Борьба с вирусом на флешках "вместо папок

Содержание:

Вредоносные программы и вирусное ПО может оказывать различное воздействие на операционную систему.

Одни вирусы – удаляют данные или воруют важные файлы с компьютера. Другие – создают ярлыки произвольных файлов или ярлыки с сомнительной рекламой и интернет ресурсами.

Помимо этого, в последнее время была замечена высокая активность вирусов, делающих из важных файлов ярлыки, через которые невозможно открыть данные.

Подобные вирусы могут встречаться на жестком диске или располагаться на съемном носителе, мешая комфортному использованию или вовсе заменяя любое подключенное устройство на бесполезный ярлык.

Содержание:

Вредоносные программы и вирусное ПО может оказывать различное воздействие на операционную систему.

Разновидности вирусов ярлыков

На сегодня наиболее распространены 2 типа вирусов, создающих ярлыки: первые создают ярлыки вместо файлов и папок на флешке или карте памяти, другие создают ярлыки съемных дисков вместо самих флешек, внешних USB дисков и карт памяти.

Названия наиболее распространенных вирусов:

Bundpil.Shortcu;
Mal/Bundpil-LNK;
Ramnit.CPL;
Serviks.Shortcut;
Troj/Agent-NXIMal/FakeAV-BW;
Trojan.Generic.7206697 (B);
Trojan.VBS.TTE (B);
Trojan.VBS.TTE;
VBS.Agent-35;
VBS.Serviks;
VBS/Autorun.EY worm;
VBS/Autorun.worm.k virus;
VBS/Canteix.AK;
VBS/Worm.BH;
W32.Exploit.CVE-2010_2568-1;
W32.Trojan.Starter-2;
W32/Sality.AB.2;
Win32/Ramnit.A virus;
Worm:VBS/Cantix.A;

Как обеспечить безопасность компьютера?

Чтобы ситуации перестали быть частью работы, когда браузер Опера не запускается с ярлыка, пользователи защищают свои компьютеры от угроз.

Использование брандмауэра. Это устройство проверяет сведения, которые поступают из Интернета. Брандмауэр не позволяет хакерам и вирусам получить доступ к ноутбуку.
Антивирусные программы.
Применение антишпионских приложений.
Windows Update. Работу системы упрощает установка обновлений. Windows регулярно проверяет их для компьютера.

Параметрами безопасности легко управлять с помощью Центра поддержки. Он руководит настройками брандмауэра, антивирусными программами, предоставляет пользователю ссылки на ресурсы, где имеются средства для устранения неполадок.

Что делать, если ярлык не открывается?

Если человек не будет бездумно применять программы для открытия неподходящих файлов, вероятность неполадок уменьшится. Чтобы в любой момент можно было открывать значки на рабочем столе, пользователи устанавливают новые версии антивирусов на компьютеры.

Поиск других ярлыков браузера

После удаления вредоносных файлов, удалите с компьютера все ярлыки, которые имеют в своих свойствах это расширение, или приписку с именем сайта.

Так как ярлык браузера на компьютере существует не в единственном экземпляре, то вам необходимо будет удалить со своего компьютера и другие зараженные ярлыки. Такие ярлыки могут находиться в списке программ меню «Пуск», а также они могут быть закреплены на Панели задач.

Сначала открепите и удалите ярлыки из Панели задач. Эти ярлыки будут заражены с вероятностью близкой к 100%. Затем проверьте ярлыки браузеров, которые расположены в списке программ меню «Пуск». Ярлыки браузеров могут быть расположены отдельно, или в папках по имени браузера. Если свойства ярлыков были изменены, удалите зараженные ярлыки со своего компьютера.

Не забудьте, в списке программ из меню «Пуск» посмотреть на еще одно расположение ярлыка браузера Internet Explorer. Путь к этому файлу будет таким: «Все программы» => «Стандартные» => «Служебные». Там вы найдете ярлык Internet Explorer (без надстроек).

Если на вашем компьютере установлен Яндекс.Браузер, то я вам рекомендую также проверить ярлыки других программ Яндекса: Яндекс,Диск, Punto Switcher и т. д. Потому что есть вероятность того, что ярлыки этих программ также могут быть заражены, так как папки этих программ расположены в одной папке, вместе с папкой браузера.

