Форум программистов, компьютерный форум, киберфорум
Наши страницы

Batch (CMD/BAT)

Войти
Регистрация
Восстановить пароль
 
 
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
#1

AntiHidden - Удаление последствий вируса (поддельные "фейковые" папки на флешке) - CMD/BAT

16.11.2012, 06:29. Просмотров 17100. Ответов 30

--- AntiHidden ---

Программа для удаления последствий действия вредоносного ПО на съемном накопителе.

Разработчик: Польшин Станислав.
В программе использована служба USBDLM от Uwe Sieber.

======== Назначение =======

- Если Ваша флешка побывала на компьютере с вирусом, скрывающим папки, а вместо них - теперь ярлыки.
- Вы хотите, чтобы на флешке физически нельзя было создать autorun.inf, который дает команду на автозапуск паразитов.
- Вся информация с флешки перемещена вирусом в папку с "пробелом".

Тогда эта программа для Вас.

Программа устанавливается на компьютер в виде сервиса.
Каждый раз, когда Вы подключаете к ПК флешку, происходит ее лечение.


======== Установка ========

1. Распакуйте архив Anti_Hidden.zip
2. Запустите установщик Установить AntiHidden.vbs

При желании Вы можете отключить автозапуск со все съемных накопителей, кроме CD-ROM.
Программа спросит Вас об этом.

Если Вам не нужно каждый раз открывать окно проводника по завершении сканирования,
зайдите в меню "ПУСК", "Все программы", "AntiHidden"
и выберите пункт "Не открывать проводник после лечения флешки".


========= Описание работы =========

- Удаление файлов с расширением *.lnk (ярлыки), имя которых соответствует имени папки.
- Снятие атрибутов "скрытый", "системный" с папок в корне флешки.
- Перенос информации из "невидимой папки" (папки с символом 0xA0) в корень флешки (при совпадении имен файлы не заменяются, а дописываются цифры в скобках).
- Удаление файла автозапуска "autorun.inf".
- Создание папки "autorun.inf" (контр-мера против дальнейшей возможности создавать файл autorun.inf)
- Удаление модифицированных системных папок "recycled", "recycler", "System Volume Information" из корня флешки.
- Удаление дополнительных обычно вспомогательных вредоносных файлов (System, Game.cpl), а также desktop.ini, Thumbs.db и *.init
- Переименование файлов *.LNK в *.LNK_


======= Лицензионное соглашение ======

Программа AntiHidden может быть использована свободно в личных некоммерческих или образовательных целях.
Перепубликация на другие ресурсы без разрешения автора запрещена.
Модификация кода запрещается.
С лицензией на программу USBDLM, вместе с которой работает AntiHidden, можно ознакомится по этой ссылке: http://www.uwe-sieber.de/usbdlm_e.html
8
Вложения
Тип файла: zip Anti_Hidden.zip (766.7 Кб, 98 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
16.11.2012, 06:29
Я подобрал для вас темы с готовыми решениями и ответами на вопрос AntiHidden - Удаление последствий вируса (поддельные "фейковые" папки на флешке) (CMD/BAT):

"Удаление из текущей папки подпапок..." - CMD/BAT
Удаление из текущей папки подпапок с именами group2, group4, ..., group10, если папка не существует выдать соответствующее сообщение. ...

Почему в начале вывода команды DIR указываются две папки с именами "." и "..", хотя их нигде нет? - CMD/BAT
Привет. Почему в выдаче в начале первые две папки имеют имена "." и "..", хотя их нигде нет?

Удаление программы, не содержащейся в списке в окне "Установка и удаление программ" - CMD/BAT
Угораздило как-то установить Photoshop CS6 Extended. Понадобилось удалить (отдельная история). Ни в штатном "Установка/Удаление...

Создать папки с именами, взятыми из "1.txt", а в каждой из них создать файл со строками, взятыми из "2.txt" - CMD/BAT
Добрый день господа! Задачка передо мной стоит следующая: 1. Есть 1.txt с названиями папок в столбик 2. нужно поместить в...

