AntiHidden - Удаление последствий вируса (поддельные "фейковые" папки на флешке)

Dragokas · Регистрация: 25.12.2011

Студворк — интернет-сервис помощи студентам

--- AntiHidden ---

Программа для удаления последствий действия вредоносного ПО на съемном накопителе.

Разработчик: Польшин Станислав.
В программе использована служба USBDLM от Uwe Sieber.

======== Назначение =======

- Если Ваша флешка побывала на компьютере с вирусом, скрывающим папки, а вместо них - теперь ярлыки.
- Вы хотите, чтобы на флешке физически нельзя было создать autorun.inf, который дает команду на автозапуск паразитов.
- Вся информация с флешки перемещена вирусом в папку с "пробелом".

Тогда эта программа для Вас.

Программа устанавливается на компьютер в виде сервиса.
Каждый раз, когда Вы подключаете к ПК флешку, происходит ее лечение.

======== Установка ========

1. Распакуйте архив Anti_Hidden.zip
2. Запустите установщик Установить AntiHidden.vbs

При желании Вы можете отключить автозапуск со все съемных накопителей, кроме CD-ROM.
Программа спросит Вас об этом.

Если Вам не нужно каждый раз открывать окно проводника по завершении сканирования,
зайдите в меню "ПУСК", "Все программы", "AntiHidden"
и выберите пункт "Не открывать проводник после лечения флешки".

========= Описание работы =========

- Удаление файлов с расширением *.lnk (ярлыки), имя которых соответствует имени папки.
- Снятие атрибутов "скрытый", "системный" с папок в корне флешки.
- Перенос информации из "невидимой папки" (папки с символом 0xA0) в корень флешки (при совпадении имен файлы не заменяются, а дописываются цифры в скобках).
- Удаление файла автозапуска "autorun.inf".
- Создание папки "autorun.inf" (контр-мера против дальнейшей возможности создавать файл autorun.inf)
- Удаление модифицированных системных папок "recycled", "recycler", "System Volume Information" из корня флешки.
- Удаление дополнительных обычно вспомогательных вредоносных файлов (System, Game.cpl), а также desktop.ini, Thumbs.db и *.init
- Переименование файлов *.LNK в *.LNK_

======= Лицензионное соглашение ======

Программа AntiHidden может быть использована свободно в личных некоммерческих или образовательных целях.
Перепубликация на другие ресурсы без разрешения автора запрещена.
Модификация кода запрещается.
С лицензией на программу USBDLM, вместе с которой работает AntiHidden, можно ознакомится по этой ссылке: http://www.uwe-sieber.de/usbdlm_e.html

@gimntut · 16.11.2012, 08:55

Сообщение от Dragokas

Как удалить созданную программой папку Autorun.inf
- Не скажу А вообще проще отформатировать флешку

Удалять проще, но только потому, что я знаю как это делать.
В этом сильно помогает dir /x. Если кому-то это помогает мало, то...
... проще отформатировать флешку.

Dragokas · 16.11.2012, 12:45 **[ТС]**

Сообщение от gimntut

Удалять проще, но только потому, что я знаю как это делать.

Для NTFS придется писать много букафф

Да и вирус не будет заморачиваться.

Ну, а Dir /x кроме .. то ничего полезного больше не напишет. Для этой папки быстрее уж сразу .\

@gimntut · 16.11.2012, 14:42

Сообщение от Dragokas

Для этой папки быстрее уж сразу .\

Что-то я не уловил про ".\"

Сообщение от Dragokas

Для NTFS придется писать много букафф

Всё намного проще, вкладка "Безопасность" в проводнике легко снимает все ограничения.

Один раз мне попался вирус, который использовал один предложенных приёмов для собственной защиты.
Поэтому было интересно попробовать удалить файлы из папки autorun.inf
Уложился в 10 минут:
1 минута на "Dragokas."
2 минуты на "defence"
и 7 минут на "com1"

Dragokas · 16.11.2012, 17:08 **[ТС]**

Гы, а у меня GUI "свойства папки" от "defence" не открывается вообще.

.\ - ну это когда задаваемый параметр заканчивается слешем, заместь просто указать папку.

Сообщение от gimntut

1 минута на "Dragokas."
2 минуты на "defence"
и 7 минут на "com1"

Формат флешки - 5 сек.

gimntut, папку с 2 символами .. не пробовал создавать?

magirus · 16.11.2012, 17:24

Dragokas, я пробовал... в семерке - создается. в ХП - нет

@gimntut · 16.11.2012, 19:41

Сообщение от Dragokas

Формат флешки - 5 сек.