Альтернативный вариант удаления

Если вы панически боитесь заходить в реестр и осуществлять там редактирование, тогда сначала попробуйте иной способ, как удалить неудаляемый ярлык.

Выполните перезагрузку компьютера, а в момент запуска операционной системы выберите вариант загрузки в безопасном режиме. В большинстве случаев такой вариант срабатывает и вам удаётся решить проблему, когда не удаляется никакими иными способами ярлык.

Если вы стремитесь удалить то, что автоматически устанавливается самой операционной системой, например, «Корзина», тогда предлагаем вам иной вариант действий.

Зайдите в меню «Пуск», выберите команду «Выполнить», в появившуюся строку введите «gpedit.msc».

После таких ваших действий откроется редактор пользователя, в левой части открытого окна вы легко найдёте параметр «Конфигурация пользователя». Кликните по нему и следуйте далее, переходя сначала в «Административные шаблоны», а затем в параметр «Рабочий стол».

Теперь переведите взгляд на правую часть окна, там вы обнаружите предложение об удалении значка, в частности, корзины. Остаётся вам дважды кликнуть по нему, а затем установить галочку в чекбоксе рядом с параметром «Включить». Вот теперь вы без труда сможете удалить и этот ярлык.

Итак, если у вас не удаляются ярлыки с рабочего стола, ознакомьтесь с рекомендациями опытных пользователей, следуя алгоритму, осуществите практические действия, и вы поймёте, что на самом деле всё так просто выполняется.

Как вернуть работоспособность папок?

Для того чтобы вернуть работоспособность папок, нужно найти и уничтожить вирус. В данном случае виноват исполняемый файл вируса с расширением «.exe». Проще всего это сделать с помощью антивируса, запустив проверку флешки на вирусы.

Также найти исполняемый файл можно и вручную. Для начала необходимо включить отображение скрытых папок и файлов. Для этого нужно зайти в «Панель управления» через меню «Пуск», далее выбрать пункт «Оформление и персонализация», затем «Параметры папок». В появившемся окне нужно перейти на вкладку «Вид» и в самом низу выбрать пункт «Показывать скрытые файлы». Также можно зайти в «Мой компьютер», выбрать в панели меню пункт «Сервис», затем «Свойства папки» и в открывшемся окне указать, чтобы отображались скрытые файлы.

После этого нужно открыть флеш-носитель и проверить все скрытые файлы

Проверять нужно свойства каждого ярлыка и особое внимание стоит обращать на пункт «Объект» во вкладке «Ярлык». Как правило, все ярлыки запускают один и тот же исполняемый файл, и нужно выяснить, в какой папке он находится

Строка вредоносного кода в поле «Объект» может быть длинной, но нужно найти в строке примерно такой фрагмент – «RECYCLER/5fa248fg1.exe». Файл «5fa248fg1.exe» является вирусом (комбинация цифр и букв будет абсолютно другой), а «RECYCLER» — это название папки, в которой этот вирус находится. В данном случае нужно эту папку удалить, и после этого запуск ярлыков уже не будет представлять никакой опасности.

После удаления вируса осталось только вернуть папкам их прежний вид. Для этого нужно удалить все ярлыки папок, при этом все данные на флешке все равно останутся, они просто невидимы. Затем нужно выбрать пункт «Выполнить» из меню «Пуск», набрать в строке поиска «cmd» (без кавычек) и щелкнуть «Enter». В открывшемся окне нужно ввести команду «cd /d f:\» (вместо буквы «f» необходимо вставить буквенное значение флешки) и нажать «Enter», а затем ввести «attrib -s -h /d /s» и снова нажать «Enter». После этой процедуры папки на флеш-носителе станут видимыми.

Обновлено: 21.11.2017

103583

Содержимое ярлыков

До того, как Microsoft опубликовала информацию о формате LNK-файлов , исследователи предпринимали попытки самостоятельно описать этот формат . Сложность исследований заключалась в том, что разные ярлыки содержат разные сведения. И при переходе от ярлыка к ярлыку может меняться количество содержащихся в нем сведений о конкретном файле. Кроме того, в Windows 10 в LNK-файлах появились новые поля, которых не было в предыдущих версиях операционной системы.

Итак, какую же информацию содержит LNK-файл? Belkasoft Evidence Center отображает три секции с информацией об LNK-файле: Метаданные, Происхождение и Файл.

