Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
1

AntiHidden - Удаление последствий вируса (поддельные "фейковые" папки на флешке)

16.11.2012, 06:29. Показов 23011. Ответов 36

--- AntiHidden ---

Программа для удаления последствий действия вредоносного ПО на съемном накопителе.

Разработчик: Польшин Станислав.
В программе использована служба USBDLM от Uwe Sieber.

======== Назначение =======

- Если Ваша флешка побывала на компьютере с вирусом, скрывающим папки, а вместо них - теперь ярлыки.
- Вы хотите, чтобы на флешке физически нельзя было создать autorun.inf, который дает команду на автозапуск паразитов.
- Вся информация с флешки перемещена вирусом в папку с "пробелом".

Тогда эта программа для Вас.

Программа устанавливается на компьютер в виде сервиса.
Каждый раз, когда Вы подключаете к ПК флешку, происходит ее лечение.


======== Установка ========

1. Распакуйте архив Anti_Hidden.zip
2. Запустите установщик Установить AntiHidden.vbs

При желании Вы можете отключить автозапуск со все съемных накопителей, кроме CD-ROM.
Программа спросит Вас об этом.

Если Вам не нужно каждый раз открывать окно проводника по завершении сканирования,
зайдите в меню "ПУСК", "Все программы", "AntiHidden"
и выберите пункт "Не открывать проводник после лечения флешки".


========= Описание работы =========

- Удаление файлов с расширением *.lnk (ярлыки), имя которых соответствует имени папки.
- Снятие атрибутов "скрытый", "системный" с папок в корне флешки.
- Перенос информации из "невидимой папки" (папки с символом 0xA0) в корень флешки (при совпадении имен файлы не заменяются, а дописываются цифры в скобках).
- Удаление файла автозапуска "autorun.inf".
- Создание папки "autorun.inf" (контр-мера против дальнейшей возможности создавать файл autorun.inf)
- Удаление модифицированных системных папок "recycled", "recycler", "System Volume Information" из корня флешки.
- Удаление дополнительных обычно вспомогательных вредоносных файлов (System, Game.cpl), а также desktop.ini, Thumbs.db и *.init
- Переименование файлов *.LNK в *.LNK_


======= Лицензионное соглашение ======

Программа AntiHidden может быть использована свободно в личных некоммерческих или образовательных целях.
Перепубликация на другие ресурсы без разрешения автора запрещена.
Модификация кода запрещается.
С лицензией на программу USBDLM, вместе с которой работает AntiHidden, можно ознакомится по этой ссылке: http://www.uwe-sieber.de/usbdlm_e.html
Вложения
Тип файла: zip Anti_Hidden.zip (766.7 Кб, 221 просмотров)
8
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
16.11.2012, 06:29
Ответы с готовыми решениями:

Нужно восстановить данные на флешке после "тупого" вируса
Всем добрый вечер. Мама иногда(в сфере образования работает) приносит с работы флешки в которых...

Окончательное удаление вируса Webalta и его последствий
Доброго времени суток! Описываю свою проблему, с которой столкнулся на днях. Во время очередного...

Удаление последствий вируса в реестре или разблокер важных частей реестра
Мне нужна программа для написания своего антивинлокера.Вот функции но я не знаю где они прописаны в...

После перемещения папки "Пользователи" с диска "C" на диск "D" система стала работать некорректно!
Привет всем! Проблема была такова: Диск "C" оказался переполнен, так как при установке Винды, на...

36
887 / 189 / 16
Регистрация: 18.07.2011
Сообщений: 260
16.11.2012, 08:55 2
Цитата Сообщение от Dragokas Посмотреть сообщение
Как удалить созданную программой папку Autorun.inf
- Не скажу А вообще проще отформатировать флешку
Удалять проще, но только потому, что я знаю как это делать.
В этом сильно помогает dir /x. Если кому-то это помогает мало, то...
... проще отформатировать флешку.
0
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
16.11.2012, 12:45  [ТС] 3
Цитата Сообщение от gimntut Посмотреть сообщение
Удалять проще, но только потому, что я знаю как это делать.
Для NTFS придется писать много букафф
Да и вирус не будет заморачиваться.

Ну, а Dir /x кроме .. то ничего полезного больше не напишет. Для этой папки быстрее уж сразу .\
0
887 / 189 / 16
Регистрация: 18.07.2011
Сообщений: 260
16.11.2012, 14:42 4
Цитата Сообщение от Dragokas Посмотреть сообщение
Для этой папки быстрее уж сразу .\
Что-то я не уловил про ".\"

Цитата Сообщение от Dragokas Посмотреть сообщение
Для NTFS придется писать много букафф
Всё намного проще, вкладка "Безопасность" в проводнике легко снимает все ограничения.

