Priečinky na jednotke Flash sa stanú odkazmi

Včera som v kurzoch chytil vírus na USB flash disku, ktorý bol okamžite zistený a odstránený antivírusom z môjho domáceho počítača. Ukázalo sa však, že všetky priečinky na jednotke Flash sa stali odkazmi. Pred nejakým časom som už narazil na takýto problém, takže viem prvé pravidlo, ktoré má zabrániť infikovaniu vášho počítača: v žiadnom prípade sa nesnažte otvárať odkazy do priečinkov! (aj keď údaje na jednotke Flash sú neoceniteľné a chcete sa okamžite ubezpečiť, že sa nikde nestratia). Prečo tieto skratky neotvárať? Tvorcovia vírusu prešli na taký trik: vo vlastnostiach týchto skratiek sú registrované dva príkazy:

  1. Prvý spustí a nainštaluje vírus na vašom počítači
  2. Druhý otvorí priečinok, ktorý vás zaujíma.

tj používateľ, ktorého počítač nemá nainštalovaný antivírusový program, bez toho, aby venoval pozornosť skutočnosti, že všetky adresáre na jednotke Flash sa teraz zobrazujú ako skratky, nemusí jednoducho vedieť, že je jednotka flash infikovaná, pretože všetky priečinky na jednotke Flash sú otvorené a informácie v nich sú na mieste. Pri niektorých modifikáciách takéhoto vírusu sa priečinky prestanú otvárať, aj keď kliknete na odkaz. V žiadnom prípade nepropadajte panike, neponáhľajte sa naformátovať jednotku USB Flash a pozorne si prečítajte pokyny uvedené nižšie. Pochopte, že katalógy neodišli, pretože boli na jednotke Flash a sú tak. Vírus práve skryl všetky priečinky na USB flash disku, t. boli im priradené príslušné atribúty (skryté + archivované). Naša úloha: zničiť vírus a odstrániť tieto atribúty.

Nižšie teda uvediem pokyny, ktoré popisujú, čo robiť, ak sa priečinky na blesku stanú skratkami

obsah:

  • Odstráňte vírusové spustiteľné súbory z jednotky USB Flash
  • Kontrola príkazov na spustenie vírusu v systéme
  • Obnovte vzhľad adresárov a prístup k priečinkom
  • Manuálny spôsob obnovenia atribútov skrytých priečinkov na jednotke USB Flash
  • Skript na automatické odstránenie skrytých atribútov zo zdrojových priečinkov a súborov

Odstráňte vírusové spustiteľné súbory z jednotky USB Flash

Prvým krokom je zbaviť sa spustiteľných súborov vírusu. Toto sa dá vykonať pomocou ľubovoľného antivírusu (existuje veľa bezplatných alebo prenosných verzií, ako napríklad Dr.Web CureIt alebo Nástroj na odstránenie vírusov spoločnosti Kaspersky), ak tam nie je, môžete sa pokúsiť vírus nájsť a neutralizovať manuálne. Ako nájsť vírusové súbory, ktoré infikujú USB flash disk?

  1. V Prieskumníkovi systému Windows povoľte zobrazenie skrytých a systémových súborov.
    • Windows XP: Štart-> Tento počítač-> ponuka Nástroje-> Možnosti priečinka-> karta Zobraziť. Zrušte začiarknutie políčka „Skryť chránené systémové súbory (odporúčané)„a nastavené na“Zobraziť skryté súbory a priečinky".
    • Windows 7 cesta je mierne odlišná: Štart-> Ovládací panel-> Vzhľad a prispôsobenie-> Možnosti priečinka-> karta Zobraziť. Parametre sú rovnaké..
    • pre Windows 8/10 inštrukcia je v článku Zobraziť skryté priečinky v systéme Windows 8.
  2. Otvorte obsah jednotky Flash a vidíme na nej veľa odkazov na priečinky (venujte pozornosť ikonám skratiek v ikonách priečinkov). Teraz musíte otvoriť vlastnosti ľubovoľnej skratky do priečinka (RMB -> Vlastnosti). Vyzerajú niečo také: Zaujímajú nás hodnoty poľa Cieľ (Objekt). Čiara v ňom uvedená je dosť dlhá a môže vyzerať asi takto:
    % windir% \ system32 \ cmd.exe / c "start% cd% RECYCLER \ e3180321.exe &&% windir% \ explorer.exe% cd% backup

V tomto príklade RECYCLER \ e3180321.exe je to rovnaký vírus. tj V priečinku RECYCLER sa nachádza vírusový súbor s názvom e3180321.exe. Tento súbor odstránime alebo môžete tiež odstrániť celý priečinok (odporúčam skontrolovať prítomnosť tohto priečinka na infikovanej jednotke flash aj v systémových adresároch C: \ windows, C: \ windows \ system32 a v profile aktuálneho používateľa (viac o nich nižšie)).