Наиболее важные из сведений, представленных в секции Метаданные:

исходный путь файла и его временные метки (полный путь, время доступа к целевому файлу (UTC), время создания целевого файла (UTC), время изменения целевого файла (UTC)).
тип привода;
серийный номер тома (серийный номер привода);
метка тома;
NetBIOS-имя устройства;
размер целевого файла (байт) — размер файла, с которым ассоциирован ярлык.

На скриншоте выше есть поля Droid файла и Оригинальный Droid файла. DROID (Digital Record Object Identification) — индивидуальный профиль файла. Эта структура (droid файла) может использоваться службой отслеживания ссылок (Link Tracking Service), чтобы определить, был ли файл скопирован или перемещен.

В секции Файл дан MAC-адрес устройства, на котором был создан ярлык. Эта информация может помочь идентифицировать устройство, на котором данный файл был создан.

Следует отметить, что MAC-адрес устройства, зафиксированный в LNK-файле, может отличаться от реального. Поэтому этот параметр иногда не является достоверным.

При проведении исследований следует обращать внимание на временные метки LNK-файла, так как время его создания, как правило, соответствует либо времени создания этого файла пользователем, либо времени первого обращения к файлу, ассоциированного с данным ярлыком. Время изменения файла обычно соответствует времени последнего обращения к файлу, с которым ассоциирован ярлык

Как бороться с вирусом, создающим ярлыки?

Если «троян» не успел распространиться, то есть, он был вовремя выявлен, и были предприняты меры по его устранению, то уровень угрозы можно считать минимальным. Удалить вирус будет просто. Но чаще всего пользователи начинают кликать по ярлыкам множество раз, способствуя «размножению» вредных элементов.

Хорошо, когда на ПК установлен качественный антивирус, который сможет выявить и устранить LNK Starter самостоятельно. Увы, многие «юзеры» пренебрегают использованием защитного ПО.

Перейдем к рассмотрению методов устранения проблемы. Начнем с универсальных (в этой ситуации) способов.

Значение значков, мерцающих на рабочем столе?

Значки, мерцающие на рабочем столе, — это имя ошибки, содержащее сведения об ошибке, включая причины ее возникновения, неисправность системного компонента или приложения для возникновения этой ошибки вместе с некоторой другой информацией. Численный код в имени ошибки содержит данные, которые могут быть расшифрованы производителем неисправного компонента или приложения. Ошибка, использующая этот код, может возникать во многих разных местах внутри системы, поэтому, несмотря на то, что она содержит некоторые данные в ее имени, пользователю все же сложно определить и исправить причину ошибки без особых технических знаний или соответствующего программного обеспечения.

Вирус на флешке: ярлыки вместо папок

Вы подключили флешку к компьютеру, а там ярлыки вместо папок какие-то? — Проблема на лицо, на вашу флешку закрался вирус. Будем выгонять его в этой статье.

Где можно заразиться и как выявить

Этот вирус уже довольно давно разгуливает по сети, а также сидит на компьютерах пользователей. Папки на жёстком диске он не трогает, а вот флешку портит на раз. Определить, что вы заразились именно таким вирусом очень легко — все папки на флешке превратись в ярлыки (рисунок ниже).

Самое главное, что не стоит делать — это пытаться открывать эти папки. Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие папки.

Чистка флешки от вируса

Чистку будем провожать в несколько шагов.

1. Отобразить скрытые файлы и папки

Нам нужно попасть в свойства папок, для этого переходим по следующему пути:

Панель управления — Свойства Проводника — вкладка Вид (для Windows 10);
Пуск — Панель Управления — Оформление и персонализация — Параметры папок — вкладка Вид (для Windows 7).

Проделаем 2 действия:

Скрывать защищенные системные файлы (рекомендуется) — снять галочку;
Показывать скрытые файлы и папки — установить переключатель.

2. Удаляем вирус

Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл). Для этого нужно посмотреть свойства ярлыка, там вы обнаружите двойной запуск — первый открывает вашу папку, а второй — запускает вирус:

Нас интересует строка Объект . Она довольно длинная, но сам вирус легко определить по имени типа 189595.exe в папке Recycle на самой флешке.

Путь RECYCLER897frtj.exe и есть вирус на вашей флешке (имя может быть любое). Удаляем его вместе с папкой.

3. Восстанавливаем вид папок

Теперь ярлыки можно удалить, они больше не нужны. Ваши папки стали скрытыми (выглядят как прозрачные). Просто так атрибут скрытности не снять, поэтому придётся прибегнуть к «великой» командной строке.

