Foldery na dysku flash stają się skrótami

Wczoraj podczas kursów złapałem wirusa na dysku flash USB, który został natychmiast wykryty i usunięty przez program antywirusowy na moim komputerze domowym. Okazało się jednak, że wszystkie foldery na dysku flash stały się skrótami. Jakiś czas temu napotkałem już taki problem, więc znam pierwszą zasadę, aby zapobiec infekcji komputera: w żadnym wypadku nie próbuj otwierać skrótów do folderów! (nawet jeśli dane na dysku flash są bezcenne, a chcesz od razu upewnić się, że nigdzie nie zostaną utracone). Dlaczego nie otworzyć tych skrótów? Twórcy wirusa wybrali taką sztuczkę: we właściwościach tych skrótów są zarejestrowane dwa polecenia:

  1. Pierwszy uruchamia i instaluje wirusa na twoim komputerze
  2. Drugi otwiera folder, który Cię interesuje.

Tj. użytkownik, którego komputer nie ma zainstalowanego programu antywirusowego, nie zwracając uwagi na fakt, że wszystkie katalogi na dysku flash są teraz wyświetlane jako skróty, może po prostu nie wiedzieć, że dysk flash jest zainfekowany, ponieważ wszystkie foldery na dysku flash są otwarte, a informacje w nich zapisane. W niektórych modyfikacjach takiego wirusa foldery przestają się otwierać nawet po kliknięciu skrótu. W każdym razie nie panikuj, nie spiesz się, aby sformatować pamięć flash USB i uważnie przeczytaj poniższe instrukcje. Zrozum, że katalogi nie zniknęły, tak jak były na dysku flash i tak jest. Wirus po prostu ukrył wszystkie foldery na dysku flash USB, tj. przypisano im odpowiednie atrybuty (ukryte + zarchiwizowane). Nasze zadanie: zniszczyć wirusa i usunąć te atrybuty.

Poniżej podam instrukcje opisujące, co zrobić, jeśli foldery na flashu staną się skrótami

Treść

  • Usuń pliki wykonywalne wirusów z napędu flash USB
  • Sprawdzanie w systemie komend uruchamiania wirusów
  • Przywróć wygląd katalogów i dostęp do folderów
  • Ręczny sposób przywracania atrybutów ukrytych folderów na dysku flash USB
  • Skrypt do automatycznego usuwania atrybutów ukrywania z folderów i plików źródłowych

Usuń pliki wykonywalne wirusów z napędu flash USB

Pierwszym krokiem jest pozbycie się plików wykonywalnych wirusa. Można to zrobić za pomocą dowolnego programu antywirusowego (istnieje wiele darmowych lub przenośnych wersji, takich jak Dr.Web CureIt lub Kaspersky Virus Removal Tool), jeśli go nie ma, możesz spróbować ręcznie znaleźć i zneutralizować wirusa. Jak znaleźć pliki wirusów, które infekują pamięć flash USB?

  1. W Eksploratorze Windows włącz wyświetlanie ukrytych i systemowych plików.
    • W Windows XP: Start-> Mój komputer-> menu Narzędzia-> Opcje folderów-> karta Widok. Na nim odznacz „Ukryj chronione pliki systemowe (zalecane)„i ustawiony na”Pokaż ukryte pliki i foldery„.
    • W Windows 7 ścieżka jest nieco inna: Start-> Panel sterowania-> Wygląd i personalizacja-> Opcje folderów-> karta Widok. Parametry są takie same..
    • Dla Windows 8/10 instrukcja znajduje się w artykule Pokaż ukryte foldery w systemie Windows 8.
  2. Otwórz zawartość dysku flash i widzimy na nim wiele skrótów do folderów (zwróć uwagę na ikonę skrótu w ikonach folderów). Teraz musisz otworzyć właściwości dowolnego skrótu do folderu (RMB -> Właściwości). Będą wyglądać mniej więcej tak: Interesują nas wartości pola Cel (Obiekt). Wskazana w nim linia jest dość długa i może wyglądać mniej więcej tak:
    % windir% \ system32 \ cmd.exe / c "start% cd% RECYCLER \ e3180321.exe &&% windir% \ explorer.exe% cd% kopia zapasowa

W tym przykładzie RECYCLER \ e3180321.exe jest to ten sam wirus. Tj. Plik wirusa o nazwie e3180321.exe znajduje się w folderze RECYCLER. Usuwamy ten plik lub możesz również usunąć cały folder (zalecam sprawdzenie obecności tego folderu zarówno na najbardziej zainfekowanym dysku flash, jak i w katalogach systemowych C: \ windows, C: \ windows \ system32 oraz w profilu bieżącego użytkownika (patrz poniżej).

