Защита флешки от вирусов: отключение функции автозапуска

Из этой статьи вы узнаете, как обезопасить вашу флешку от всевозможных вирусов и вредоносного ПО, как убрать автозапуск программ. Выберем надежное средство защиты и, при необходимости, вылечим уже зараженный usb flash накопитель, используя для этого эффективные инструменты. 

Функция автозапуска, или autorun, хороша тем, что при вставке или подключении носителя операционная система сама решит, что делать с данными. «Умный» проигрыватель начнет воспроизведение DVD, музыкальный плейер самостоятельно подхватит список музыки. В случае со смешанным содержанием, в идеале, должна появиться удобная оболочка-меню… Конечно, все это весьма удобно. Особенно для пользователей, которые с компьютером только «на вы» и слабо ориентируются в навигации. Однако же есть категория людей, которая autorun’ом не пользуется и отключает его всеми возможными способами. Зачем, как — об этом мы сегодня и поговорим.

Что такое автозапуск программ

По сути, autorun — это текстовый файл, содержащий в себе путь к исполняемому файлу. Под которым может скрываться все, что угодно, в том числе и вирусы. Мы уже не раз писали о том, что в последнее время autorun-вирусы все чаще дают о себе знать. Свое название они получили ввиду того, что распространяются они на flash-накопителях. Не через CD или DVD, не через файлы, а вот таким «изощренным» способом. Это гарантирует им широкую область распространения, ведь круг устройств, которые используют в своей работе флеш-память, многообразен. Это и мобильные телефоны, и аудио-, и видеоплейеры. Но чаще всего компьютеры, для которых autorun-вирусы и представляют основную угрозу.

Сама мысль о том, что флешка может быть рассадником вирусов, вызывает некий дискомфорт. Здесь мы и подошли к главному вопросу: а можно ли заблокировать съемный носитель от записи на него вирусов? Возможно все. Раз уж мы заговорили о вирусах, было бы дурным тоном не затронуть тему борьбы с ними.

Первые признаки заражения вирусами

На flash-устройствах, в отличие от CD и DVD, можно производить любые файловые операции, вплоть до форматирования. Итак, вирус копируется на флешку. Первым признаком этому — появившийся в корне диска файл autorun.inf.

Как только вы вставите носитель в USB-разъем, срабатывает механизм автозапуска. По двойному нажатию на значок флешки в Проводнике запускается приложение, путь к которому был указан в autorun.inf. Вирус загружается в оперативную память и копирует файлы в системную область диска. Вычислить программу в процессах диспетчера задач чаще всего невозможно, так как вирусы маскируются под важные процессы: services.exe, lsass.exe и т. п, без которых ОС не может работать в принципе.

Заражение происходит мгновенно и незаметно для пользователя. Взять, например, действия вируса Trojan-Downloader.Win32.VB.hkq. Все папки на flash-устройстве он делает скрытыми и заменяет их одноименными исполняемыми файлами. Если в Проводнике отключен показ расширения файлов, отличить файл от каталога невооруженным глазом невозможно, поскольку exe-файлам присваиваются значки с изображением папок Windows.

Отключение функции автозапуска Windows

По умолчанию, когда вы вставляете в CD/DVD-ROM-устройство диск, Windows запускает оболочку диска или спрашивает, в каком приложении его открыть. То же касается любых запоминающих устройств, вплоть до фотоаппарата и видеокамеры.

Многие пользователи находят данную функцию бесполезной и навязчивой. Вдобавок к тому некоторые вирусы прописывают себя в автозапуск, что заставляет задуматься над безопасностью автозапуска. Самый быстрый и верный способ – отключить его через редактор Реестра.
  1. Запустите Редактор реестра.
  2. Откройте ветвь [HKEY_LOCAL_MACHINE\SYSTEM\Current Control-Set\Services\CDRom] и измените параметр Autorun с 1 (включить) на 0 (выключить).
  3. Перезагрузите компьютер.

Как убрать автозапуск программ с помощью msconfig

Универсальный способ отключения автозапуска программ и сервисов следующий. В Windows 7 за автозапуск программ  отвечает надстройка msconfig. Откройте диалог «Выполнить» (Пуск — Выполнить) и запустите утилиту msconfig, введя это слово в текстовом поле и нажав Enter. Во вкладке «Сервисы» (или «Службы») найдите службу «Определение оборудования оболочки» и отключите ее, сняв соответствующий флажок. Следует заметить: пользы от того, что вы отключите автоматический запуск, будет немного, поскольку вирус так или иначе заявит о себе. Впрочем, программная дезактивация автозапуска не гарантирует защиту от «нечисти».

Разбираемся, как убрать программу из автозапуска

При самостоятельном поиске следов деятельности вируса, первым делом, нужно включить показ скрытых файлы. Для этого идем в Проводник Windows и в меню Сервис -> Свойства папки, во вкладке “Вид”, в дополнительных параметрах, выставляем флажок “Показывать скрытые файлы и папки”.