Для этого есть 2 пути:

Нажимаем Win + R и вводим команду cmd , в открывшемся окне (рисунок ниже) вводим последовательно 2 команды:

cd /d f: нажать ENTER , где f: — это буква нашей флешки;
attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

Создайте текстовый файл на флешке и запишите в него команду attrib -s -h /d /s , сохраните под именем 1.bat. Далее просто запустите этот файл. Также вы можете скачать уже готовый файл для смены атрибутов .

При большом количестве файлов восстановление может занять минут 10, не паникуйте.

Теперь возвращаемся к 1-ому шагу и ставим параметры в их первоначальное состояние.

Обязательно проверьте флешку с помощью вашего антивируса или лечащей утилиты. Об этом у меня есть статьи: выбор антивируса и лечащие утилиты . Помимо флешки не забудьте проверить и сам компьютер.

Как понять, что ваш компьютер переносчик

Если вы подозреваете свой компьютер в распространении вируса по флешкам, то можно отследить процессы в диспетчере задач. Открыть его вы можете через комбинацию клавиш Ctrl+Shift+ Ecs . Поищите процесс с названием похожим на FS..USB…, вместо точек какие либо буквы или цифры.

Также в поиске вируса на своём компьютере может помочь утилита Autoruns.

Будьте аккуратны с флешками и не суйте в какой попало компьютер, мало ли что.

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы. Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.

Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
Расшифровка атрибутов R — разрешает или запрещает атрибут «Только для чтения», S — превращает файл или папку в системный, H — скрываем или показываем файлы и папки, D — обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его. Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk

Восстановление LNK-файлов

В каталоге Recent, который описан выше, находится до 149 LNK-файлов. Что же делать, когда нужный нам ярлык удален? Конечно же, нужно попробовать восстановить его! Восстановление LNK-файлов можно произвести с использованием сигнатуры заголовка файла hex:4C 00 00 00.

Чтобы задать заголовок файла, нужно пройти в меню программы: Инструменты — Настройки, перейти во вкладку Карвинг, нажать кнопку Добавить и создать новую сигнатуру. Более подробно о методах карвинга с помощью Belkasoft Evidence Center можно прочитать в статье «Carving and its Implementations in Digital Forensics» .

Добавление пользовательской сигнатуры (header):

Как удалить вирус, создающий ярлыки?

Если это вредоносное ПО не успело проникнуть во все уголки системы, другими словами вредитель был пойман с поличным и вы создали меры, как его правильно заблокировать или деинсталлировать, то угроза значительно снизилась. Полностью деинсталлировать вредителя в этом случае будет довольно просто. Но, если вы нечаянно нажали на данные ярлыки, и притом несколько раз, клонируя его ещё больше, уровень опасности значительно повышается.

Я много раз писал, что на компьютере должен быть инсталлирован антивирус отличного качества вместе с файрволлом, способный определить данного вредителя и своими силами справиться с ним. Но, к сожалению, довольно много пользователей или вообще не ставят антивирус, или устанавливают один из самых дешевых и простых защитников.

Итак, начнём рассматривать избавление от этой напасти. Перейдём к универсальным методам избавления от вредителя.

Как удалить или стереть имя с ярлыка/иконки?

Известно, что если просто затереть наименование ярлыка или иконки клавишей Delete или Backspace, оставив его без названия, у вас ничего не получится – Windows не может не присвоить наименование. Без этого системный проводник просто не будет работать. Однако визуально иконку всё же можно лишить названия. Для этого:

вызываем Таблицу символов через Win + R и команду charmap

в таблице символов найдём любой ближайший символ пробела (их там несколько) и скопируйте клавишей Выбрать:

теперь выбираем нужную иконку, жмём F2 и вставляем через Ctrl + C:

Восстановить имя по умолчанию можно просто удалив его имя, оставив поле пустым. Но Windows, как вы помните, это дело так оставить не может. И по нажатию на клавишу Enter имя по умолчанию вернётся вновь.

Редко, кто на это обращает внимание, однако в Windows немало настроек и фишек, направленных исключительно на внешний облик системы. Одна из таких настроек – отображаемые текстом имени иконок тени

Присмотритесь:

За эту “красоту” отвечает раздел реестра

По умолчанию параметру ListviewShadow, которому присвоено значение 1. Так что, если вдруг иконка ярлыка стала выглядеть простовато, вы знаете куда копать.