Удаляем/добавляем папки в окне "Этот компьютер" в Windows 8.1 - CMD/BAT
недавно начал изучать сей язык программирования зацените скрипт в архиве: (может будут какие-то пожелания\наставления\рекомендации жду...

Запуск программ "от имени" без создания папки профиля - Администрирование Windows
Здравствуйте. Имеется домен, администратор домена (mydomain\admin1) обладает правами локального администратора на рядовом компьютере....

30
gimntut
879 / 182 / 15
Регистрация: 18.07.2011
Сообщений: 257
16.11.2012, 08:55 #2
Цитата Сообщение от Dragokas Посмотреть сообщение
Как удалить созданную программой папку Autorun.inf
- Не скажу А вообще проще отформатировать флешку
Удалять проще, но только потому, что я знаю как это делать.
В этом сильно помогает dir /x. Если кому-то это помогает мало, то...
... проще отформатировать флешку.
0
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
16.11.2012, 12:45  [ТС] #3
Цитата Сообщение от gimntut Посмотреть сообщение
Удалять проще, но только потому, что я знаю как это делать.
Для NTFS придется писать много букафф
Да и вирус не будет заморачиваться.

Ну, а Dir /x кроме .. то ничего полезного больше не напишет. Для этой папки быстрее уж сразу .\
0
gimntut
879 / 182 / 15
Регистрация: 18.07.2011
Сообщений: 257
16.11.2012, 14:42 #4
Цитата Сообщение от Dragokas Посмотреть сообщение
Для этой папки быстрее уж сразу .\
Что-то я не уловил про ".\"

Цитата Сообщение от Dragokas Посмотреть сообщение
Для NTFS придется писать много букафф
Всё намного проще, вкладка "Безопасность" в проводнике легко снимает все ограничения.

Один раз мне попался вирус, который использовал один предложенных приёмов для собственной защиты.
Поэтому было интересно попробовать удалить файлы из папки autorun.inf
Уложился в 10 минут:
1 минута на "Dragokas."
2 минуты на "defence"
и 7 минут на "com1"
0
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
16.11.2012, 17:08  [ТС] #5
Гы, а у меня GUI "свойства папки" от "defence" не открывается вообще.

.\ - ну это когда задаваемый параметр заканчивается слешем, заместь просто указать папку.

Цитата Сообщение от gimntut Посмотреть сообщение
1 минута на "Dragokas."
2 минуты на "defence"
и 7 минут на "com1"
Формат флешки - 5 сек.

gimntut, папку с 2 символами .. не пробовал создавать?
0
magirus
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
27740 / 15644 / 942
Регистрация: 15.09.2009
Сообщений: 67,835
Записей в блоге: 78
16.11.2012, 17:24 #6
Dragokas, я пробовал... в семерке - создается. в ХП - нет
0
gimntut
879 / 182 / 15
Регистрация: 18.07.2011
Сообщений: 257
16.11.2012, 19:41 #7
Цитата Сообщение от Dragokas Посмотреть сообщение
Формат флешки - 5 сек.
Я на создание мультизагрузочной 16-гиговой флэшки потратил 3 часа.
Чего-то не хочется из-за 10-минутной экономии, повторять эту операцию
Цитата Сообщение от Dragokas Посмотреть сообщение
gimntut, папку с 2 символами .. не пробовал создавать?
Не пробовал. Мне по работе приходится пользоваться стандартными средствами. Хорошая система должна работать даже в отсутствие создателя.
А вот находить решения для обхода нестандартных проблем - это я люблю. Но случается это не часто.
Цитата Сообщение от Dragokas Посмотреть сообщение
Гы, а у меня GUI "свойства папки" от "defence" не открывается вообще.
В папке autorun.inf "Заменить разрешения дочерних объектов...". Тадам!!!
1
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
19.11.2012, 02:50  [ТС] #8
19.11.2012 Вышло обновление безопасности 1.5.1. - большая просьба перекачать скрипт.

