AntiHidden - Удаление последствий действия вируса на съемном накопителе

AntiHidden - Удаление последствий действия вируса на съемном накопителе 1.12

Ссылка на репозиторий
https://github.com/SafeZone-cc/AntiHidden
--- AntiHidden ---

Программа для удаления последствий действия вредоносного ПО на съемном накопителе.

Разработчик: Польшин Станислав.
В программе использована служба USBDLM от Uwe Sieber.

======== Назначение =======

- Если Ваша флешка побывала на компьютере с вирусом, скрывающим папки, а вместо них - теперь ярлыки.
- Вы хотите, чтобы на флешке физически нельзя было создать autorun.inf, который дает команду на автозапуск паразитов.
- Вся информация с флешки перемещена вирусом в папку с "пробелом".

Тогда эта программа для Вас.

Программа устанавливается на компьютер в виде сервиса.
Каждый раз, когда Вы подключаете к ПК флешку, происходит ее лечение.


======== Установка и использование ========

Вариант А - без установки:
1. Скопируйте файл _Anti_Hidden Удаление последствий вредоносного ПО на флешке.cmd на флешку
и запускайте его с флешки.

Вариант Б - с установкой (программа будет автоматически запускаться при каждом подключении флешки):

1. Распакуйте архив Anti_Hidden.zip
2. Запустите установщик Установка-удаление AntiHidden.vbs

При желании Вы можете отключить автозапуск со все съемных накопителей, кроме CD-ROM.
Программа спросит Вас об этом.

Если Вам не нужно каждый раз открывать окно проводника по завершении сканирования,
зайдите в меню "ПУСК", "Все программы", "AntiHidden"
и выберите пункт "Не открывать проводник после лечения флешки".

========= Удаление =========
Через Меню ПУСК -> AntiHidden
Или через оригинальный установщик "Установить AntiHidden.vbs".

========= Описание работы =========

- Удаление файлов с расширением *.lnk (ярлыки), имя которых соответствует имени папки.
- Снятие атрибутов "скрытый", "системный" с папок в корне флешки.
- Перенос информации из "невидимой папки" (папки с символом 0xA0) в корень флешки (при совпадении имен файлы не заменяются, а дописываются цифры в скобках).
- Удаление файла автозапуска "autorun.inf".
- Создание папки "autorun.inf" (контр-мера против дальнейшей возможности создавать файл autorun.inf)
- Удаление модифицированных системных папок "recycled", "recycler", "System Volume Information" из корня флешки.
- Удаление дополнительных обычно вспомогательных вредоносных файлов (System, Game.cpl), а также desktop.ini, Thumbs.db и *.init
- Переименование файлов *.LNK в *.LNK_


======= Лицензионное соглашение ======

Программа AntiHidden может быть использована свободно в личных некоммерческих или образовательных целях.
Перепубликация на другие ресурсы без разрешения автора запрещена.
Модификация кода запрещается.
С лицензией на программу USBDLM, вместе с которой работает AntiHidden, можно ознакомится по этой ссылке: USB Drive Letter Manager - USBDLM


Скриншот 2014-11-20 23.50.20.png



Использование:
Скопировать в корень съемного диска (флешки).
Запустить.

Показания к применению:
- Ваша флешка побывала на компьютере с вирусом, скрывающим папки, а вместо них - теперь ярлыки.
- Вы хотите, чтобы на флешке физически нельзя было создать autorun.inf, который дает команду на автозапуск паразитов.
- Вся информация с флешки перемещена вирусом в папку с "пробелом".

Функционал:
- Удаление файлов с расширением *.lnk (ярлыки), имя которых соответствует имени папки.
- Снятие атрибутов "скрытый", "системный" с папок в корне флешки.
- Перенос информации из "невидимой папки" (папки с символом 0xA0) в корень флешки (при совпадении имен файлы не заменяются)
- Удаление файла автозапуска "autorun.inf".
- Создание папки "autorun.inf" (контр-мера против дальнейшей возможности создавать файл autorun.inf)
- Завершение процесса Host.exe. Поиск и удаление с флешки всех файлов Host.exe, если такой процесс найден в системе.
- Удаление модифицированных системных папок "recycled", "recycler", "System Volume Information".
- Удаление дополнительных обычно вирусных файлов (System, Game.cpl), а также desktop.ini, Thumbs.db и *.init

Известные сложности:
- Если запущен вирус, переносящий всю информацию с флешки в папку "с пробелом", то скрипт также переносится в нее,
т.о. нужно хранить скрипт в другом месте.
Затем копируем на флешку и запускаем.
В перспективе версия, блокирующая файловые операции со скриптом на уровне MFT флеш-накопителя.

Тонкости:
- Учитываются особенности работы с именами, где используются буквы украинского алфавита и др. спецсимволы.
- Если удаление не происходит с первого раза предпринимается попытка получить права на объект и сменить владельца.
- Если и это не получается сделать, производится попытка удалить папку/файл в обход ограничений API-функций Windows на имена.
- запрет запуска с рабочего стола.
- защита, чтобы не запустили не из корня флешки (он спросит Вас).

Проверка на VT.
Оказать помощь разработчику
Яндекс.Деньги - 410011191892975
WebMoney:
WMR - R963062285529
WMZ - Z389963582741
Автор
Dragokas
Скачивания
2,963
Просмотры
3,107
Первый выпуск
Обновление
Оценка
5.00 звёзд 2 оценок

Другие ресурсы пользователя Dragokas

  • HiJackThis+ (Plus)
    HiJackThis+ (Plus)
    Спец. инструмент для борьбы с вредоносными и другими нежелательными программами
  • Sysinternals PsGetsid
    Получение SID юзера/службы и наоборот
  • Registry Time Decoder
    Registry Time Decoder
    Конвертирует дату из форматов FILETIME, SYSTEMTIME, UNIX-TIME, которая обычно встречается в реестре
  • SetACL Studio
    SetACL Studio
    Управление привилегиями DACL/SACL
  • VirusTotal Console Checker
    VirusTotal Console Checker
    Простой консольный скрипт для быстрой проверки файла на VirusTotal через контекстное меню

Поделиться ресурсом

Последние обновления

  1. Обновление

    1.12 Исправлена ошибка
  2. В связи с повреждением ресурса

    Перезалито на сервер в связи с повреждением ресурса.
  3. Обновление

    1.11 Исправлена ошибка, которая иногда возникала при подключении нового USB-накопителя, для...

Последние отзывы

Хорошо работает
Назад
Сверху Снизу