Я на создание мультизагрузочной 16-гиговой флэшки потратил 3 часа.
Чего-то не хочется из-за 10-минутной экономии, повторять эту операцию

Сообщение от Dragokas

gimntut, папку с 2 символами .. не пробовал создавать?

Не пробовал. Мне по работе приходится пользоваться стандартными средствами. Хорошая система должна работать даже в отсутствие создателя.
А вот находить решения для обхода нестандартных проблем - это я люблю. Но случается это не часто.

Сообщение от Dragokas

Гы, а у меня GUI "свойства папки" от "defence" не открывается вообще.

В папке autorun.inf "Заменить разрешения дочерних объектов...". Тадам!!!

Dragokas · 19.11.2012, 02:50 **[ТС]**

19.11.2012 Вышло обновление безопасности 1.5.1. - большая просьба перекачать скрипт.

Также вышел перевод на русский язык.

Скачать в теме: Полезные BAT/CMD скрипты

Список изменений:

Исправлен баг, когда при запуске скрипта ПКМ "От имени Администратора" обрабатывались системные файлы ОС вместо файлов в текущей папке (данная проблема очень актуальна для многих батников).

Исправлена проблема с определением наличия вирусных ярлыков с закрытыми правами доступа к чтению файлов.
Такое возникало из-за возврата ErrorLevel==0 командой DEL, при возникновении StdErr=="В доступе отказано."

"Закавычены" папки в некоторых командах, это ранее могло привести к некорректной работе с папками, в именах которых был пробел.

Dragokas · 25.06.2013, 02:57 **[ТС]**

Давно сделал версию 1.6.

Только не дописал:
- защиту от дурака, чтобы на рабочем столе не запустили.
- отключение автозапуска со съемных носителей в системе.

Основные изменения:
- обезвреживание червяка Worm.Bundpil (когда содержимое флешки оказывается в папке с невидимым именем - символ 0xA0).
Включен функционал удаления EXE-файлов во всех временных папках компьютера,
- Добавлен полный "тихий" режим. Настройка в самом начале кода: Set Silent=true. Изменять файл только спец. редактором, например: Русский текст в консоли
Вот эти файлы удаляются на флешке без спроса: game.cpl, system, Все *.lnk, *.init, desktop.ini и папки recycled, recycler, System Volume Information.

Также сейчас разрабатывается новая версия для блокировки папки "autorun.inf" на уровне MFT.

Dragokas · 12.12.2013, 23:52 **[ТС]**

Оновил до версии 1.6.1. (12.12.2013)

- перенос данных из папки с "мнимым пробелом" (на этот раз добавил символ 0xFF)
- запрет запуска с рабочего стола.
- защита, чтобы не запустили не из корня флешки (он спросит Вас).

Dragokas · 15.12.2013, 03:19 **[ТС]**

Обновлен до версии 1.7. (15.12.2013)
- Удаление только ярлыков, соответствующих именам папок.
- Убрал прогрессбар.
- Убрал удаление EXE в %appdata% и %temp%.
- Теперь корректно обрабатываются файлы/папки с любыми спецсимволами.
- Скрипт на много упростил и полностью пересмотрел.

Описание обновлено.
Ссылка для скачивания теперь всегда в первом посте этой темы.

Dragokas · 27.02.2014, 02:43 **[ТС]**

Сообщение от Borstch

если Вы ещё продолжаете работу над новыми версиями своего батника, то возможно захотите дополнить его новыми функциями:
1) Возможность установить запрет на запись в корень носителя (Только для NTFS томов, через права. Для работы в опасных средах, если точно уверен, что придётся вставить флешку в зараженную машину).
2) Перед удалением вредоносного файла Autorun.inf считать в нём параметр OPEN и удалить указанный в нём вредоносный файл на носителе. Думаю, для оптимизации можно сначала сделать проверку "чем является Autorun.inf" (если папкой, то пропускаем, а если файлом - то пытаемся открыть его и считать параметр OPEN)

1) Современные вирусы давно научились обходить эту защиту. Поэтому неактуально. Только себе лишние неудобства.
2) Можно, но только с дополнительной проверкой, что параметр ссылается на текущее съемное ус-во, иначе велика вероятность удалить легитимный файл у себя в системе. А также что целевой файл является исполнительным, дабы застраховаться от разного мусора в параметре, например маски, по которой батник снесет на уст-ве все данные.
Также потребуется учитывать, что параметров может быть несколько через разделитель.

