «тоталом» флеш, устанавливаем параметры «Отображать скрытые файлы» и удаляем непрошенных гостей:

Рис.3 Непрошенные гости «тут как тут»
В тяжелых случаях пользователь может столкнуться со следующим:
Вирус попытается дезактивировать функцию отображения скрытых файлов и папок, что сделает невозможным увидеть «зло».
Выход: Запустить Поиск файлов на флешке, указав .inf как шаблон (не забыв при этом выставить условия «поиск скрытых и системных файлов»).
Инфицированный флеш-диск будет выглядеть «как здоровый» (в меню правой кнопки вы не найдёте жирной строки «автозапуск»). В этом случае, однако, могут иметь место странности в меню диска: непонятные иероглифы и так далее, что также говорит об инфекции.
Не исключён и вариант, когда в меню флеш будет всё в порядке, но открытие диска займет подозрительно большое время или при открытии выскочит ошибка — в любом из подобных случаев будет не лишним просмотреть диск на наличие уже упомянутого autorun.inf.

И напоследок, рассмотрим на живом примере один из таких вирусов (если быть более точным троянов) Kesha.exe, который уже получил статус «народного любимца».
В корне инфицированного флеш-диска располагается уже нам знакомый autorun.inf такого содержания:

UseAutoPlay=1
shellExecute=Recycled\KESHA.EXE
Здесь же на диске — скрытая папка Recycled. В ней два файла — исполняемый Kesha.exe и текстовый файл Nosferatu.txt с довольно оригинальным «напутствием»:
Смотри же и глазам своим не верь.
На небе затаился чёрный зверь.
В глазах его я чувствую беду…

Рис.4. Касперский распознал нашего «Кешу» как модификацию Heur.Trojan.Generic
Говоря о заразе передающийся через авторан, уместно будет напомнить, что существует, по-крайней мере, два радикальных способа забыть о вирусах передающихся через флеш-драйв. Один из них — это отключение поддержки USB на аппаратном уровне: заходим в BIOS/выбираем Integrated Peripherals/USB Host Controller/Disabled. Понятно, что таким способом можно воспользоваться, если вы не намерены пользоваться флешкой на локальном машине. Есть и другие варианты защиты от авторан-вирусов. А почему бы просто не отключить автоматический запуск содержимого? Для этого:

Пуск/Программы/Стандартные/Командная строка/вводим gpedit.msc
В появившемся окне групповой политики выбираем: Административные шаблоны/Система/Отключить Автозапуск

Рис. 5 Отключаем автозапуск
Ну что ж, вот, пожалуй, и всё. Здоровья вам и вашему компьютеру.
Олег Бойцев