Также вышел перевод на русский язык.

Скачать в теме: Полезные BAT/CMD скрипты

Список изменений:

Исправлен баг, когда при запуске скрипта ПКМ "От имени Администратора" обрабатывались системные файлы ОС вместо файлов в текущей папке (данная проблема очень актуальна для многих батников).

Исправлена проблема с определением наличия вирусных ярлыков с закрытыми правами доступа к чтению файлов.
Такое возникало из-за возврата ErrorLevel==0 командой DEL, при возникновении StdErr=="В доступе отказано."

"Закавычены" папки в некоторых командах, это ранее могло привести к некорректной работе с папками, в именах которых был пробел.
0
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
25.06.2013, 02:57  [ТС] #9
Давно сделал версию 1.6.

Только не дописал:
- защиту от дурака, чтобы на рабочем столе не запустили.
- отключение автозапуска со съемных носителей в системе.

Основные изменения:
- обезвреживание червяка Worm.Bundpil (когда содержимое флешки оказывается в папке с невидимым именем - символ 0xA0).
Включен функционал удаления EXE-файлов во всех временных папках компьютера,
- Добавлен полный "тихий" режим. Настройка в самом начале кода: Set Silent=true. Изменять файл только спец. редактором, например: Русский текст в консоли
Вот эти файлы удаляются на флешке без спроса: game.cpl, system, Все *.lnk, *.init, desktop.ini и папки recycled, recycler, System Volume Information.

Также сейчас разрабатывается новая версия для блокировки папки "autorun.inf" на уровне MFT.
0
Вложения
Тип файла: rar Anti_Hidden_fast_ru_v.1.6.rar (4.3 Кб, 162 просмотров)
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
12.12.2013, 23:52  [ТС] #10
Оновил до версии 1.6.1. (12.12.2013)

- перенос данных из папки с "мнимым пробелом" (на этот раз добавил символ 0xFF)
- запрет запуска с рабочего стола.
- защита, чтобы не запустили не из корня флешки (он спросит Вас).
2
Вложения
Тип файла: zip Anti_Hidden_fast_ru_v.1.6.1.zip (4.7 Кб, 101 просмотров)
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
15.12.2013, 03:19  [ТС] #11
Обновлен до версии 1.7. (15.12.2013)
- Удаление только ярлыков, соответствующих именам папок.
- Убрал прогрессбар.
- Убрал удаление EXE в %appdata% и %temp%.
- Теперь корректно обрабатываются файлы/папки с любыми спецсимволами.
- Скрипт на много упростил и полностью пересмотрел.

Описание обновлено.
Ссылка для скачивания теперь всегда в первом посте этой темы.
1
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
27.02.2014, 02:43  [ТС] #12
Цитата Сообщение от Borstch
если Вы ещё продолжаете работу над новыми версиями своего батника, то возможно захотите дополнить его новыми функциями:
1) Возможность установить запрет на запись в корень носителя (Только для NTFS томов, через права. Для работы в опасных средах, если точно уверен, что придётся вставить флешку в зараженную машину).
2) Перед удалением вредоносного файла Autorun.inf считать в нём параметр OPEN и удалить указанный в нём вредоносный файл на носителе. Думаю, для оптимизации можно сначала сделать проверку "чем является Autorun.inf" (если папкой, то пропускаем, а если файлом - то пытаемся открыть его и считать параметр OPEN)
1) Современные вирусы давно научились обходить эту защиту. Поэтому неактуально. Только себе лишние неудобства.
2) Можно, но только с дополнительной проверкой, что параметр ссылается на текущее съемное ус-во, иначе велика вероятность удалить легитимный файл у себя в системе. А также что целевой файл является исполнительным, дабы застраховаться от разного мусора в параметре, например маски, по которой батник снесет на уст-ве все данные.
Также потребуется учитывать, что параметров может быть несколько через разделитель.
0
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
21.11.2014, 01:27  [ТС] #13
Шапка обновлена.