Dragokas · 21.11.2014, 01:27 **[ТС]**

Шапка обновлена.

Версия 1.8 от 20.11.2014
- Добавлен установщик.
- Управление AntiHidden предоставлено службе USBDLM от Uwe Sieber:
1. Она автоматически запускает AntiHidden при подключении флешки к компьютеру
2. AntiHidden лечит съемный накопитель
3. Открывается окно проводника (можно отключить через ПУСК -> Все программы -> AntiHidden)
- Добавлено переименование всех LNK-файлов в корне носителя на *.LNK_ (защита от уязвимости CVE-2010-2568).
- Убран рекурсивный поиск процесса Host.exe.
- Если при переносе объектов из "невидимой" папки будут находится одинаковые имена файлов,
то запрос на замену у пользователя больше не спрашивается, а происходит копирование под свободным именем файла (с новой цифрой в скобках).
- Опция Silent удалена за отсутствием необходимости.
- Редизайн сообщений. Убрано сообщение "Для ускорения операции можно временно отключить антивирусное ПО."
- Исполняемый файл переименован в "_Anti_Hidden Удаление последствий вредоносного ПО на флешке.cmd"
- Папка для хранения объектов, которые не удалось перенести теперь называется "_AntiHidden - Ваши файлы".

@SeregaSPb · 24.01.2016, 07:17

Спасибо за интересное решение. Кстати, HP USB Format Tool тоже помогает от скрытых папок, но в отличии
Возможно доработать код, чтобы изменять такие параметры, как %DevName% %DeviceName% %FriendlyName% %DriveDeviceId% и другая кастомизация флеш-накопителей?

Сообщение от Dragokas

При желании Вы можете отключить автозапуск со все съемных накопителей, кроме CD-ROM.

А не может эта функция отрицательно сказаться на пользователей виртуальных приводов (типа DaemonTools)?

Dragokas · 24.01.2016, 16:44 **[ТС]**

SeregaSPb, спасибо за отзыв.

Сообщение от SeregaSPb

HP USB Format Tool тоже помогает от скрытых папок

С помощью форматирования?

Сообщение от SeregaSPb

А не может эта функция отрицательно сказаться на пользователей виртуальных приводов (типа DaemonTools)?

В системах Vista и выше автозапуск отключен по-умолчанию, если Вы об этом.
В целом прямой ответ: нет. Отключает автозапуск только устройств, которые определяются как съемные носители (в "Моем компьютере" будет пометка к диску - Тип "Съмный диск".).

@V1RTuE · 01.03.2016, 14:30

я бы еще в файл _Anti_Hidden Удаление последствий вредоносного ПО на флешке.cmd
добавил в начале указание на кодировку

Windows Batch file
1
chcp 866

а то иногда абракадабра на экране вместо русского текста

AntiHidden - Удаление последствий вируса (поддельные "фейковые" папки на флешке)

@V1RTuE · 02.03.2016, 03:21

Еще не совсем понял для чего делается 2 проверки: не запущен ли батник с рабочего стола и не запущен ли из папки, которая не является корневой?
Может свести всё к проверке: является ли устройство, с которого запущен батник, съемным носителем? И если является таковым, то выполнять дальнейший код в корневой папке (чтобы не было важно помещать батник именно в корень)
Предлагаю этот кусок кода:

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
:: Проверка, не запущен ли на рабочем столе
for %%i in ("%~f0\..") do set "curFolderName=%%~nxi"
if /i "%curFolderName%"=="Desktop" set "isDesktop=true"
if /i "%curFolderName%"=="Рабочий стол" set "isDesktop=true"
if "%isDesktop%"=="true" (
  echo.
  echo ВНИМАНИЕ. Запускать утилиту можно только, скопировав ее на флешку.
  echo.& pause& Exit /B
)
if /i "%curFolderName%" neq "" (
  echo.
  echo.
  echo  ВНИМАНИЕ! Программа запущена не из основной папки диска.
  echo  Сперва скопируйте ее на флешку ^(в корень^).
  echo  Затем запустите.
  echo.
  call :Dialogue "Вы точно уверены, что хотите продолжить именно в этой папке? (Y/N) (Д/Н) "
  if not errorlevel 1 Exit /B
)
 