Один раз мне попался вирус, который использовал один предложенных приёмов для собственной защиты.
Поэтому было интересно попробовать удалить файлы из папки autorun.inf
Уложился в 10 минут:
1 минута на "Dragokas."
2 минуты на "defence"
и 7 минут на "com1"
0
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
16.11.2012, 17:08  [ТС] 5
Гы, а у меня GUI "свойства папки" от "defence" не открывается вообще.

.\ - ну это когда задаваемый параметр заканчивается слешем, заместь просто указать папку.

Цитата Сообщение от gimntut Посмотреть сообщение
1 минута на "Dragokas."
2 минуты на "defence"
и 7 минут на "com1"
Формат флешки - 5 сек.

gimntut, папку с 2 символами .. не пробовал создавать?
0
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28035 / 15765 / 981
Регистрация: 15.09.2009
Сообщений: 67,753
Записей в блоге: 78
16.11.2012, 17:24 6
Dragokas, я пробовал... в семерке - создается. в ХП - нет
0
887 / 189 / 16
Регистрация: 18.07.2011
Сообщений: 260
16.11.2012, 19:41 7
Цитата Сообщение от Dragokas Посмотреть сообщение
Формат флешки - 5 сек.
Я на создание мультизагрузочной 16-гиговой флэшки потратил 3 часа.
Чего-то не хочется из-за 10-минутной экономии, повторять эту операцию
Цитата Сообщение от Dragokas Посмотреть сообщение
gimntut, папку с 2 символами .. не пробовал создавать?
Не пробовал. Мне по работе приходится пользоваться стандартными средствами. Хорошая система должна работать даже в отсутствие создателя.
А вот находить решения для обхода нестандартных проблем - это я люблю. Но случается это не часто.
Цитата Сообщение от Dragokas Посмотреть сообщение
Гы, а у меня GUI "свойства папки" от "defence" не открывается вообще.
В папке autorun.inf "Заменить разрешения дочерних объектов...". Тадам!!!
1
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
19.11.2012, 02:50  [ТС] 8
19.11.2012 Вышло обновление безопасности 1.5.1. - большая просьба перекачать скрипт.

Также вышел перевод на русский язык.

Скачать в теме: Полезные BAT/CMD скрипты

Список изменений:

Исправлен баг, когда при запуске скрипта ПКМ "От имени Администратора" обрабатывались системные файлы ОС вместо файлов в текущей папке (данная проблема очень актуальна для многих батников).

Исправлена проблема с определением наличия вирусных ярлыков с закрытыми правами доступа к чтению файлов.
Такое возникало из-за возврата ErrorLevel==0 командой DEL, при возникновении StdErr=="В доступе отказано."

"Закавычены" папки в некоторых командах, это ранее могло привести к некорректной работе с папками, в именах которых был пробел.
0
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
25.06.2013, 02:57  [ТС] 9
Давно сделал версию 1.6.

Только не дописал:
- защиту от дурака, чтобы на рабочем столе не запустили.
- отключение автозапуска со съемных носителей в системе.

Основные изменения:
- обезвреживание червяка Worm.Bundpil (когда содержимое флешки оказывается в папке с невидимым именем - символ 0xA0).
Включен функционал удаления EXE-файлов во всех временных папках компьютера,
- Добавлен полный "тихий" режим. Настройка в самом начале кода: Set Silent=true. Изменять файл только спец. редактором, например: Русский текст в консоли
Вот эти файлы удаляются на флешке без спроса: game.cpl, system, Все *.lnk, *.init, desktop.ini и папки recycled, recycler, System Volume Information.

Также сейчас разрабатывается новая версия для блокировки папки "autorun.inf" на уровне MFT.
Вложения
Тип файла: rar Anti_Hidden_fast_ru_v.1.6.rar (4.3 Кб, 171 просмотров)
0
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
12.12.2013, 23:52  [ТС] 10
Оновил до версии 1.6.1. (12.12.2013)

- перенос данных из папки с "мнимым пробелом" (на этот раз добавил символ 0xFF)
- запрет запуска с рабочего стола.
- защита, чтобы не запустили не из корня флешки (он спросит Вас).
Вложения
Тип файла: zip Anti_Hidden_fast_ru_v.1.6.1.zip (4.7 Кб, 111 просмотров)
2
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
15.12.2013, 03:19  [ТС] 11
Обновлен до версии 1.7. (15.12.2013)
- Удаление только ярлыков, соответствующих именам папок.
- Убрал прогрессбар.
- Убрал удаление EXE в %appdata% и %temp%.
- Теперь корректно обрабатываются файлы/папки с любыми спецсимволами.
- Скрипт на много упростил и полностью пересмотрел.