Odporúčam tiež pozrieť sa na spustiteľné súbory vírusu v nasledujúcich adresároch:

  • v Windows 7, 8 a 10 - C: \ users \ username \ appdata \ roaming \
  • v Windows XP - C: \ Documents and Settings \ username \ Local Settings \ Application Data \

Ak tieto adresáre obsahujú súbory s príponou “.exe", potom s najväčšou pravdepodobnosťou ide o spustiteľný súbor vírusu a je možné ho odstrániť (v neporušenom počítači by v tomto priečinku nemali byť žiadne súbory .exe).

V niektorých prípadoch sa takéto vírusy nedetegujú antivírusmi, napr môžu byť vytvorené vo forme skriptových súborov .bat / .cmd / .vbs, ktoré v zásade nevykonávajú v počítači ničivé akcie. Odporúčame manuálne skontrolovať na jednotke USB Flash súbory s takýmito oprávneniami (ich kód je možné zobraziť pomocou ľubovoľného textového editora).

Teraz kliknutie na odkaz nie je nebezpečné!

Kontrola príkazov na spustenie vírusu v systéme

V niektorých prípadoch sa vírusy zaregistrujú v systéme autorun. Ručne skontrolujte podozrivé položky v nasledujúcich vetvách registra (regedit.exe):

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run - tieto programy sa spustia po zavedení počítača
  • HKEY_CURRENT_USER\softvér\Microsoft\windows\CurrentVersion\beh - programy, ktoré sa automaticky spustia pri prihlásení aktuálneho používateľa

Vymažte všetky podozrivé položky a neznáme programy (neurobíte nič zlé a aj keď vypnete spustenie nejakého potrebného programu, môžete ho kedykoľvek spustiť ručne po vstupe do systému).

Ďalšie spôsoby automatického spúšťania programov v systéme sú opísané v článku Správa programov automatického spúšťania v systéme Windows 8.

Obnovte vzhľad adresárov a prístup k priečinkom

Po vyčistení jednotky Flash od počítača od vírusov je potrebné obnoviť normálny vzhľad priečinkov a súborov na jednotke Flash. V závislosti od modifikácie vírusu (a fantázie „vývojárov“) môžu byť systémové priečinky „skrytý“ a „systém“ priradené pôvodným zložkám alebo môžu byť prenesené do určitého skrytého priečinka špeciálne vytvoreného vírusom. Je to tak, že tieto atribúty nemožno odstrániť, takže musíte použiť príkazy na resetovanie atribútov cez príkazový riadok. Môžete to urobiť aj ručne alebo pomocou dávkového súboru. Potom zostávajúce skratky do priečinkov možno odstrániť - nepotrebujeme ich

Manuálny spôsob obnovenia atribútov skrytých priečinkov na jednotke USB Flash

  1. Otvorte príkazový riadok s oprávneniami správcu
  2. V zobrazenom čiernom okne zadajte príkaz a po každom zadaní stlačte kláves Enter
    cd / d f: \
    , kde f: \ - Toto je písmeno jednotky priradené jednotke USB Flash (v konkrétnom prípade sa môže líšiť)
    attrib -s -h / d / s
    , príkaz resetuje atribúty S („Systém“), H („Skrytý“) pre všetky súbory a priečinky v aktuálnom adresári a vo všetkých podpriečinkoch.

Výsledkom je, že sa zobrazia všetky údaje na jednotke..

Skript na automatické odstránenie skrytých atribútov zo zdrojových priečinkov a súborov

Na automatické obnovenie atribútov súborov môžete použiť pripravené skripty, ktoré vykonávajú všetky operácie.

Z tohto webu stiahnite súbor clear_attrib.bat (263 bajtov) (priamy odkaz) a spustite ho s právami správcu. Súbor obsahuje nasledujúci kód:

: lbl
cls
set / p disk_flash = "Zadajte flash disk:"
cd / D% disk_flash%:
ak% errorlevel% == 1 goto lbl
cls
cd / D% disk_flash%:
del * .lnk / q / f
attrib -s -h -r autorun. *
del autorun. * / F
atribút -h -r -s -a / D / S
RECYCLER Rd / q / s
explorer.exe% disk_flash%:

Pri spustení programu sa zobrazí výzva na zadanie názvu jednotky Flash (napr, F:), a potom odstráni všetky skratky, autorun. * súbory, odstráni atribúty skryť z adresárov, odstráni vírusovú zložku RECYCLER a nakoniec zobrazí obsah jednotky USB Flash v Prieskumníkovi.

Dúfam, že tento príspevok je užitočný. Ak narazíte na ďalšie úpravy vírusu, ktoré premieňajú priečinky na USB flash disku na skratky - opíšte príznaky v komentároch, skúste problém vyriešiť spoločne.!

Kategórie