Вирус ярлычек на флешке лечение
- Подробности
- Категория: Безопасность
- Сотворено 31.01.2020 08:53
- Просмотров: 3515
Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлычки. Выясним как удалить данный вирус и при этом сохранить все файлы.
Суть данного вируса заключается в том, что он прячет содержимое флешки и заменяет его ссылками на исполняемый файл, который умело маскирует с помощью конфигурации их атрибутов.
Убеждаемся, что папки и файлы целые
Для этого зажимаем Windows + R и вставляем команду «control.exe folders» раскроется окно с параметрами папок перебегаем на вкладку вид и ищем там два параметра:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать сокрытые файлы и папки — устанавливаем переключатель.
Теперь ваши папки на флешке будут видны, но они будут прозрачными.
Находим и удаляем вирус через характеристики ярлыка
Кликаем правой клавишей на ярлычек «свойства» там нас интересует строчка «Объект». Она достаточно длинноватая, но в ней есть путь к вирусу. В моем случае, строчка двойного пуска смотрелась так:
- «%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support»
Как мы лицезреем сам вирус имеет заглавие 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вкупе с папкой Recycle.
Удаляем вирус с помощью антивируса
Скачиваем антивирус допустим Dr.Web CureIt! он себя отлично зарекомендовал. Запускаем антивирус избираем флешку и ждем пока он отыщет и удалит вирусы. Потом необходимо вернуть обычные атрибуты для файлов и папок это можно сделать 2-мя способами.
Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD жмем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:
- cd /d f: надавить ENTER, где f: — это буковка вашей флешки ( с помощью данной команды мы перебегаем на флешку)
- attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.
- Расшифровка атрибутов R – разрешает либо запрещает атрибут «Только для чтения», S – превращает файл либо папку в системный, H – скрываем либо показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута
Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё последующий текст attrib -s -h /d /s и сохраняем с заглавием 1.bat и опосля запускаем его.
Если файлов много, то может быть будет нужно несколько минут для выполнения команды. Так же ежели есть возможность используем Dr.Web LiveDisk
Автономный способ удаления вируса
В блокноте создаем файл и копируем туда ниже перечисленный текс опосля сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени админа. Опосля пуска комп попросит ввести буковку, подобающую вашей флешке, что необходимо сделать. Опосля этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлычками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=”Vvedite bukvu vashei fleshki: “
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
Удаление вируса через реестр
В неких вариантах вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками последующие ветки реестра на наличие подозрительных записей:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun – программы, автоматом запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программы
Удаление вируса вручную
- Во временной папке Temp C:users%username%AppDataLocalTemp ищем файл с необыкновенным расширением .pif и удаляем его (можно пользоваться поиском).
- Проверяем также папку C:Users<<Пользователь>>AppdataRoaming. в ней не обязано быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.
Восстановление системы
Если вирус не так давно возник, то данный метод может помочь.
Нажимаем Windows + R раскроется окно выполнить вставляем туда «rstrui.exe» раскроется окошко восстановление системы жмем дальше избираем подходящую точку выставления по дате позже система спросит вы убеждены жмем «OK» и начнётся процесс выставления системы. Опосля восстановления обязано покажется окошко о успешно окончании процесса.
На этом, пожалуй, все в большинстве случаев выше перечисленные методы должны удалить вирусные ярлычки, но ежели они не посодействовали, то копируем сокрытые файлы на комп и делаем полное форматирование флешки позже копируем обратно и меняем атрибуты.
Борьба с вирусом на флешках «Вместо папок — ярлыки»
Современные антивирусы уже научились перекрыть autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке достаточно издавна разгуливает новейший тип вирусов 1-го семейства, просто — очередные трояны. Инфецирование ими можно сходу найти невооруженным взором без всяких антивирусов, основной признак — это все папки на флешке перевоплотился в ярлыки.
Если на флешке чрезвычайно принципиальные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтоб удостовериться в наличии файлов — вот это делать, совершенно не стоит!