Set Cur=%~dp0
Set Cur=%Cur:~0,-1%

Заменить на такой:

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
::Проверка является ли съемным носителем диск, с которого запущен этот батник
for /f "tokens=2 delims==" %%d in ('wmic logicaldisk where "drivetype=2" get name /format:value') do (
    set DriveName=%%d
    set cmdDriveName=%~d0
    call :CheckDriveName
    )
 
:next
if not %DriveType%==removable (
    CLS
    color CF
    echo  ВНИМАНИЕ! Запускать утилиту можно только с флешки.
    echo  Сперва скопируйте ее на флешку ^(можно в любую папку^).
    echo  Затем запустите снова.
    pause
    exit
    )
cd /d "%~d0"
set cur=%~d0
 
:CheckDriveName
if %DriveName%==%cmdDriveName% (
    set DriveType=removable
    goto :next
    ) else (
    set DriveType=other
    )
GOTO :eof

Последний блок :CheckDriveName поместить в конец батника можно.
P.S.: знаю, что это слишком громоздкий код, но с моим опытом не получилось его уменьшить)

Добавлено через 9 минут
P.P.S.: надо еще доработать код, чтобы вообще при отсутствии съемного носителя в компе, батник не просто закрывался, а выдавал предупреждение.

Добавлено через 1 час 14 минут
Доработал. Вот что в итоге получилось:

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
::Проверка есть ли в компьютере съемный диск (флоппи-дисковод не учитывать)
set "wmic=2>nul wmic logicaldisk where (drivetype=2 and caption!="A:") get volumename /value"
for /f %%i in (' "%wmic%" ') do 1>nul set "%%i"
if not defined volumename (
    set DriveType=other
    goto :next
    )
    
::Проверка является ли съемным носителем диск, с которого запущен этот батник
for /f "tokens=2 delims==" %%d in ('wmic logicaldisk where "drivetype=2" get name /format:value') do (
    set DriveName=%%d
    set cmdDriveName=%~d0
    call :CheckDriveName
    )
 
:next
if not %DriveType%==removable (
    color CF
    echo  ВНИМАНИЕ! Запускать утилиту можно только с флешки.
    echo  Сперва скопируйте ее на флешку ^(можно в любую папку^).
    echo  Затем запустите снова.
    pause
    exit
    )
cd /d "%~d0"
set cur=%~d0
 
pause
exit
 
:CheckDriveName
if %DriveName%==%cmdDriveName% (
    set DriveType=removable
    goto :next
    ) else (
    set DriveType=other
    )
GOTO :eof

Dragokas · 02.03.2016, 11:34 **[ТС]**

Сообщение от V1RTuE

Может свести всё к проверке: является ли устройство, с которого запущен батник, съемным носителем?

Это лишний вызов к wmic, которая может и работать, а может и отключена (кстати, на XP у меня на виртуалке перевод в рабочее состояний этой службы занимает от 5 сек.).

Сообщение от V1RTuE

P.P.S.: надо еще доработать код, чтобы вообще при отсутствии съемного носителя в компе, батник не просто закрывался, а выдавал предупреждение.

А для локальной системы зачем? Новая версия (которая в 1-м посте) работает на основе службы и автоматически запускает батник с нужной буквой съемного диска, как только он подключается к системе.
Разве что у Вас в офисе запрет на установку программ.

Тогда нужны разные установщики/батники на любителя. В целом, я не против создания для этого скрипта форков других разработчиков.

@alpap · 02.03.2016, 11:36

Сообщение от V1RTuE

Вот что в итоге получилось:

Ничего хорошего не получилось.
Это не сработает, ошибок много:

Windows Batch file
1
2
3
4
5
6
set "wmic=2>nul wmic logicaldisk where (drivetype=2 and caption!="A:") get volumename /value"
for /f %%i in (' "%wmic%" ') do 1>nul set "%%i"
if not defined volumename (
    set DriveType=other
    goto :next
    )

А когда интересно наступит это условие:

Windows Batch file
1
if %DriveName%==%cmdDriveName%

.

@V1RTuE · 02.03.2016, 15:37

Сообщение от alpap

Это не сработает, ошибок много:

Windows Batch file
1
2
3
4
5
6
set "wmic=2>nul wmic logicaldisk where (drivetype=2 and caption!="A:") get volumename /value"
for /f %%i in (' "%wmic%" ') do 1>nul set "%%i"
if not defined volumename (
    set DriveType=other
    goto :next
    )

прошу указать на ошибки, которые вы здесь обнаружили. И проверьте для начала у себя. Прежде чем публиковать свой код я протестировал на своем ноутбуке (Win7x64 enterprise) с различными условиями (запуск при включенной/отключенной флешке, с разных папок как на самом ноутбуке, так и с флешки (корня флешки и подпапок)). Ошибок не было у меня. Код работал как надо. Единственное что нет флопика и как с ним работать будет не знаю.

А когда интересно наступит это условие:

Windows Batch file
1
if %DriveName%==%cmdDriveName%

Объясняю как работает: через wmic получаем поочередно все буквы съемных устройств (drivetype=2). DriveName - это как раз буква съемного носителя, а cmdDriveName - буква устройства, с которого запущен батник. Далее идет процедура call, в которой уже сравнивается равны ли эти буквы. При совпадении (батник запущен со съемного устройства) выполняем батник дальше. У меня не получилось в самом цикле выполнить проверку, поэтому и использовал call.

Добавлено через 1 час 7 минут

Сообщение от Dragokas

А для локальной системы зачем? Новая версия (которая в 1-м посте) работает на основе службы и автоматически запускает батник с нужной буквой съемного диска, как только он подключается к системе.
Разве что у Вас в офисе запрет на установку программ.

Во-первых, это действительно бывает под запретом на офисном компьютере. Во-вторых, находясь не за рабочим или офисным компьютером где-то еще, например, у знакомых или в том же копировальном центре, где срочно надо вылечить флешку и устанавливать эту утилиту там не захотят. Вот тогда и поможет батник

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	16.11.2012, 17:24
	Dragokas, я пробовал... в семерке - создается. в ХП - нет 0

Dragokas 18031 / 7734 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	19.11.2012, 02:50 [ТС]
	19.11.2012 Вышло обновление безопасности 1.5.1. - большая просьба перекачать скрипт. Также вышел перевод на русский язык. Скачать в теме: Полезные BAT/CMD скрипты Список изменений: Исправлен баг, когда при запуске скрипта ПКМ "От имени Администратора" обрабатывались системные файлы ОС вместо файлов в текущей папке (данная проблема очень актуальна для многих батников). Исправлена проблема с определением наличия вирусных ярлыков с закрытыми правами доступа к чтению файлов. Такое возникало из-за возврата ErrorLevel==0 командой DEL, при возникновении StdErr=="В доступе отказано." "Закавычены" папки в некоторых командах, это ранее могло привести к некорректной работе с папками, в именах которых был пробел. 0

Dragokas 18031 / 7734 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	15.12.2013, 03:19 [ТС]
	Обновлен до версии 1.7. (15.12.2013) - Удаление только ярлыков, соответствующих именам папок. - Убрал прогрессбар. - Убрал удаление EXE в %appdata% и %temp%. - Теперь корректно обрабатываются файлы/папки с любыми спецсимволами. - Скрипт на много упростил и полностью пересмотрел. Описание обновлено. Ссылка для скачивания теперь всегда в первом посте этой темы. 1

Dragokas 18031 / 7734 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	21.11.2014, 01:27 [ТС]
	Шапка обновлена. Версия 1.8 от 20.11.2014 - Добавлен установщик. - Управление AntiHidden предоставлено службе USBDLM от Uwe Sieber: 1. Она автоматически запускает AntiHidden при подключении флешки к компьютеру 2. AntiHidden лечит съемный накопитель 3. Открывается окно проводника (можно отключить через ПУСК -> Все программы -> AntiHidden) - Добавлено переименование всех LNK-файлов в корне носителя на *.LNK_ (защита от уязвимости CVE-2010-2568). - Убран рекурсивный поиск процесса Host.exe. - Если при переносе объектов из "невидимой" папки будут находится одинаковые имена файлов, то запрос на замену у пользователя больше не спрашивается, а происходит копирование под свободным именем файла (с новой цифрой в скобках). - Опция Silent удалена за отсутствием необходимости. - Редизайн сообщений. Убрано сообщение "Для ускорения операции можно временно отключить антивирусное ПО." - Исполняемый файл переименован в "_Anti_Hidden Удаление последствий вредоносного ПО на флешке.cmd" - Папка для хранения объектов, которые не удалось перенести теперь называется "_AntiHidden - Ваши файлы". 0