Если после этого в корне диска вы увидите файл autorun.inf, то это верное свидетельство того, что ваша флешка инфицирована. Кроме того, на диск записываются папки и файлы с названиями, которые создавали явно не вы. Какие файлы нужно удалить в обязательном порядке:

- файлы autorun.*, где * – это любое расширение файла; – неизвестные файлы с расширениями .inf .com .sys .tmp .exe; – папки RECYCLER или RECYCLED.

Совет: если вы хотите стереть с флешки зараженный файл, а он никак не удаляется, воспользуйтесь программой Unlocker.

Не факт, что данный способ поможет вам справиться с задачей, но может «очень повезти», и вирус не восстановится.

Будьте внимательны: безбоязненно можно удалять только те файлы, которые не составляют для вас никакой важности. В то же время, копировать данные к себе на компьютер мы не рекомендуем, т. к. во вложенных папках могут содержаться инфицированные данные. Убедитесь, чтобы в папках не было файлов с непонятным расширением, поскольку вирус может заменить папки исполняемыми файлами и скрыть их от ваших глаз. В Проводнике нужно выставить показ расширения файлов: меню Сервис -> Свойства папки, вкладка “Вид”, в дополнительных параметрах убрать флажок “Скрывать расширения для зарегистрированных типов файлов”.

Может возникнуть проблема с атрибутами файлов, а именно: не отображаются скрытые файлы, даже если включить их показ. Это еще одна проделка вирусов. Откройте реактор реестра и в ключе CheckedValue ветви [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\] замените значение «0» на «1».

Для надежности флешку можно отформатировать. Никакой пользы, однако, от этого не будет: удаляйте/не удаляйте, а при следующей вставке флешки вирус, подобно Фениксу, возродится.

Есть один способ защитить носитель от некоторых autorun-вирусов. Он достаточно прост и, по отзывам пользователей на software-форумах, позволяет вообще забыть о данной проблеме (но это ложное рассуждение). На флешке нужно создать папку (именно папку!) autorun.inf. В таком случае операционная система, теоретически, не разрешит ни одному процессу создать одноименный файл. Но есть вирусы «похитрее», которые обходят данный тип защиты, удалив каталог и перезаписав вместо него файл autorun’а. Поэтому и описанный способ, увы, бесполезен, т. к. он не полностью застрахует от проникновения вирусов на флешку…

Как видите, мы перечислили несколько советов, но каждый из них по отдельности безуспешен. Вообще, механизм поиска вирусов достаточно сложен, и ручное удаление и защита — это подчас рутинное и безуспешное занятие. К тому же, если вы не достаточно опытный пользователь, вы рискуете удалить «что-то не то». Ошибочное удаление важного системного файла или ключа в реестре может обернуться плачевно. Но — должны вас обрадовать! Совсем не обязательно вручную удалять вирусы. Существуют программы куда более эффективные, чем наши мероприятия.

Выбираем надежный антивирус для флешки

Наверное, первым в списке программ было бы логично указать какой-нибудь популярный и эффективный антивирус, например, NOD32 (www.esetnod32.ru). Объективности ради можно упомянуть:

Важно! Как проверить флешку на вирусы онлайн?

К слову, вышеупомянутые антивирусные комплексы (Kaspersky и Доктор Веб), через официальный сайт, предлагают также проверить флешку на вирусы онлайн. Удобство онлайн-проверки заключается в том, что вам не нужно устанавливать ресурсоемкие антивирусы на свой компьютер. Кроме того, данная услуга бесплатна. 

Скачать антивирус Microsoft Security Essentials

Как показала практика, обновление антивируса не помешает. Разработчики не дремлют, и наиболее распространенные autorun-вредители флешки уже имеются в базе. С большой долей вероятности их даже можно найти и ликвидировать. Тем не менее, антивирус — не панацея от всех бед.

В сущности, autorun-вирусы могут быть практически безвредными (если не считать влияния на нервную систему пользователей) и не распознаваться антивирусными программами. В таком случае можно и нужно воспользоваться программами, которые обрабатывают usb-носитель таким образом, чтобы на него не смогла скопироваться информация для автозапуска. Это не совсем программы для удаления вирусов (см.  список выше), тем не менее, отличная альтернатива для обеспечения безопасности для вашей флешки. 

Panda Research USB Vaccine: противовирусная вакцина для флешки

Одна из вспомогательных программ — Panda Research USB Vaccine. Она признана одной из наиболее эффективных в своем роде. Суть метода состоит в том, что программа записывает на флешку «свой» autorun.inf, который уже не может быть переписан вирусами, как бы они не старались.

