Имеются ли вредоносные программы на флешках. Проникновение через USB. Как вы избавились от вируса на флешке

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки .

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».


Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:


Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить ).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

• cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
• attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: .

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

• сносим Windows (1,5-2 часа, самый быстрый способ);
• устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
• записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

• F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

В этой статье мы расскажем, как просто и быстро удалить вирус с флешки . Одним из самых распространенных семейств вирусов являются трояны, которые записываются в загрузочный системный файл autorun.inf . Признаком их присутствия на флешке могут быть файлы типа autorun.exe, autorun.~ex, autorun.inf_ *** и другие производные с еще более сомнительными раcширениями после точки. Вирус копирует себя на флешку, как только флеш накопитель будет вставлен в разъем USB.

Принцип действия вируса следующий. Попав в систему, он ищет все локальные диски и флэшки. После этого, на каждый найденный источник, копируются два файла — autorun.inf и autorun.exe. В свою очередь, autoran.inf содержит следующие строки:

А файл autorun.exe является исполняемым и служит для размножения вируса по возможным носителям. В реальности, исполняемый файл.exe может называться совершенно по-разному, например cyvvefew.exe, то есть с непонятным именем.

Признаки заражения флешки или карты памяти вирусом

Симптомы заражения Windows таким вирусом самые разнообразные:

• флешка просто не открывается
• не работает левая кнопка мыши
• в контекстном меню проводника вместо названия пунктов кракозябры.
• файлы на флешке могут пропадать

В общем, не проглядите 🙂 На самом деле, эти вирусы более безвредны, чем те, которые . И подхватить их можно либо не пользуясь антивирусом, либо с чужого зараженного компьютера.

Прямым указателем, что на флешке присутствует вирус, является наличие скрытой папки RECYCLED или RECYCLER. Подобной папки на флеш накопителе быть не должно.

Если же такая папка есть, то в ней наверняка находится исполняемый файл вируса ***.EXE.

Удаление вируса с флешки вручную

Обнаружить вирус простому пользователю сложно, поскольку файлы имеют статус системных, а значит, не отображаются при стандартном отображении файлов в Windows. Включить отображение скрытых файлов и папок в Windows просто. Для этого делаем следующее:

Windows 7: Пуск -> Панель управления -> Параметры папок -> закладка Вид -> показывать скрытые файлы, папки и диски

Windows XP: Пуск-> Панель управления -> Свойства папки -> закладка Вид -> показывать скрытые файлы и папки

Некоторые вирусы семейства Autorun отключают возможность изменения данного параметра. Тем не менее, если такая возможность осталась, то ключите отображение и удалите указанные файлы с помощью поиска по слову “autorun”.

Бесплатный антивирус Anti-Autorun поможет удалить вирус

Удалить вирус с флешки можно просто отформатировав ее. Естественно, будет необходима полная проверка системы. Обычно, такие вирусы не блокируют компьютер и не портят данные, поэтому их удаление будет не столь сложным. Но существует и более универсальный и простой метод.

Вы можете воспользоваться специально антивирусной программой, которая называется Anti-Autorun. Найти ее можно в поисковике. С помощью этой программы удалить вирус с флешки не составит труда. Этот антивирус является превосходным решением для мониторинга и борьбы с вирусами типа “ауторан”. Надеемся, что наши рекомендации помогли.

Комментарии (51)

• Mery

  • Смарт-Троникс

• Mawrak

  • Смарт-Троникс

  • komokppc

• Илона

  • Смарт-Троникс

  • Dante

• Сергей

  • Смарт-Троникс

• Съемные USB-устройства для хранения информации в виде самых обычных флешек воздействию вирусов подвержены в не меньшей степени, чем жестки диски с установленными на них операционными системами. И зачастую выявить присутствие такой угрозы или нейтрализовать ее бывает достаточно проблематично. О том, как убрать вирус с флешки и восстановить файлы (скрытые или зараженные), далее и пойдет речь. Для этого можно использовать несколько базовых методов. Однако перед тем как их применять, необходимо выяснить, с чем пользователь имеет дело. Как говорится, врага нужно знать в лицо!