Zalecam również przejrzenie plików wykonywalnych wirusa w następujących katalogach:

  • w Windows 7, 8 i 10 - C: \ users \ nazwa użytkownika \ appdata \ roaming \
  • w Windows XP - C: \ Documents and Settings \ nazwa użytkownika \ Ustawienia lokalne \ Dane aplikacji \

Jeśli te katalogi zawierają pliki z rozszerzeniem „.exe”, najprawdopodobniej jest to plik wykonywalny wirusa i można go usunąć (w tym katalogu na niezainfekowanym komputerze nie powinno być plików .exe).

W niektórych przypadkach takie wirusy nie są wykrywane przez programy antywirusowe, takie jak można je tworzyć w postaci plików skryptowych .bat / .cmd / .vbs, które w zasadzie nie wykonują żadnych destrukcyjnych działań na komputerze. Zalecamy ręczne sprawdzenie dysku flash USB pod kątem plików z takimi uprawnieniami (ich kod można wyświetlić za pomocą dowolnego edytora tekstu).

Teraz kliknięcie skrótu nie jest niebezpieczne!

Sprawdzanie w systemie komend uruchamiania wirusów

W niektórych przypadkach wirusy rejestrują się w systemie autorun. Sprawdź ręcznie następujące gałęzie rejestru (regedit.exe) w poszukiwaniu podejrzanych wpisów:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run - programy te uruchamiają się po uruchomieniu komputera
  • Klucz_Prąd_UŻYTKOWNIK\Oprogramowanie\Microsoft\Windows\CurrentVersion\Uruchom - programy uruchamiane automatycznie po zalogowaniu się bieżącego użytkownika

Usuń wszystkie podejrzane wpisy i nieznane programy (nie zrobisz nic złego, a nawet jeśli wyłączysz uruchomienie jakiegoś niezbędnego programu, zawsze możesz go uruchomić ręcznie po wejściu do systemu).

Inne sposoby automatycznego uruchamiania programów w systemie opisano w artykule Zarządzanie programami automatycznego uruchamiania w systemie Windows 8.

Przywróć wygląd katalogów i dostęp do folderów

Po oczyszczeniu dysku flash i komputera z wirusów należy przywrócić normalny wygląd folderów i plików na dysku flash. W zależności od modyfikacji wirusa (i wyobraźni „programistów”) oryginalnym folderom można przypisać atrybuty systemowe „ukryte” i „systemowe” lub przenieść je do określonego ukrytego folderu specjalnie utworzonego przez wirusa. Po prostu nie możesz usunąć tych atrybutów, więc musisz użyć poleceń resetowania atrybutów za pomocą wiersza polecenia. Można to również zrobić ręcznie lub przy użyciu pliku wsadowego. Następnie pozostałe skróty do folderów można usunąć - nie potrzebujemy ich

Ręczny sposób przywracania atrybutów ukrytych folderów na dysku flash USB

  1. Otwórz wiersz poleceń z uprawnieniami administratora
  2. W wyświetlonym czarnym oknie wprowadź polecenie, po wpisaniu każdego naciśnij klawisz Enter
    cd / d f: \
    , gdzie f: \ - Jest to litera dysku przypisana do napędu flash USB (może się różnić w poszczególnych przypadkach)
    attrib -s -h / d / s
    , polecenie resetuje atrybuty S („System”), H („Ukryty”) dla wszystkich plików i folderów w bieżącym katalogu i we wszystkich podfolderach.

W rezultacie wszystkie dane na dysku stają się widoczne..

Skrypt do automatycznego usuwania atrybutów ukrywania z folderów i plików źródłowych

Możesz użyć gotowych skryptów, które wykonują wszystkie operacje, aby automatycznie przywrócić atrybuty pliku.

Z tej witryny pobierz plik clear_attrib.bat (263 bajty) (bezpośredni link) i uruchom go z uprawnieniami administratora. Plik zawiera następujący kod:

: lbl
cls
set / p disk_flash = "Wprowadź dysk flash:"
cd / D% disk_flash%:
if% errorlevel% == 1 goto lbl
cls
cd / D% disk_flash%:
del * .lnk / q / f
attrib -s -h -r autorun. *
del autorun. * / F
attrib -h -r -s -a / D / S
rd RECYCLER / q / s
explorer.exe% disk_flash%:

Po uruchomieniu program prosi o podanie nazwy dysku flash (na przykład, F:), a następnie usuwa wszystkie skróty, pliki autorun. *, usuwa atrybuty ukrywania z katalogów, usuwa folder wirusa RECYCLER, a na koniec wyświetla zawartość dysku flash USB w Eksploratorze.

Mam nadzieję, że ten post jest pomocny. Jeśli napotkasz inne modyfikacje wirusa, który zamienia foldery na dysku flash USB w skróty - opisz objawy w komentarzach, spróbuj poradzić sobie z problemem razem!

Kategoria