Если вы столкнулись с проблемой восстановления ярлыков на рабочем столе, то данная статья поможет вам в этом вопросе и если следовать её инструкциям, то можно быстро решить данную проблему.

Приблизительно данная проблема выглядит так: “Я скачал три программы из Интернета и решил проверить их в действии. Но после установки второй программы вдруг все ярлыки на рабочем столе и в меню Пуск поменяли свои значки на значок белого чистого листа. Ярлыки перестали работать – приложения не запускаются. Как восстановить работоспособность ярлыков на рабочем столе?”.

Давайте попробуем, как можно детальней разобраться в возможных способах восстановления ярлыков.

Инструкция по использованию:

После запуска программы вам необходимо только запустить процесс проверки, подождать некоторое время, сразу хочу сказать, иногда проверка может длиться несколько часов, зависит от объема информации на компьютере и мощности вашего ПК. Если смотреть в самой программе, то выглядит это вот так: Открываете вкладку «Начать новое сканирование», снимаем галочку быстрое сканирование и нажимаем кнопку плей. Смотрим на картинке наглядно.

Галочку быстрое сканирование снимаем не просто так. Делается это для достижения максимального эффекта, поэтому не забываем строго выполнять инструкцию, чтобы потом не писать злостных комментариев, что у вас не получается самостоятельно справиться.

Вот так будет проходить процесс проверки:

А вот так будут выглядеть угрозы, если конечно такие у вас есть:

В конце сканирования вы увидите результат, где указанно количество угроз и кнопка обезвредить угрозы, вот так выглядит:

В программе SpyHunter есть возможность добавить какие-либо программы в список исключений, чтобы их не цепляло приложением, как не доверительные. Обычно такой эффект бывает на программы, которые вы используете без лицензии (взломанные, крякнутые, неизвестные). Сам раздел исключений смотрите на картинке:

Если быть более корректным, то тут будут отображаться те программы, которые вы сами разрешаете пропускать во время проверки. Будьте внимательны и пропускайте только те программы, в надежности которых вы уверены минимум на 99%

Еще полезная категория, «охранники системы» в ней вы сможете посмотреть, что делает программа, какие файлы она признала опасными и заблокировала, а какие просканировала и решила, что они безопасные. Можно сказать это небольшой отчет, для вашего личного анализа и принятия дальнейших решений, выглядит вот так:

Функция охраны системы должна быть всегда включена, чтобы избежать заражения и выхода из-под контроля заблокированных программ. Надеюсь, свои мысли я донес вам максимально просто и с пользой, жду ваших комментариев, мне всегда интересно узнать получилась статья хорошей или это всего лишь набор бесполезного текста для вас. Задавайте свои вопросы и не стесняйтесь, вместе сможем разобраться со всеми ситуациями в разы быстрее, удачи друзья!

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?

В этом примере RECYCLERe3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:windows, C:windowssystem32 и в профиле текущего пользователя (о них чуть ниже)).

в Windows 7, 8 и 10 — C:usersимя_пользователяappdataroaming
в Windows XP — C:Documents and Settingsимя_пользователяLocal SettingsApplication Data

Если в этих каталогах имеются файлы с расширением «.exe », то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде.bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Удаление вируса с компьютера

Наиболее простым и надежным способом очистки компьютера от вируса будет полная переустановка Windows с удалением системного раздела.

Но если вы являетесь опытным пользователем, вы можете опробовать следующий способ:

Отключите запуск вируса при старте Windows в реестре. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Перейдите к ключу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.

Просмотрите все ключи, которые находятся в этом разделе. Если вы видите необычное название или расположение программы – удалите запись. Часто вирусы прячутся под автоматически сгенерированными названиями, например – sfdWQD234dcfF. Любые ключи, которые запускают VBS, INI, LINK или EXE файлы потенциально опасны. Однако только вы знаете какие программы установлены на компьютере и должны загружаться при старте Windows, поэтому вы должны сами принять решение об удалении того или иного ключа. Для удаления выделите ключ левой кнопкой мышки и удалите его кнопкой Del.

Отключите запуск вируса через службы Windows. Нажмите клавиши Win + R, в появившемся окне введите msconfig и нажмите Enter. В открывшемся окне перейдите на вкладку Службы. Просмотрите их и отключите все подозрительные.

