• Главная
  • Карта сайта
Не найдено

Вірус на флешці - папки стали ярликами! Рішення!

  1. Вичищаємо заразу остаточно!
  2. Повертаємо зниклі папки назад
  3. автоматизований варіант

Сьогодні я хочу поговорити про один вже досить старенькому вірус, модифікації якого досі розбурхують комп'ютери користувачів не піклуються про власну безпеку

Сьогодні я хочу поговорити про один вже досить старенькому вірус, модифікації якого досі розбурхують комп'ютери користувачів не піклуються про власну безпеку. Сенс його деструктивної діяльності полягає в тому, що він приховує вміст знімного диска і підміняє його посиланнями на виконуваний файл, які вміло маскує за допомогою зміни їх атрибутів. Все розраховано на те, що нічого не підозрюючи користувач не помітить, що замість папок ярлики і спробує їх відкрити. Таким чином цей троян і кочує від комп'ютера до комп'ютера, вражаючи незахищені операційні системи одну за одною.
Якщо ж на черговому ПК стоятиме гарна антивірусна програма типу Касперського або DrWeb, то вона, звичайно ж, відразу його засіче і видалить сам виконуваний EXE-файл або скрипт. Але ось змінити атрибути, через які папки стали ярликами на флешці, антивірус не в змозі і Вам доведеться робити це вручну. Як це зробити я зараз і розповім.

Вичищаємо заразу остаточно!

Для початку треба остаточно переконатися, що вірусу немає ні на комп'ютері, ні на USB-диску. Для цього оновлюємо бази антивірусної програми і перевіряємо спочатку одне, потім інше. Якщо у Вас її немає - настійно рекомендую його встановити. Наприклад, відмінно себе зарекомендував безкоштовний антивірус Касперського . Так само можна скористатися одноразовим сканером DrWeb CureIT.
Після цього треба зайти в панель управління Windows і відкрити розділ «Параметри папок». У вікні, переходимо на вкладку «Вид»:

Тут необхідно зняти галочки «Приховувати захищені системні файли» і «Приховувати розширення для зареєстрованих типів файлів». А ось прапорець «Показувати приховані файли, папки і диски» треба навпаки поставити. Це робиться для того, щоб побачити все, що шкідлива програма могла приховати від користувача.
Наступним кроком потрібно буде вручну підчистити залишки життєдіяльності зловреда. Обов'язково перевірте щоб на флешці не залишилося файлу сценарію автозапуску - autorun.inf. Потім варто видалити папку RECYCLER (До речі, в ній-то зазвичай EXE-шник вірусу і лежить).
На жорсткому диску треба звернути увагу на папки користувачів, а особливо - на C: \ Users \ << Користувач >> \ Appdata \ Roaming \. Саме сюди намагається ховатися всяка зараза, а тому в ній не повинно бути виконуваних файлів з розширення * .EXE і * .BAT.

Повертаємо зниклі папки назад

Наступним етапом потрібно повернути назад папки, які стали ярликами на USB-накопичувачі. Ось тут починається найцікавіше. Справа в тому, що в залежності від модифікації, спосіб за допомогою якого вірус сховав директорії може бути різним. У найпростішому випадку досить зайти на флешку. Там ви побачите приховані папки (їх відображення ми включили вище). Треба просто на кожній з них натиснути правою кнопкою, відкрити її властивості і зняти галочку «Прихований».

А ось якщо попрацював більш просунутий зловредів, то швидше за все ця галочка буде недоступна і так просто зняти атрибут «прихований» з папки після вірусу у Вас не вийде.

В цьому випадку прямо в корені флешки створюємо текстовий файлик, в якому треба скопіювати ось цей рядок:

attrib -h -r -s -a / D / S

Закриваємо текстовий редактор і міняємо йому розширення з * .TXT на * .BAT.
Кількома на файлі правою кнопкою і в контекстному меню вибираємо пункт «Запуск від імені Адміністратора».

Після цього папки повинні стати видимими.
Якщо щось незрозуміло - дивимося відео-інструкцію:

автоматизований варіант

Для тих, хто не любить все робити вручну, вважаючи за краще покластися на скрипти, теж є відмінний спосіб. Полягає він у тому, що на орендованому накопичувачі треба знову ж створити BAT-файл, відкрити його блокнотом і скопіювати туди ось такий код:

: Lable cls set / p disk_flash = "Input USB Drive Name:" cd / D% disk_flash%: if% errorlevel% == 1 goto lable cls cd / D% disk_flash%: del * .lnk / q / f attrib -s -h -r autorun. * del autorun. * / F attrib -h -r -s -a / D / S rd RECYCLER / q / s explorer.exe% disk_flash%:

Закриваємо текстовий редактор і зберігаємо зміни. Запускаємо скрипт на виконання. На початку він попросить вказати букву, під якою флешка відображається в Провіднику. Після цього він видалити папку RECYCLER, файл автозапуску autorun.inf і поверне атрибути папок, які стали ярликами. Цей варіант відмінно працює в більшості випадків на «ура».
Але якщо раптом Вам попадеться більш хитра модифікація такого вірусу, то все ж Вам доведеться закатати рукава і попрацювати руками.

Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью