Информация к новости
  • Автор: remo
  • Дата: 6 сентябрь 2012 10:09
6 сентябрь 2012 10:09
Борьба с вирусом на флешках “Вместо папок – ярлыки”

Категория: Безопасность ПК / Просмотров: 19988 / Комментариев: 0

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту – очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак – это все папки на флешке превратились в ярлыки.

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов – вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: “Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид”:

Борьба с вирусом на флешках “Вместо папок – ярлыки”

На вкладке “Вид” отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) – снимаем галочку
  2. Показывать скрытые файлы и папки – устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь:  ”Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид”.

Борьба с вирусом на флешках “Вместо папок – ярлыки”


Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Борьба с вирусом на флешках “Вместо папок – ярлыки”


Чтобы не удалять все файлы с флешки,  можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск – первый открывает Вашу папку, а второй – запускает вирус:


Нас интересует строка “Объект”.  Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe - папка на флешке и вирус в ней.
Удаляем его вместе с папкой – теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3.  Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок – они не нужны.
2. Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Путь 1:

Открываем “Пуск”-Пункт “Выполнить”-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\  нажать ENTER,  где f:\ – это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.

Путь 2:

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s  в него, переименовать файл в 1.bat и запустить его.

3.  В случае, когда у Вас не получается создать такой файл – Вы можете скачать мой: Bat файл для смены атррибутов 1.zip [126 b] (cкачиваний: 735)

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут! 

4. После этого,  можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые  файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек  - какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а  папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно – я не знаю. Выходов из ситуации я вижу три:

  • сносим Windows (1,5-2 часа, самый быстрый способ);
  • устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер “полными проверками” пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
  • записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь – всегда отвечу, иногда с задержкой.

 

Дополнение от KRIZ (будет в помощь):


“Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

 

Работает отлично.  Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Оболочкой где подгружены практически всё что нужно для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не важно какая у вас операционка стоит хоть ЛИНУКС данный способ использую уже в течении 5-ти лет. и удачно… может и поможет советец..))”

 

Дополнение от Николая с моими пометками:


Создаем файл для удаления вируса с флешки и одновременного открытия папок. В текстовый файл вписываем команды, без моих пометок в скобках, сохраняем файл, переименовываем его в Antivir.bat. Загружаем на зараженную флешку и запускаем.
Список команд:

 

attrib -s -h /s /d (делает папки видимыми)rd RECYCLER /s /q (удаляет папку Recycler)del autorun.* /q (удаляет файл запуска вируса)del *.lnk /q (удаляет ярлыки на папки)

 

 

Если папка RECYCLE.bin не удаляется или появилась снова


Cама по себе папка Recycle.Bin не опасна – она появляется автоматически, так как это папка корзины Windows. Обычно в настройках корзины – установлено резервировать 10% от каждого диска, поэтому на всех дисках С, D, E и т.д., кроме DVD появляется эта скрытая папка. Вот если в этой папке есть файлы с раcширением EXE или BAT – тогда их стоит удалить.

 

Я запустил файл на флешке, но ничего не происходит


Файл, который Вы скачали у меня или написали сами, можно считать самодостаточной программой, но у неё нет окон, статуса выполнения и т.д. Если на флешке много папок и файлов, то процедура может занимать до 5-10 минут, просто подождите.

 

Если запустить файл на флешке с важными документами - они не пропадут?


Мой файл или эти команды – ничего не удаляют, они просто меняют атрибуты папок и файлов со скрытых на видимые. В дополнении от Николая – удаляются ярлыки и файлы Autorun.

 

Я получил ошибку - Нет доступа


Если Вы делаете эту процедуру на работе, возможно у Вас нет прав администратора ПК. Попробуйте сделать тоже самое в безопасном режиме или на другом ПК.

Нашли ошибку в тексте? Выделите фрагмент текста и отправьте нажатием Ctrl + Enter
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:*
Комментарий:
b
i
u
s
|
left
center
right
|
emo
url
leech
color
|
hide
quote
translit
Вопрос:
Допишите недостающие буквы в слове: Росc_я (слово в ответе писать целиком)
Ответ:*
Введите код: *
2011-2014 WikiWin.info
Microsoft Windows © и логотип Windows © являются зарегистрированными товарными знаками компании Microsoft Corporation © в США а так же в других странах.
Администрация сайта не несет ответственность за содержание и достоверность информации.
В случае, если Вы обнаружили свою статью, и считаете что Ваши авторские права нарушены ее размещением - немедленно свяжитесь с нами,
администрация сайта обязуется удалить материалы при первом требовании!
Для связи з администрацией (melkor@ukrpost.net)