Отключите приложения, запускаемые автоматически через диспетчер задач (для Windows 8и старше). Нажмите Ctrl + Shift + Escи перейдите на вкладку Автозагрузка. Для отключения подозрительного приложения по нему нужно кликнуть правой кнопкой мышки и выбрать Отключить.

Неверные действия

Частенько после появления проблемы человек следует самому первому совету и форматирует USB-накопитель. Конечно, проблема уходит на какое-то время, но все данные теряются. Да и при таком подходе никто не сможет дать гарантий, что через какое-то время события не повторятся. Надо сказать, что пользовательские данные никуда не пропадают. Вирус просто скрыл их, а ссылки на свой запуск пытается подать в качестве исходного содержимого.

Не стоит пытаться что-нибудь открыть, если на флешке все папки стали ярлыками. обычно создают ссылку на свой запуск. Вместе с этим в скрипт может быть добавлен код, заражающий компьютер.

Но не стоит недооценивать вирусописателей, наивно полагая, что если на флешке все папки стали ярлыками, но с ними не производилось никаких действий, то ПК полностью защищен. Скорее всего вредоносная программа скопировала сама себя во внутреннюю память еще во время инициализации устройства сразу после его подключения.

Исключить эту вероятность может только деактивированный автозапуск со всех носителей и последняя версия антивируса.

О вирусах и пользователях

Рядовой пользователь, столкнувшись с проблемой, действует так: просто кликает по каждому ярлыку в попытке получить доступ хотя бы к одному каталогу. Второй вариант развития событий — форматирование, которое не решает проблему, а если и решает (в случае отсутствия важных данных), то ненадолго.

Запомните, информация с флешки никуда не пропадает. Все папки стали ярлыками, а сами папки скрыты, но не удалены. Данные продолжают оставаться на своих местах, однако вирус замаскировал их, пытаясь выдать ссылки на запуск вредоносного кода за исходное содержимое. Отсюда следует, что щелкать по этим ссылкам не стоит, даже если они открывают необходимый каталог. Обычно вредоносная программа создает ярлыки, которые ссылаются на специальный служебный файл, куда вложено две команды. Первая загружает вирус в память и копирует его на жесткий диск компьютера, вторая — открывает необходимый пользователю каталог.

Но не нужно думать, что если файлы и папки на флешке превратились в ярлык, но не открывались, вирус не проник в локальную машину. Вероятнее всего, вредоносное ПО уже перебралось на компьютер пользователя. Исключена эта возможность только тогда, если в операционной системе со сменных носителей либо установлен антивирус с последними вирусными базами.

Восстанавливаем удалённые папочки

Нужно попытаться восстановить папки. Чтобы это сделать, меняем реквизиты, установленные вредоносным ПО. Итак:

Входим в командную строку. Для этого, в поиск введём cmd и по появившемуся файлу кликнем правой клавишей мышки, чтобы запустить его от имени администратора.
После этого, в данное черное окошко нужно ввести следующую команду: Cddбуква диска, который заражен:
После этого, нужно вписать следующий код и нажать «Ввод»: attrib -s -h /d /s
Далее, перезапускаем компьютер, для полного удаления данного вредоносного ПО;
Теперь, для большего спокойствия, что вредитель нас не потревожит, инсталлируем оставшиеся частицы вируса по данному адресу: C:usersИМЯ_ПОЛЬЗОВАТЕЛЯappdataroaming

По данному адресу, может прятаться скрытая папочка с вредоносным ПО, её нужно удалить.

Восстанавливаем удалённые папочки

Входим в командную строку. Для этого, в поиск введём cmd и по появившемуся файлу кликнем правой клавишей мышки, чтобы запустить его от имени администратора.
После этого, в данное черное окошко нужно ввести следующую команду: Cd d буква диска, который заражен: \
После этого, нужно вписать следующий код и нажать «Ввод»: attrib -s -h /d /s
Далее, перезапускаем компьютер, для полного удаления данного вредоносного ПО;
Теперь, для большего спокойствия, что вредитель нас не потревожит, инсталлируем оставшиеся частицы вируса по данному адресу: C:\users\ИМЯ_ПОЛЬЗОВАТЕЛЯ\appdata\roaming\

По данному адресу, может прятаться скрытая папочка с вредоносным ПО, её нужно удалить.