  Какие вирусы и как чаще всего воздействуют на съемные USB-накопители?

  Вообще, угроз, которые чаще всего обосновываются на съемных накопителях, не так уж и много.

  Чаще всего на флешки воздействую вирусы-шифровальщики и трояны, которые просто скрывают от пользователя находящиеся там файлы и папки. Впрочем, данная категория угроз является, в общем-то, самой безобидной, поскольку информация в физическом понимании не уничтожается и с носителя никуда не девается. Таким образом, вместо привычной картины со всеми записанными на накопитель файлами и папками видит либо только неизвестно откуда взявшиеся ярлыки, либо не видит вообще ничего.

  Симптомы наличия заразы

  Убрать с флешки вирус, ярлыки и сопутствующие компоненты, обосновавшейся там, достаточно просто (на этом остановимся отдельно). Но для начала давайте посмотрим, как, собственно, определить, что на накопителе засел вирус. Сразу обратите внимание, что ярлыки вместо файлов и каталогов могут появляться не всегда. Иногда и доступ к накопителю может оказаться заблокированным по причине того, что операционная система его не видит. Но это встречается редко. В случае же, когда просмотр содержимого флешки возможен, первым делом в самом обычном «Проводнике» из меню вида включите отображение скрытых объектов.

  

  Если вирус на носителе информации есть, как правило, там будет присутствовать невидимый файл Autorun.inf, исполняемый EXE-объект, название которого чаще всего состоит из бессмысленного набора букв и символов, а также скрытая папка RECYCLER (она может присутствовать не всегда).

  

  Для верности перед выполнением подключения устройства к компьютеру или ноутбуку, в разделе автозапуска, находящемся в «Панели управления», для съемных носителей из списка выберите пункт «Не предпринимать никаких действий», что избавит вас от немедленного проникновения угрозы уже на стационарное устройство.

  Как убрать вирус с флешки простейшим методом?

  Для начала рассмотрим самое простое решение, немедленно приходящее на ум всем без исключения пользователям. Предположим, что на съемном устройстве важных данных нет, файлы пользователю не нужны, а их копии или оригиналы имеются на жестком диске или другом носителе. Как с флешки убрать вирус-троян? Элементарно! Для этого понадобится всего лишь выполнить полное форматирование, для чего подойдут даже штатные средства Windows-систем.

  Портативные сканеры

  Но давайте посмотрим, как с флешки убрать вирус без потери данных, если информация, хранящаяся на носителе чрезвычайно важна. Понятно, что вариант с форматированием явно не подходит. Так что же делать? Можно, конечно, попытаться удалить несколько вышеописанных объектов самостоятельно, однако далеко не факт, что файлы и каталоги будут восстановлены после заражения (имеется в виду, что вместо них отображаются ярлыки). Логично предположить, что для нейтрализации угрозы нужно использовать соответствующее антивирусное программное обеспечение. И лучше всего для этого подходят не штатные средства защиты (хотя можно воспользоваться и ними), а портативные утилиты, среди которых самыми мощными считаются Dr. Web CureIt! и KVRT. Сразу же обратите внимание на настройки таких программ. В них в качестве выполняемого при обнаружении вируса действия следует выставить не удаление зараженных объектов, что может сказаться на важных файлах пользователя, а по возможности лечение.

  Как с флешки убрать вирус, который создает ярлыки, вручную?

  Теперь несколько слов о том, что можно предпринять, если ни одного подходящего инструмента под рукой нет. Как с флешки убрать вирус в этом случае? Тут потребуется ручное вмешательство. Некоторые пользователи считают это весьма трудной и утомительной процедурой. Но на самом деле это не так. Первым делом через меню ПКМ проверьте свойства какой-нибудь папки, которая показана в виде ярлыка. Здесь на вкладке ярлыка обратите внимание на поле «Объект» - там может присутствовать длинный путь, в котором может быть вписано название ранее упомянутой директории RECYCLER (или какой-то другой) с добавлением названия EXE-файла. Указанную папку попытайтесь удалить самостоятельно. Если это окажется невозможным, воспользуйтесь утилитой Unlocker. После этого на всякий случай зайдите в каталог AppData пользовательской директории на жестком диске, затем проверьте папку Roaming, поскольку вирус может перекочевать туда, и после удаления со съемного носителя снова производить самопроизвольное копирование на флешку.

