Папките на флаш устройство стават пряк път

Вчера в курсовете хванах вирус на USB флаш устройство, който веднага беше открит и отстранен от антивирус на домашния ми компютър. Оказа се обаче, че това всички папки на флаш устройството станаха пряк път. Преди време вече срещнах такъв проблем, така че знам първото правило за предотвратяване на заразяване на вашия компютър: в никакъв случай не се опитвайте да отваряте преки пътища към папки! (дори ако данните на флаш устройството са безценни и искате незабавно да се уверите, че те не се губят никъде). Защо да не отворите тези преки пътища? Създателите на вируса отидоха на такъв трик: в свойствата на тези преки пътища са регистрирани две команди:

1. Първият стартира и инсталира вируса на вашия компютър
2. Втората отваря папката, която ви интересува.

Т.е. потребител, чийто компютър няма инсталиран антивирус, без да обръща внимание на факта, че всички директории на флаш устройство сега се показват като преки пътища, може просто да не знае, че флаш устройството е заразено, тъй като всички папки на флаш устройството се отварят и информацията в тях е на мястото си. В някои модификации на такъв вирус папките спират да се отварят, дори ако щракнете върху пряк път. Във всеки случай не се паникьосвайте, не бързайте да форматирате USB флаш устройство и прочетете внимателно инструкциите по-долу. Разберете, че каталозите не са изчезнали, тъй като са били на флаш устройството и са такива. Вирусът просто скри всички папки на USB флаш устройството, т.е. им бяха присвоени съответните атрибути (скрити + архивирани). Нашата задача: да унищожим вируса и да премахнем тези атрибути.

И така, по-долу ще дам инструкции, описващи какво да правя, ако папките на светкавицата станат преки пътища

Съдържание:

• Изтрийте изпълними вирусни файлове на USB флаш устройство
• Проверка на системата за стартиране на вирусни команди
• Възстановете външния вид на директории и достъп до папки
• Ръчен начин за възстановяване на скрити атрибути на папката на USB флаш устройство
• Скрипт за автоматично премахване на атрибутите на скриване от изходните папки и файлове

Изтрийте изпълними вирусни файлове на USB флаш устройство

Първата стъпка е да се отървете от изпълнимите файлове на вируса. Това може да стане с помощта на който и да е антивирус (има много безплатни или преносими версии, като Dr.Web CureIt или Kaspersky Virus Removal Tool), ако го няма, можете да опитате да намерите и неутрализирате вируса ръчно. Как да намерите вирусни файлове, които заразяват USB флаш устройство?

1. В Windows Explorer активирайте показването на скрити и системни файлове.
   • Най- Windows XP: Старт-> Моят компютър-> Меню Инструменти-> Опции на папката-> Раздел Преглед. Отменете отметката от „Скриване на защитени системни файлове (препоръчително)"и задайте в"Показване на скрити файлове и папки".
   • Най- Windows 7 пътят е малко по-различен: Старт-> Контролен панел-> Външен вид и персонализация-> Опции на папките-> Раздел Преглед. Параметрите са същите..
   • за Windows 8/10 инструкцията е в статията Показване на скрити папки в Windows 8.
2. Отворете съдържанието на флаш устройството и виждаме на него много преки пътища към папки (обърнете внимание на иконата за пряк път в иконите на папките). Сега трябва да отворите свойствата на всеки пряк път към папката (RMB -> Properties). Те ще изглеждат така: Интересуват ни стойностите на полето Target (Object). Линията, посочена в него, е доста дълга и може да изглежда така:
   % windir% \ system32 \ cmd.exe / c "старт% cd% RECYCLER \ e3180321.exe &&% windir% \ explor.exe% cd% резервно копие

В този пример, RECYCLER \ e3180321.exe това е същия вирус. Т.е. Вирусен файл с име e3180321.exe се намира в папката RECYCLER. Изтриваме този файл или можете също да изтриете цялата папка (препоръчвам да проверите наличието на тази папка както в най-заразеното флаш устройство, така и в системните директории C: \ windows, C: \ windows \ system32 и в профила на текущия потребител (повече за тях по-долу)).

Препоръчвам ви също да разгледате изпълнимите файлове на вируса в следните директории:

• в Windows 7, 8 и 10 - C: \ потребители \ потребителско име \ appdata \ роуминг \
• в Windows XP - C: \ Документи и настройки \ потребителско име \ Локални настройки \ Данни за приложение \

Ако тези директории съдържат файлове с разширението ".Търсейки", тогава най-вероятно това е изпълнимият файл на вируса и той може да бъде изтрит (не трябва да има .exe файлове в тази директория на незаразения компютър).

В някои случаи такива вируси не се откриват от антивируси, като те могат да бъдат създадени под формата на файлове със скрипт .bat / .cmd / .vbs, които по принцип не извършват никакви разрушителни действия на компютъра. Препоръчваме ви ръчно да проверите USB флаш устройството за файлове с такива разрешения (техният код може да се гледа с помощта на всеки текстов редактор).

Сега щракването върху пряк път не е опасно!

Проверка на системата за стартиране на вирусни команди

В някои случаи вирусите се регистрират в системата за автоматично стартиране. Ръчно проверете следните клонове на регистъра (regedit.exe) за съмнителни записи:

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run - тези програми стартират, когато компютърът се стартира
• HKEY_ТОК_USER\Софтуер\Microsoft\Windows\CurrentVersion\тичам - програми, които стартират автоматично, когато текущият потребител влиза в системата

Изтрийте всички съмнителни записи и непознати програми (няма да направите нищо лошо и дори да изключите стартирането на някаква необходима програма, винаги можете да я стартирате ръчно, след като влезете в системата).

Други начини за автоматично стартиране на програми в системата са описани в статията Управление на програми за автоматично стартиране в Windows 8.

Възстановете външния вид на директории и достъп до папки

След като флаш устройството и компютърът са почистени от вируси, трябва да възстановите нормалния вид на папки и файлове на флаш устройството. В зависимост от модификацията на вируса (и въображението на „разработчиците“), системните папки „скрит“ и „система“ могат да бъдат присвоени на оригиналните папки или те могат да бъдат прехвърлени в определена скрита папка, специално създадена от вируса. Просто не можете да премахнете тези атрибути, така че трябва да използвате командите за нулиране на атрибута през командния ред. Това може да стане и ръчно или с помощта на пакетен файл. Тогава останалите преки пътища към папките могат да бъдат изтрити - не ни трябват

Ръчен начин за възстановяване на скрити атрибути на папката на USB флаш устройство

1. Отворете командния ред с права на администратор
2. В черния прозорец, който се появява, въведете командата, след като въведете всяко натискане на Enter
   cd / d f: \
   , където f: \ - Това е буквата на устройството, присвоена на USB флаш устройството (може да варира в конкретен случай)
   attrib -s -h / d / s
   , командата нулира атрибутите S („Система“), H („Скрито“) за всички файлове и папки в текущата директория и във всички подпапки.

В резултат на това всички данни на устройството стават видими..

Скрипт за автоматично премахване на атрибутите на скриване от изходните папки и файлове

Можете да използвате готови скриптове, които изпълняват всички операции, за да възстановите автоматично атрибутите на файла.

От този сайт изтеглете файла clear_attrib.bat (263 байта) (директна връзка) и го стартирайте с права на администратор. Файлът съдържа следния код:

: lbl
Център за либерални стратегии
set / p disk_flash = "Въведете флаш устройство:"
cd / D% disk_flash%:
ако% errorlevel% == 1 goto lbl
Център за либерални стратегии
cd / D% disk_flash%:
del * .lnk / q / f
attrib -s -h -r autorun. *
del autorun. * / F
attrib -h -r -s -a / D / S
rd RECYCLER / q / s
explorer.exe% disk_flash%:

Когато стартирате програмата ви моли да посочите името на флаш устройството (например, F:), а след това изтрива всички преки пътища, автозапускане. * файлове, премахва атрибутите на скриване от директории, изтрива папката на вируса RECYCLER и накрая показва съдържанието на USB флаш устройството в Explorer.

Надявам се този пост да е полезен. Ако срещнете други модификации на вируса, които превръщат папките на USB флаш устройство в преки пътища - опишете симптомите в коментарите, опитайте се да се справите с проблема заедно!