У меня перестали работать ярлыки, почему?

Если ярлык перестал работать на новом устройстве, то не стоит волноваться. Проблема не в работе системы, а в ошибке человека.

Перенос ярлыков на другой компьютер — ошибка начинающих пользователей. Некоторые копируют ярлык на флешку. Впоследствии они перемещают этот элемент на новый компьютер. Неопытные пользователи забывают: ярлыки не являются самостоятельными программами. Иконка – это указатель для системы. Сами программы хранятся на диске.

Что делать, если игра homefront the revolution не запускается с ярлыка? Надо скачать с официального сайта установщик этой программы — проблема исчезнет.

Защита от вирусов, вешающих ярлыки на флешку, авторанов

Алоха всем. Намутил тут на днях .bat файл, который препятствует проникновению авторан-вирусов на флешку. Решил поделиться, мало ли кому поможет. Сразу прошу за какие-то технические неточности, я не спец, просто жизнь вынудила)

В универе у нас на компах завелся вирусяка гадостный. Его алгоритм действий: Перебрасывает все файлы на флешке в папку, эту папку скрывает и делает системной. Потом создает ярлык на эту скрытую папку. Как правило называется «Съемный диск %буква%» или то же самое но с размером флешки. Но ярлык не простой, а золотой) Открыв флешку по ярлыку, мы запускаем вредоносный код. Т.к. текучка студентов на компах огромная, кто-то да занесет опять, несмотря на периодические чистки. Залезает вирусяка иногда других модификаций, но в целом можно считать, что одного типа. «Антивирус» подходит как правило для рабочих мест, где постоянно несут один и тот же вирус, но для иных версий файл можно модифицировать самому, ничего секретного там нет.

На этом основная часть закончена, переходим к рассмотрению сути защиты.

В .zip архиве 2 файла — AVP Enable.bat и AVP Disable.bat. Запускать их надо из корня флешки. Один файл для создания файлов и папок, другой удаляет их соответственно (если зачем-либо захочется удалить). Все это хозяйство скрывается и делается системным, и на компах, настроенных по дефолту, вы ничего не увидите.

Защита строится исходя из следующего принципа, все это зашито в батник:

1) Смотрим название папки, в которую вирус перекидывает ваши файлы. Очень часто это вроде » » или «_»

2) Создаем файл с таким именем. При попытке создать папку, вирусяка получит отказ, т.к. уже есть файл с таким именем. (Если создать папку, а не файл, то вирус просто пропустить одну итерацию — облегчим ему работу)

3) Создаем папку с именем вашей флешки и расширением .lnk. Работает аналогично, вирус хочет создать ярлык (файл), а на его месте уже сидит папка. Подпапка com1 — для того, чтобы вирусяка не мог удалить наши папки. Конечно может, но специальными методами, далеко не все так заморачиваются. Delet’ом не удалишь короче.

4) Создаем следующие папки: WindowsServicesinstaller.vbscom1 , WindowsServiceshelper.vbscom1 , WindowsServicesmovemenoreg.vbscom1 . Тут ситуация аналогичная. Вирусяка записывает свои скрипты в папку WindowsServices с расширением .vbs. А мы делаем папки вместо файлов.

5) Создаем папку autorun.infcom1

6) Ну и по опыту, создаются другие папки и файлы, в которые попадают вирусяки смежных типов.

Если что-то пошло не так:

На ярлык не клацаем, сохраняем спокойствие. Идем: Панель управления — параметры папок — вид. Убираем галку «Скрывать защищенные системные файлы» и ставим точку на «Показывать скрытые файлы, папки, диски»

На флешке должны появиться скрытые файлы и папки. Соответственно ваши файлы никуда не пропали, можете их вытащить.

— Спрятались файлы, но ярлык флешки не появился. Значит вирусяка переместил данные в папку с именем, отличным от п.1), но имя ярлыка подошло. Необходимо скорректировать имя для создания файла в соответствии с именем папки.

— Файлы не спрятались, но появился ярлык флешки. Это более безобидно, т.к. не надо лишний раз искать ваши файлы. А вот ярлык удалить лучше от греха подальше. Смотрим его название, и меняем имя папки в п.3)

Перечень создаваемых папок и файлов можете посмотреть, открыв батник блокнотом, Notepad++, или любым другим редактором.

голоса

Рейтинг статьи