Panda - антивирус для флешки
Panda Research USB Vaccine - популярный антивирус для usb-флешки

Рассмотрим программу в действии. Устанавливать ее не нужно, достаточно согласиться с условиями лицензии. После запуска появляется окно, в котором предлагается выбрать устройство для обработки. Как правило, ничего выбирать не нужно, если в данный момент вы работаете только с одним съемным носителем. На всякий случай удостоверившись, что буква диска правильная, нажимаете Vaccinate USB — и готово. Об autorun-вирусах можно забыть!

У Panda USB Vaccine есть один недостаток: программа работает только с устройствами, отформатированными в файловой системе FAT и FAT32.
Совет. Выполнить перевод из одной файловой системы в другую средствами операционной системы можно следующим образом: Пуск — Выполнить, «convert x: /FS:NTFS», где «x» — буква съемного носителя.

Аналогичные функции по модификации autorun.inf предоставляют программы Flash Disinfector и USB Disk Security. Первая создает в корне диска папку AUTORUN.INF с файлом, который нельзя удалить простым способом. Вторая создает папку autorun.inf с модифицированным путем, что вводит всякий вирус в недоумение. Тем самым обе программы предохраняют флешку от записи на нее вирусов.
Еще одна полезная и небольшая программа по борьбе вирусами, о которой стоит упомянуть – Autostop.

Защита флешки от записи новых файлов и вирусов

У данной утилиты (скрипта) в запасе имеется 3 функции:

  1. Отключение autorun на компьютере,
  2. Защита флешки от autorun-вирусов,
  3. Защита от записи на флешку новых файлов.

Работа с программой до невозможности проста. Запускаете скрипт и видите список функций. Затем нажимаете одну из трех клавиш: 1, 2 или 3. Можно нажать их по порядку, чтобы включить сразу все опции.

Отдельно должны сказать о функции под номером 3. Зачем защищать брелок от записи, если есть команды 1 и 2? И как работать с флешкой, если ее основная функция, по сути, урезается? Все объясняется просто. В частных случаях флешка используется как загрузочный диск. Если отключить автозапуск, тогда она не сможет выполнять свои обязанности. Вот в таком случае и пригодится функция под номером 2. При этом все свободное пространство флешки будет заполнено, что предотвратит ее от произвольной записи файлов.

Антивирус Flash Guard

Flash Guard - еще один антивирус на флешку. Flash Guard позволяет гибко настроить автозапуск, программа делит компьютерные устройства на съемные, несъемные, сетевые и другие. В настройках можно включить/отключить автозапуск в целом или настроить действия при вставке носителя в частности. Какие это действия?

  • Удаление добавленных файлом Autorun.inf пунктов в контекстном меню диска
  • Информирование пользователя о наличии на диске файла Autorun.inf
  • Удаление файла Autorun.inf
  • Удаление всех файлов Autorun.*

Программа Flash Guard работает практически незаметно, сворачиваясь в область уведомлений.

Полезные советы

Завершая обзор, упомянем «самых маленьких» — программу “USB“http://sputnik70.narod.ru/usb.html. Даже в скромные 10 Кб кода, как оказалось, можно вместить самое необходимое для борьбы с вирусами. Опять же, программа предназначена для слежения за autorun.inf файлами. USB находится в оперативной памяти и при подключении новых дисков автоматически переименовывает находящиеся на флешке файлы autorun.inf в autorun.inf_renamed. В результате «значительно снижается вероятность заражения компьютера вирусами распространяющимися через flash-накопители» — как говорится в руководстве.

Эту и предыдущую программы объединяет то, что они защищают не флешку, а отдельно взятый компьютер. Вообще, мы настоятельно рекомендуем совмещать методы защиты от autorun-вирусов: во-первых, вакцинировать флешку, во-вторых — устанавливать на компьютер антивирус и, в обязательном порядке, одну из вышеупомянутых программ.

Напоследок — несколько советов по теме. Соблюдая их, вы наверняка обезопасите свой компьютер от autorun-вирусов.

  1. По возможности, никому не давайте свой флеш-брелок в личное пользование. Тем самым вы обезопасите себя от autorun-вирусов. А если уж и есть желание поделиться, не забудьте скопировать все важные данные с флешки себе на компьютер.
  2. Если вирусы заблокировали доступ к файлам или запись на флешку стала невозможной, см. руководство, как снять защиту с флешки
  3. Проверяйте накопитель на вирусы сразу после вставки в USB-гнездо, выбрав из контекстного меню команду сканирования.
  4. По возможности, не открывайте сменные носители двойным кликом или через окно «Открыть…». Используйте при работе файлменеджер Total Сommander или другие файловые менеджеры.
  5. Сейчас это редкость, но на некоторых flash-устройствах производители помещают кнопку защиты от записи файлов. Если вы копируете информацию с флешки на компьютер (а не наоборот), было бы не лишним переключиться в данный режим.  
  6. Если зажать Shift на 10 секунд при подключении съемного носителя, автозапуск не сработает, даже если данная функция на компьютере активирована.

Компьютерная помощь: задайте свой вопрос

Укажите email, на который я смогу выслать ответ на ваш вопрос