Проблема в том, что в этих ярлычках записано по две команды, 1-ая — пуск и установка вируса в ПК, 2-ая — открытие Вашей драгоценной папки.
Чистить флешку от таковых вирусов будем пошагово.
Шаг 1. Показать сокрытые файлы и папки.
Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:
На вкладке «Вид» отыскиваем два параметра и выполняем:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать сокрытые файлы и папки — устанавливаем переключатель.
Если у Вас Windows 7, необходимо пройти незначительно иной путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».
Для вас необходимы такие же характеристики и их необходимо включить аналогичным образом. Сейчас Ваши папки на флешке будет видно, но они будут прозрачными.
Шаг 2. Чистка флешки от вирусов.
Зараженная флешка смотрится так, как показано на рисунке ниже:
Чтоб не удалять все файлы с флешки, можно поглядеть, что запускает хоть какой из ярлычков (обычно они запускают один и тот же файл на той же флешке). Для этого необходимо поглядеть характеристики ярлычка, там Вы отыщите двойной пуск — 1-ый открывает Вашу папку, а 2-ой — запускает вирус:
Нас интересует строчка «Объект». Она достаточно длинноватая, но в ней просто отыскать путь к вирусу, почаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строчка двойного пуска смотрелась так:
Вот тот самый путь: RECYCLER6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вкупе с папкой — сейчас клик по ярлычку не небезопасен (если вы до этого не успели его запустить).
Шаг 3. Восстановление прежнего вида папок.
1. Удаляем все ярлычки наших папок — они не нужны.
2. Папки у нас прозрачные — это означает, что вирус загрузчик отметил их системными и сокрытыми. Просто так эти атрибуты Для вас не отключить, потому необходимо пользоваться сбросом атрибутов через командную строку.
Для этого есть 2 пути:
Путь 1:
Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:
- cd /d f: нажать ENTER, где f: — это буковка нашей флешки (может отличатся от примера)
- attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.
Путь 2:
1. Сделать текстовый файл на флешки.
2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.
3. В случае, когда у Вас не выходит сделать таковой файл — Вы сможете скачать мой: Bat файл для смены атррибутов.
Если файлов много, то может быть будет нужно время на выполнение команды, время от времени до 10 минут!
4. Опосля этого, можно возвратятся к первому шагу и вернуть прежний вид папок, то есть, скрыть системные сокрытые файлы.
Как проверить является ли Ваш ПК переносчиком вируса?
Если у Вас есть подозрение, что конкретно Ваш ПК разносит этот вирус по флешкам, можно просмотреть перечень действий в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с заглавием схожим на FS..USB…, заместо точек — какие или буковкы либо цифры.
Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.
Я лично удалил его F-Secure пробной версией, а скрывается он в виде драйвера и найти его можно с помощью утилиты Autoruns.
Если Вы удаляете вирус с флешки, а папки стают ярлычками снова?
Скажу сходу, у меня таковой ситуации не было. Как вылечивать точно — я не знаю. Выходов из ситуации я вижу три:
- сносим Windows (1,5-2 часа, самый стремительный способ);
- устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем комп «полными проверками» пока не найдём вирус (часа 3-4 традиционно, зависит от мощности ПК и количества файлов);
- записываем DrWeb LiveCD на диск либо флешку, загружаемся с него и штудируем компьютер.
Ссылки на утилиты, которые могут помочь:
Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.
Вроде бы все, обращайтесь — постоянно отвечу, время от времени с задержкой.
Дополнение от KRIZ (будет в помощь):
Работает непревзойденно. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое увлекательное во время данного процесса как и с Life CD от Интернета вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.
Оболочкой где подгружены фактически всё что необходимо для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не принципиально какая у вас операционка стоит хоть ЛИНУКС данный метод использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»
Дополнение от Николая с моими пометками:
Перечень команд:
Если папка RECYCLE.bin не удаляется либо возникла снова
Я запустил файл на флешке, но ничего не происходит
Я получил ошибку – Нет доступа