  Действия с атрибутами файлов и папок

  Но это только половина дела. Как с флешки убрать вирус целиком и полностью, чтобы и информация приняла свой прежний вид? Теперь потребуется произвести некоторые действия с атрибутами сокрытия файлов и каталогов, которые в свойствах любого из таких объектов снять невозможно (соответствующее поле с установленной на нем галочкой будет неактивным и помеченным серным цветом). В этом случае можно воспользоваться самым обычным «Блокнотом» с созданием исполняемого пакетного BAT-файла и вписать в качестве текста содержимое, показанное на изображении ниже.

  

  Можно поступить еще проще, воспользовавшись средствами командной консоли, которую следует запустить от имени администратора. В ней вписывается две команды с нажатием клавиши ввода после каждой из них (исходим из того, что флешка в «Проводнике» обозначена литерой «F»):

  • cd /d f:\;
  • attrib -s -h /d /s.

  Примечание: знаки препинания в конце после ввода показанных команд не нужны!

  Восстановление носителя сторонними утилитами

  Наконец, если вам не нравятся или не подходят способы удаления атрибутов и восстановления информации, описанные выше, можете воспользоваться специальными утилитами сторонних разработчиков.

  

  Если говорить о том, как убрать вирус с флешки в этом случае, неплохо подойдет небольшая программа USB Hidden Recovery, в которой нужно сначала задать полное сканирование, а затем выполнить восстановление.

  

  Если флешка все-таки была отформатирована, кто бы там что ни говорил, можно применить приложение R-Studio, использование которого может не дать желаемого результата разве что только в случае проведения низкоуровневого форматирования.

  Некоторые пользователи сталкиваются с неприятной ситуацией: файлы, которые были на флешке, после подключения к компьютеру пропадают. Если пользователь их не стирал самостоятельно, то вывод один – на флешке есть вирус, который не удалил, а только скрыл данные. Информацию можно восстановить несколькими способами.

  Отображение скрытых файлов

  После обнаружения пропажи информации первым делом нужно настроить в системе отображение скрытых файлов.

  Откройте съемный диск и посмотрите, какие данные теперь отображаются на флешке. Вероятнее всего вы увидите ярлыки и неизвестные исполнительные файлы вируса.

  Удаление вируса

  После настройки отображения необходимо удалить с флешки вирус, который скрывает данные. Для проверки накопителя используйте установленный антивирус или лечащие утилиты типа Dr. Web CureIT и Kaspersky Virus Removal Tool.

  
  

  Провести чистку флешки можно и вручную, удалив с носителя неизвестные файлы с расширением *.exe и ярлыки.

  Восстановление информации

  После настройки системы и удаления вируса можно приступать к восстановлению утраченных данных. Обычно вирус просто меняет атрибуты файлов, делая их скрытыми. Ваша задача – восстановить атрибуты к исходному состоянию или вовсе их сбросить, чтобы данные отображались в проводнике Windows. Попробуем восстановить атрибуты через командную строку:

  
  

  Процесс можно автоматизировать, создав BAT-файл. Скопируйте в блокнот текст такого вида:

  echo Please wait…

  attrib -s -h -r -a /s /d

  Назовите текстовый документ view и сохраните его с расширением *.bat – получится view.bat. Перенесите полученный файл на съемный диск, с которого пропали данные. Запустите Bat-файл. После изменения атрибутов данные, которые якобы удалил вирус, будут возвращены на съемный диск.

  Работа с FAT32

  Если у флешки установлена файловая система FAT32, то вирус мог пойти дальше и не просто спрятать данные, а переместить их в скрытый каталог E2E2~1. В таком случае порядок восстановления информации после её потери немного поменяется:

  
  

  После выполнения этих действий на флешке появится папка Folder; в ней будут файлы, которые вам удалось восстановить.

  Восстановление через файловые менеджеры

  Если после работы с командной строкой данные на флешке восстановить не удалось, то попробуйте найти их через файловые менеджеры. Сначала используйте Total Commander:

  
  

  Если Total Commander не помогает, используйте для изменения атрибутов программу Far Manager. У неё не такой удобный интерфейс, но свои функции она выполняет исправно:

  
  

  После отключения лишних атрибутов данные в окне файлового менеджера поменяют цвет с темно-синего на белый. Это значит, что файлы больше не скрыты, и вы можете открыть их на флешке.

  Специальные утилиты

  Так как проблема пропажи файлов после действия вируса достаточно распространена среди пользователей, есть специальный софт, позволяющий быстро восстановить информацию.

  Ситуация знакомая многим. Открываем флеш-карту и вместо наших файлов видим непонятные ярлыки, либо того хуже, не видим ничего. Однозначно сами собой скрытые файлы на флешке не появляются и причина тому вирусная атака. В этой статье мы подробно рассмотрим как открыть скрытые файлы на флешке, так же здесь вы найдете четкие рекомендации чтобы не допустить подобной проблемы в будущем.

  Скрытые файлы на флешке

  Проблема может проявляться несколькими способами. Сперва мы рассмотрим самый распространенный случай, когда вирус скрывающий файлы на флешке относится к семейству Autorun-вирусов. В этом случае все файлы и папки превращаются в ярлыки. Т.е. вирус всем папкам и файлам присваивает атрибуты системный и скрытый, и вместо наших файлов выставляет exe ярлык с таким же значком и именем папки. Если его открыть, то он окажется пустым.

  Открыть скрытые файлы на флешке Windows XP

  В этой ситуации вам необходимо открыть "Мой компьютер". На панели меню выбрать "Свойства папок" или "Параметры папок" в зависимости от версии, в открывшемся окне выбрать вкладку "Вид". Здесь нужно:

• - выбрать опцию "показывать скрытые файлы, папки и диски"
• - убрать галочку "скрывать защищенные системные файлы"



Далее нужно изменить атрибуты файлов чтобы они открывались на любом компьютере. Для этого воспользуемся программой Total Commander. Для начала необходимо зайти в меню "Конфигурация/Настройка". В появившемся окне переходим на вкладку "Содержимое панелей" и ставим галочку для функции "Показывать скрытые системные файлы". Нажимаем "Применить".





В открывшемся окне убираем галочки с атрибута "Системный" и "Скрытый". Нажимаем кнопку Ок.



Открыть скрытые файлы на флешке Windows 7

Здесь последовательность действий идентичная за исключением одного момента. Чтобы изменить параметры папок нужно открывать меню Пуск/ Панель управления/Оформление и персонализация/Параметры папок. В Windows xp мы открывали Мой компьютер.

Как открыть скрытые файлы на флешке

Тепер рассмотрим вторую ситуацию, когда вирус скрыл папки на флешке переместив их содержимое в папку с недопустимым именем. Т.е. вирус создает на флешке папку с именем к примеру "..". В windows запрещено использовать подобные символы в названии файла поэтому она не отображается. Раз она не отображается, соответственно не отображается то что было помещено в нее. Чтобы решить эту проблему нам нужно переименовать папку с таким именем. Для этого нужно воспользоваться командной строкой. Идем в папку C:/Windows/System32 находим файл cmd.exe и копируем его на флеш-карту. Запускаем, в открывшемся окне вводим команду:

где dir команда которая выводит содержимое каталога, ad выводит папки, а х имя каталога. Откроется окно с содержимым.



Теперь нужно переименовать папку с именем E2E2~1, для этого вводим команду:

Наш каталог переименуется в папку doc, именно ее мы найдем на флешке с исчезнувшими файлами.

В настоящее время существуют еще более коварные вирусы, которые просто удаляют файлы с флеш-карты. В этой ситуации восстановить данные могут помочь специальные программы такие как Recuva. Более подробно мы познакомимся с ними и научимся пользоваться в следующих публикациях так как вопрос достаточно обширный.

И напоследок несколько советов чтобы не допустить в будущем появления скрытых файлов на флешке. Первым делом проверьте Ваш компьютер на наличие вирусов заразивших флеш-карту, второе выличите сам USB накопитель, третье установите защиту от Autorun-вирусов.