Папки на флешке стали ярлыками

7 ответ(ов) в теме
не в сети 3 месяца
На сайте с
Участник
0
22:29

Первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

1.Первая запускает и устанавливает вирус на Ваш ПК
2.Вторая открывает интересующую Вас папку
Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл папки на флешке, т.е. им назначены соответствующие атрибуты (скрытый, архивный). Наша задача: уничтожить вирус и снять эти атрибуты.

Избавляемся от вируса.

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса, если же его нет – то вручную. Как же найти файлы зловреда?

В проводнике Windows включаем отображение скрытых и системных фалов в Windows XP: Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки »В Windows 7 путь немного другой Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые

Открываем содержимое флешки,

Форум

выбираем любой ярлык на папку и смотрим его свойства. Они будут выглядеть примерно так:

Форум

Нас интересует значения поля Target (Объект). Строка указанная в нем довольно длинная и выглядит примерно так:
%windir%system32cmd.exe /c "start %cd%RECYCLERe3180321.exe &&%windir%explorer.exe %cd%backup
В этом примере RECYCLERe3180321.exe это и есть тот самый вирус. Удаляем этот файл, а можно и папку целиком. Теперь клик по ярлыку не опасен!

Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:
в Windows 7 – C:usersимя_пользователяappdataroaming
в WindowsXP – C:Documents and Settingsимя_пользователяLocal SettingsApplication Data

Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).

Восстанавливаем вид каталогов и доступ к папкам

В зависимости от модификации вируса оригинальным папкам присваиваются системные атрибуты «скрытая» и «системная», либо они перенесены в некую также скрытую папку, созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Ручной способ:

Открываем командную строку (Пуск->Выполнить->набираем cmd->Enter)
В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
cd /d f:
, где f: — это буква диска флешки (в конкретном случае может отличаться)

attrib -s -h /d /s
, команда сбрасывает атрибуты скрытости и папки становятся видимыми.

Форум

Автоматизация с помощью файла сценария.

Создаем файл clear_attrib.txt, закидываем туда код.

<br>:lbl<br>cls<br>set /p disk_flash="Enter flash drive: "<br>cd /D %disk_flash%:<br>if %errorlevel%==1 goto lbl<br>cls<br>cd /D %disk_flash%:<br>del *.lnk /q /f<br>attrib -s -h -r autorun.*<br>del autorun.* /F<br>attrib -h -r -s -a /D /S<br>rd RECYCLER /q /s<br>explorer.exe %disk_flash%:

Сохраняем и переименовываем clear_attrib.txt в -> clear_attrib.bat

При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, восстанавливает атрибуты на каталогах, удаляет папку с вирусом RECYCLER и, наконец, отрывает в проводнике флешку.

Редакции сообщения
0
Форум
Гость
0
01:06

Если нормальный антивирус установлен, то ему никакие ярлыки не страшны) А вообще интересная статья, спасибо.

Редакции сообщения
0
lancuster
не в сети давно
На сайте с 18.12.2013
Участник
0
22:34

Я знаю, что есть знаменитый Червь, который сам создает ярлыки на известные папки. А ещё этот dupler, внутри которого якобы исполняемый файл korinami, фальшивый файл автозапуска autorun.inf ... Всё это я уже проходил.
Насчёт подобных вирусов - мне советовали проверить на наличие вирусов, и на всякий случай создать текстовые файлы и обозвать их именами вирусов. Чтобы эта зараза не смогла распространяться по компу. 😉

Редакции сообщения
0
nick_snow
не в сети давно
На сайте с 11.11.2014
Участник
0
11:13

Старый, как мир вирус, тоже поверг меня в ужас, когда в первый раз столкнулся, но быстро избавился

Редакции сообщения
0
net43
не в сети давно
На сайте с 10.11.2014
Участник
0
19:13

Поставьте хороший антивирус, Касперский или Dr Web, и никогда с такой проблемой больше не сталкнётесь. Если вставляли эту флешку в другой комп, его надо лечить, иначе все флехи будет превращать в подобные - заражать.

Редакции сообщения
0
iti
не в сети давно
На сайте с 14.09.2015
Участник
0
11:40

Я обычно все проверяю на наличие вирусов до того, как открыть или запускаю в безопасном режиме.

Редакции сообщения
0
николай
не в сети давно
На сайте с 15.02.2015
Участник
0
18:06

net43 сказал(а)

Поставьте хороший антивирус, Касперский или Dr Web, и никогда с такой проблемой больше не сталкнётесь. Если вставляли эту флешку в другой комп, его надо лечить, иначе все флехи будет превращать в подобные - заражать.

Действительно, при пользовании лицензионной версией антивируса Касперского не было такой проблемы, а вот с Аваст не справлялся. Было замечено!

Редакции сообщения
0

Ваше имя *

Ваш E-mail *

не публикуется

Текст сообщения *