Описание обновлено.
Ссылка для скачивания теперь всегда в первом посте этой темы.
1
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
27.02.2014, 02:43  [ТС] 12
Цитата Сообщение от Borstch
если Вы ещё продолжаете работу над новыми версиями своего батника, то возможно захотите дополнить его новыми функциями:
1) Возможность установить запрет на запись в корень носителя (Только для NTFS томов, через права. Для работы в опасных средах, если точно уверен, что придётся вставить флешку в зараженную машину).
2) Перед удалением вредоносного файла Autorun.inf считать в нём параметр OPEN и удалить указанный в нём вредоносный файл на носителе. Думаю, для оптимизации можно сначала сделать проверку "чем является Autorun.inf" (если папкой, то пропускаем, а если файлом - то пытаемся открыть его и считать параметр OPEN)
1) Современные вирусы давно научились обходить эту защиту. Поэтому неактуально. Только себе лишние неудобства.
2) Можно, но только с дополнительной проверкой, что параметр ссылается на текущее съемное ус-во, иначе велика вероятность удалить легитимный файл у себя в системе. А также что целевой файл является исполнительным, дабы застраховаться от разного мусора в параметре, например маски, по которой батник снесет на уст-ве все данные.
Также потребуется учитывать, что параметров может быть несколько через разделитель.
0
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
21.11.2014, 01:27  [ТС] 13
Шапка обновлена.

Версия 1.8 от 20.11.2014
- Добавлен установщик.
- Управление AntiHidden предоставлено службе USBDLM от Uwe Sieber:
1. Она автоматически запускает AntiHidden при подключении флешки к компьютеру
2. AntiHidden лечит съемный накопитель
3. Открывается окно проводника (можно отключить через ПУСК -> Все программы -> AntiHidden)
- Добавлено переименование всех LNK-файлов в корне носителя на *.LNK_ (защита от уязвимости CVE-2010-2568).
- Убран рекурсивный поиск процесса Host.exe.
- Если при переносе объектов из "невидимой" папки будут находится одинаковые имена файлов,
то запрос на замену у пользователя больше не спрашивается, а происходит копирование под свободным именем файла (с новой цифрой в скобках).
- Опция Silent удалена за отсутствием необходимости.
- Редизайн сообщений. Убрано сообщение "Для ускорения операции можно временно отключить антивирусное ПО."
- Исполняемый файл переименован в "_Anti_Hidden Удаление последствий вредоносного ПО на флешке.cmd"
- Папка для хранения объектов, которые не удалось перенести теперь называется "_AntiHidden - Ваши файлы".
0
0 / 0 / 0
Регистрация: 06.03.2015
Сообщений: 6
24.01.2016, 07:17 14
Спасибо за интересное решение. Кстати, HP USB Format Tool тоже помогает от скрытых папок, но в отличии
Возможно доработать код, чтобы изменять такие параметры, как %DevName% %DeviceName% %FriendlyName% %DriveDeviceId% и другая кастомизация флеш-накопителей?
Цитата Сообщение от Dragokas Посмотреть сообщение
При желании Вы можете отключить автозапуск со все съемных накопителей, кроме CD-ROM.
А не может эта функция отрицательно сказаться на пользователей виртуальных приводов (типа DaemonTools)?
0
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
24.01.2016, 16:44  [ТС] 15
SeregaSPb, спасибо за отзыв.
Цитата Сообщение от SeregaSPb Посмотреть сообщение
HP USB Format Tool тоже помогает от скрытых папок
С помощью форматирования?
Цитата Сообщение от SeregaSPb Посмотреть сообщение
А не может эта функция отрицательно сказаться на пользователей виртуальных приводов (типа DaemonTools)?
В системах Vista и выше автозапуск отключен по-умолчанию, если Вы об этом.
В целом прямой ответ: нет. Отключает автозапуск только устройств, которые определяются как съемные носители (в "Моем компьютере" будет пометка к диску - Тип "Съмный диск".).
0
399 / 314 / 40
Регистрация: 30.01.2015
Сообщений: 1,344
01.03.2016, 14:30 16
я бы еще в файл _Anti_Hidden Удаление последствий вредоносного ПО на флешке.cmd
добавил в начале указание на кодировку
Windows Batch file
1
chcp 866
а то иногда абракадабра на экране вместо русского текста
AntiHidden - Удаление последствий вируса (поддельные "фейковые" папки на флешке)
2
399 / 314 / 40
Регистрация: 30.01.2015
Сообщений: 1,344
02.03.2016, 03:21 17
Еще не совсем понял для чего делается 2 проверки: не запущен ли батник с рабочего стола и не запущен ли из папки, которая не является корневой?
Может свести всё к проверке: является ли устройство, с которого запущен батник, съемным носителем? И если является таковым, то выполнять дальнейший код в корневой папке (чтобы не было важно помещать батник именно в корень)
Предлагаю этот кусок кода:
Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
:: Проверка, не запущен ли на рабочем столе
for %%i in ("%~f0\..") do set "curFolderName=%%~nxi"
if /i "%curFolderName%"=="Desktop" set "isDesktop=true"
if /i "%curFolderName%"=="Рабочий стол" set "isDesktop=true"
if "%isDesktop%"=="true" (
  echo.
  echo ВНИМАНИЕ. Запускать утилиту можно только, скопировав ее на флешку.
  echo.& pause& Exit /B
)
if /i "%curFolderName%" neq "" (
  echo.
  echo.
  echo  ВНИМАНИЕ! Программа запущена не из основной папки диска.
  echo  Сперва скопируйте ее на флешку ^(в корень^).
  echo  Затем запустите.
  echo.
  call :Dialogue "Вы точно уверены, что хотите продолжить именно в этой папке? (Y/N) (Д/Н) "
  if not errorlevel 1 Exit /B
)
 