Версия 1.8 от 20.11.2014
- Добавлен установщик.
- Управление AntiHidden предоставлено службе USBDLM от Uwe Sieber:
1. Она автоматически запускает AntiHidden при подключении флешки к компьютеру
2. AntiHidden лечит съемный накопитель
3. Открывается окно проводника (можно отключить через ПУСК -> Все программы -> AntiHidden)
- Добавлено переименование всех LNK-файлов в корне носителя на *.LNK_ (защита от уязвимости CVE-2010-2568).
- Убран рекурсивный поиск процесса Host.exe.
- Если при переносе объектов из "невидимой" папки будут находится одинаковые имена файлов,
то запрос на замену у пользователя больше не спрашивается, а происходит копирование под свободным именем файла (с новой цифрой в скобках).
- Опция Silent удалена за отсутствием необходимости.
- Редизайн сообщений. Убрано сообщение "Для ускорения операции можно временно отключить антивирусное ПО."
- Исполняемый файл переименован в "_Anti_Hidden Удаление последствий вредоносного ПО на флешке.cmd"
- Папка для хранения объектов, которые не удалось перенести теперь называется "_AntiHidden - Ваши файлы".
0
SeregaSPb
0 / 0 / 0
Регистрация: 06.03.2015
Сообщений: 6
24.01.2016, 07:17 #14
Спасибо за интересное решение. Кстати, HP USB Format Tool тоже помогает от скрытых папок, но в отличии
Возможно доработать код, чтобы изменять такие параметры, как %DevName% %DeviceName% %FriendlyName% %DriveDeviceId% и другая кастомизация флеш-накопителей?
Цитата Сообщение от Dragokas Посмотреть сообщение
При желании Вы можете отключить автозапуск со все съемных накопителей, кроме CD-ROM.
А не может эта функция отрицательно сказаться на пользователей виртуальных приводов (типа DaemonTools)?
0
Dragokas
Эксперт WindowsАвтор FAQ
16600 / 6985 / 845
Регистрация: 25.12.2011
Сообщений: 10,781
Записей в блоге: 16
24.01.2016, 16:44  [ТС] #15
SeregaSPb, спасибо за отзыв.
Цитата Сообщение от SeregaSPb Посмотреть сообщение
HP USB Format Tool тоже помогает от скрытых папок
С помощью форматирования?
Цитата Сообщение от SeregaSPb Посмотреть сообщение
А не может эта функция отрицательно сказаться на пользователей виртуальных приводов (типа DaemonTools)?
В системах Vista и выше автозапуск отключен по-умолчанию, если Вы об этом.
В целом прямой ответ: нет. Отключает автозапуск только устройств, которые определяются как съемные носители (в "Моем компьютере" будет пометка к диску - Тип "Съмный диск".).
0
24.01.2016, 16:44
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
24.01.2016, 16:44
Привет! Вот еще темы с ответами:

Избавиться от сообщений "Файл не найден", "Системе не удается найти указанный путь", "Устройство не готово" - CMD/BAT
Здравствуйте. В батнике присутствует поиск файлов: for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do dir /b /s %%i:\lol*.*...

Очистка папки "Temporary Internet Files" - CMD/BAT
Выполняю такую команду Del /F /S /Q C:\Users\%Username%\AppData\Local\Microsoft\Windows\Temporary Internet Files пишет такую ошибку ...

Копирование определённого файла в папки "%USERPROFILE%\Application Data" всех пользователей компьютера - CMD/BAT
Здравствуйте. Задача скопировать файл в папку %userprofile%\Application Data всех пользователей на компьютере. То есть при запуске...

Блокировка папки "Сетевые подключеия" - Администрирование Windows
Всем доброго времени суток. На работе появилась острая необходимость заблокировать сетевые поключения, либо вообще доступ в папку сетевых...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru