1. Угроза
Допустим у Вас стоит антивирус, пусть даже с последними обновлениями, и
Вы собираетесь подключить к USB флешку, и, естественно, не уверены что
на ней нет вирусов. Как поступить в этом случае, ведь наличие обновленного
антивируса не дает никаких гарантий, что вирус не проникнет на компьютер?
Элементарные правила "Как не подцепить вирус с USB флешки":
Необходимо обнаружить и удалить вирус прежде чем он будет запущен автозапуском.
1. А, т.к. файлы вирусов, как правило, скрыты, для этого нужно, чтобы был включен показ скрытых файлов
(будь то в Проводнике, либо в Тотал Коммандере).
2.1. Если Вы пользуетесь TotalCommander, то просто открываете съемный диск и ищете подозрительные файлы.
2.2. Если Вы пользуетесь Проводником, то ВАЖНО открыть съемный диск не в панели обзора, а
в дереве каталогов (кнопка "Папки" на панели). Т.к. если Вы щелкните на значок съемного
диска в дереве каталогов, то в панели обзора покажется содержимое диска. А если вы
щелкните на значок съемного диска в панели обзора, то сработает автозапуск и вирус
будет запущен!
3. В первую очередь удалите файл autorun.inf - т.к. именно он отвечает за запуск содержимого съемного диска.
4. Далее удалите остальные подозрительные файлы (они как правило "скрытые", поэтому их не трудно определить).
Проверить USB флешку антивирусом можно как до так и после перечисленных действий.
Рекомендуется отключить автозапуск съемных накопителей (USB флешек).
При этом вирус не будет автоматически запущен при подключении съемного диска,
однако вероятность ручного запуска остается.
Здесь перечислены способы отключения автозапуска съемных накопителей.
К слову об антивирусах. Бытует мнение, что если "руки растут из правильного места" и если "голова тоже правильная", то антивирус и не нужен вообще.
Ну да, если ограничить использование компьютера, ограничить возможности браузера интернет,
ограничить возможности операционной системы и т.д., то шансов у вирусов будет все меньше и
меньше. Но стоит ли оно того? Все ли будет предусмотрено? Скорее всего - нет. Поэтому антивирус
является помощником, да, помощником, а не панацеей от всех бед!
2. Заражение
Что делать, если вирусы уже поселились в Вашем компьютере?
Нет, не спешите переустанавливать
MS Windows, это не поможет. Сначала нужно вирусы обезвредить.
Здесь, скорее всего, не обойтись
без антивируса, пусть не "свежего" обновления баз, но ни как не 2 - 3-х месячной давности.
Наличие антивируса еще далеко не означает, что Ваш компьютер защищен, все зависит
от давности обновления вирусных баз этой антивирусной программы.
Так если у Вас стоит антивирус с обновлением двухлетней давности,
то от него пользы практически ни какой нет.
3. Последствия
Часто после обнаружение и лечения вирусов компьютер ведет себя неадекватно.
Например, в проводнике, при попытке открыть диск появляется диалоговое
окно выбора программы для открытия диска! В данном случае явно что программа,
которой Windows пытается открыть диск, удалена. Антивирусная программа удалила
программу-вирус, а ссылки на запуск этой программы остались.
Или, например, проводник не дает возможность включить показ
скрытых файлов. Т.е. вы включаете показ скрытых файлов, а файлы не
только не отображаются, но и настройка показа скрытых файлов сбрасывается.
Бывает что антивирусы удачно устраняют подобные последствия работы/удаления
вирусов, но практика показывает, что не сразу, не всегда и не всеми антивирусами.
4. Выздоровление
Если Вы столкнулись с вышеописанными последствиями, то их можно исправить. Подобные последствия
обычно встречаются после заражения вирусами, подобными fun.xls.exe, распространяющимися
через съемные накопители.
Чтобы исправить эти последствия нужно выполнить последовательность команд по удалению
файлов автозапуска и внесению изменений в реестр Windows.
Вот они:
1. Удалям со всех дисков из корня файл "autorun.inf"
2. Запускаем редактор реестра
2.1. Ищем раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
- удаляем все содержимое этой папки в реестре
2.2. Ищем раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- устанавливаем следующие параметры в значение 1: "Hidden", "SuperHidden", "ShowSuperHidden"
2.3. Ищем раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- устанавливаем следующий параметр в значение 1: "CheckedValue"
Наслаждаемся обзором скрытых файлов.
Если доступ к реестру закрыт в результате работы вируса, то открыть доступ можно выполнив из командной строки:
3. Восстанавливаем доступ к редактору реестра
start REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
4. Восстанавливаем доступ к диспетчеру задач
start REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
Или все это, оформленное в один командный файл (батник):
RestoreShowHidden.cmd, упакованный в архив: RestoreShowHidden.zip: 0,8 Kb
|