Set Cur=%~dp0
Set Cur=%Cur:~0,-1%
Заменить на такой:
Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
::Проверка является ли съемным носителем диск, с которого запущен этот батник
for /f "tokens=2 delims==" %%d in ('wmic logicaldisk where "drivetype=2" get name /format:value') do (
    set DriveName=%%d
    set cmdDriveName=%~d0
    call :CheckDriveName
    )
 
:next
if not %DriveType%==removable (
    CLS
    color CF
    echo  ВНИМАНИЕ! Запускать утилиту можно только с флешки.
    echo  Сперва скопируйте ее на флешку ^(можно в любую папку^).
    echo  Затем запустите снова.
    pause
    exit
    )
cd /d "%~d0"
set cur=%~d0
 
:CheckDriveName
if %DriveName%==%cmdDriveName% (
    set DriveType=removable
    goto :next
    ) else (
    set DriveType=other
    )
GOTO :eof
Последний блок :CheckDriveName поместить в конец батника можно.
P.S.: знаю, что это слишком громоздкий код, но с моим опытом не получилось его уменьшить)

Добавлено через 9 минут
P.P.S.: надо еще доработать код, чтобы вообще при отсутствии съемного носителя в компе, батник не просто закрывался, а выдавал предупреждение.

Добавлено через 1 час 14 минут
Доработал. Вот что в итоге получилось:
Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
::Проверка есть ли в компьютере съемный диск (флоппи-дисковод не учитывать)
set "wmic=2>nul wmic logicaldisk where (drivetype=2 and caption!="A:") get volumename /value"
for /f %%i in (' "%wmic%" ') do 1>nul set "%%i"
if not defined volumename (
    set DriveType=other
    goto :next
    )
    
::Проверка является ли съемным носителем диск, с которого запущен этот батник
for /f "tokens=2 delims==" %%d in ('wmic logicaldisk where "drivetype=2" get name /format:value') do (
    set DriveName=%%d
    set cmdDriveName=%~d0
    call :CheckDriveName
    )
 
:next
if not %DriveType%==removable (
    color CF
    echo  ВНИМАНИЕ! Запускать утилиту можно только с флешки.
    echo  Сперва скопируйте ее на флешку ^(можно в любую папку^).
    echo  Затем запустите снова.
    pause
    exit
    )
cd /d "%~d0"
set cur=%~d0
 
pause
exit
 
:CheckDriveName
if %DriveName%==%cmdDriveName% (
    set DriveType=removable
    goto :next
    ) else (
    set DriveType=other
    )
GOTO :eof
1
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
02.03.2016, 11:34  [ТС] 18
Цитата Сообщение от V1RTuE Посмотреть сообщение
Может свести всё к проверке: является ли устройство, с которого запущен батник, съемным носителем?
Это лишний вызов к wmic, которая может и работать, а может и отключена (кстати, на XP у меня на виртуалке перевод в рабочее состояний этой службы занимает от 5 сек.).

