Тема: Папки на флешке стали ярлыками  (Прочитано 5528 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн motosimak

  • Ветеран-элита
  • *****
  • Сообщений: 5487
  • Поблагодарили: 3 раз(а)
  • Уважение: +11/-0
  • Пол: Мужской
    • Просмотр профиля
Папки на флешке стали ярлыками
« : 08 Сентябрь 2013, 22:29:40 »
Первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах  этих ярлыков прописаны две команды:

1.Первая запускает и устанавливает вирус на Ваш ПК
2.Вторая открывает интересующую Вас папку
Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл папки на флешке, т.е. им назначены соответствующие атрибуты (скрытый, архивный). Наша задача: уничтожить вирус  и снять эти атрибуты.

Избавляемся от вируса.

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса, если же его нет – то вручную. Как же найти файлы зловреда?

В проводнике Windows включаем отображение скрытых и системных фалов в Windows XP: Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки »В Windows 7 путь немного другой  Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые

Открываем содержимое флешки,


выбираем любой ярлык на папку и смотрим его свойства. Они будут выглядеть примерно так:


Нас интересует значения поля Target (Объект). Строка указанная в нем довольно длинная и выглядит примерно так:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backupВ этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Удаляем этот файл, а можно и папку целиком. Теперь клик по ярлыку не опасен!

Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:
в Windows 7 – C:\users\имя_пользователя\appdata\roaming\
в WindowsXP – C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\

Если в этих каталогах имеются файлы  с расширением «.exe», то скорее всего это файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).

Восстанавливаем вид каталогов  и доступ к папкам

В зависимости от модификации вируса оригинальным папкам присваиваются системные атрибуты «скрытая» и «системная», либо они перенесены в некую также скрытую папку, созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Ручной способ:

Открываем командную строку (Пуск->Выполнить->набираем cmd->Enter)
В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
cd /d f:\, где f:\ — это буква диска флешки (в конкретном случае может отличаться)

attrib -s -h /d /s,  команда сбрасывает атрибуты скрытости и папки становятся видимыми.


Автоматизация с помощью файла сценария.

Создаем файл clear_attrib.txt, закидываем туда код.

:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Сохраняем и переименовываем clear_attrib.txt в -> clear_attrib.bat

При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, восстанавливает атрибуты на каталогах, удаляет папку с вирусом RECYCLER и, наконец, отрывает в проводнике флешку.


lom44

  • Гость
Папки на флешке стали ярлыками
« Ответ #1 : 09 Декабрь 2013, 01:06:32 »
Если нормальный антивирус установлен, то ему никакие ярлыки не страшны) А вообще интересная статья, спасибо.
 


Оффлайн lancuster

  • Советник
  • ***
  • Сообщений: 315
  • Уважение: +0/-0
  • Пол: Мужской
  • А мы тут, знаете ли, всё плюшками балуемся...
    • Просмотр профиля
Папки на флешке стали ярлыками
« Ответ #2 : 19 Декабрь 2013, 22:34:50 »
Я знаю, что есть знаменитый Червь, который сам создает ярлыки на известные папки. А ещё этот dupler, внутри которого якобы исполняемый файл korinami, фальшивый файл автозапуска autorun.inf ... Всё это я уже проходил.
Насчёт подобных вирусов - мне советовали проверить на наличие вирусов, и на всякий случай создать текстовые файлы и обозвать их именами вирусов. Чтобы эта зараза не смогла распространяться по компу. ;)
 

Оффлайн nick_snow

  • Ученик
  • **
  • Сообщений: 111
  • Уважение: +0/-0
    • Просмотр профиля
Папки на флешке стали ярлыками
« Ответ #3 : 25 Ноябрь 2014, 11:13:13 »
Старый, как мир вирус, тоже поверг меня в ужас, когда в первый раз столкнулся, но быстро избавился
 

Оффлайн net43

  • Ученик
  • **
  • Сообщений: 166
  • Уважение: +0/-0
    • Просмотр профиля
Папки на флешке стали ярлыками
« Ответ #4 : 08 Январь 2015, 19:13:30 »
Поставьте хороший антивирус, Касперский или Dr Web, и никогда с такой проблемой больше не сталкнётесь. Если вставляли эту флешку в другой комп, его надо лечить, иначе все флехи будет превращать в подобные - заражать.
 


Оффлайн iti

  • Новичок
  • *
  • Сообщений: 27
  • Уважение: +0/-0
    • Просмотр профиля
Папки на флешке стали ярлыками
« Ответ #5 : 07 Октябрь 2015, 11:40:11 »
Я обычно все проверяю на наличие вирусов до того, как открыть или запускаю в безопасном режиме.
 

Оффлайн николай

  • Советник
  • ***
  • Сообщений: 297
  • Уважение: +0/-0
  • Пол: Мужской
    • Просмотр профиля
Папки на флешке стали ярлыками
« Ответ #6 : 13 Март 2016, 18:06:55 »
Поставьте хороший антивирус, Касперский или Dr Web, и никогда с такой проблемой больше не сталкнётесь. Если вставляли эту флешку в другой комп, его надо лечить, иначе все флехи будет превращать в подобные - заражать.
Действительно, при пользовании лицензионной версией антивируса Касперского не было такой проблемы, а вот с Аваст не справлялся. Было замечено!
 

 


Поиск

 
SimplePortal 2.3.6 © 2008-2014, SimplePortal