Цитата Сообщение от V1RTuE Посмотреть сообщение
P.P.S.: надо еще доработать код, чтобы вообще при отсутствии съемного носителя в компе, батник не просто закрывался, а выдавал предупреждение.
А для локальной системы зачем? Новая версия (которая в 1-м посте) работает на основе службы и автоматически запускает батник с нужной буквой съемного диска, как только он подключается к системе.
Разве что у Вас в офисе запрет на установку программ.

Тогда нужны разные установщики/батники на любителя. В целом, я не против создания для этого скрипта форков других разработчиков.
0
4326 / 2116 / 661
Регистрация: 26.04.2015
Сообщений: 6,823
02.03.2016, 11:36 19
Цитата Сообщение от V1RTuE Посмотреть сообщение
Вот что в итоге получилось:
Ничего хорошего не получилось.
Это не сработает, ошибок много:
Windows Batch file
1
2
3
4
5
6
set "wmic=2>nul wmic logicaldisk where (drivetype=2 and caption!="A:") get volumename /value"
for /f %%i in (' "%wmic%" ') do 1>nul set "%%i"
if not defined volumename (
    set DriveType=other
    goto :next
    )
А когда интересно наступит это условие:
Windows Batch file
1
if %DriveName%==%cmdDriveName%
.
0
399 / 314 / 40
Регистрация: 30.01.2015
Сообщений: 1,344
02.03.2016, 15:37 20
Цитата Сообщение от alpap Посмотреть сообщение
Это не сработает, ошибок много:
Windows Batch file
1
2
3
4
5
6
set "wmic=2>nul wmic logicaldisk where (drivetype=2 and caption!="A:") get volumename /value"
for /f %%i in (' "%wmic%" ') do 1>nul set "%%i"
if not defined volumename (
    set DriveType=other
    goto :next
    )
прошу указать на ошибки, которые вы здесь обнаружили. И проверьте для начала у себя. Прежде чем публиковать свой код я протестировал на своем ноутбуке (Win7x64 enterprise) с различными условиями (запуск при включенной/отключенной флешке, с разных папок как на самом ноутбуке, так и с флешки (корня флешки и подпапок)). Ошибок не было у меня. Код работал как надо. Единственное что нет флопика и как с ним работать будет не знаю.
А когда интересно наступит это условие:
Windows Batch file
1
if %DriveName%==%cmdDriveName%
Объясняю как работает: через wmic получаем поочередно все буквы съемных устройств (drivetype=2). DriveName - это как раз буква съемного носителя, а cmdDriveName - буква устройства, с которого запущен батник. Далее идет процедура call, в которой уже сравнивается равны ли эти буквы. При совпадении (батник запущен со съемного устройства) выполняем батник дальше. У меня не получилось в самом цикле выполнить проверку, поэтому и использовал call.

Добавлено через 1 час 7 минут
Цитата Сообщение от Dragokas Посмотреть сообщение
А для локальной системы зачем? Новая версия (которая в 1-м посте) работает на основе службы и автоматически запускает батник с нужной буквой съемного диска, как только он подключается к системе.
Разве что у Вас в офисе запрет на установку программ.
Во-первых, это действительно бывает под запретом на офисном компьютере. Во-вторых, находясь не за рабочим или офисным компьютером где-то еще, например, у знакомых или в том же копировальном центре, где срочно надо вылечить флешку и устанавливать эту утилиту там не захотят. Вот тогда и поможет батник
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
02.03.2016, 15:37
Помогаю со студенческими работами здесь

Удаление и назначение папки "3D Vision preview pack 1 "
Приветствую участников форума. Вчера решил прибраться так сказать у себя в компьютере и наткнулся...

Запросите разрешение от "система" на удаление этой папки c#
Вопрос ясен из названия темы Дорогие форумчане, прошу помочь мне с удалением такой защищенной...

Папки "Недавние места" и "Недавно использованные папки" пустые
Почему папки Папки "Недавние места" и "Недавно использованные папки" у меня пустые? После...

Удаление файлов из папки "Недавние места"
Всем привет! помогите удалить все файлы из папки Недавние места программно. Нужно чтобы при нажатии...

обычные папки на флешке становятся скрытыми, а вместо них появляются ярлыки для загрузки вируса
уже второй раз встречаюсь с новым неприятным вирусом. как всегда распространяется на флешках....

"Удаление из текущей папки подпапок..."
Удаление из текущей папки подпапок с именами group2, group4, ..., group10, если папка не существует...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru