|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
1 |
|
|
23.08.2010, 14:43. Показов 15707. Ответов 21
Добрый день! При подключении флешки к компьютеру имеющиеся на ней папки скрываются и вместо них появляются файлы с теми же названиями и расширением .exe
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
23.08.2010, 15:01 [ТС] |
2 |
|
можно ли использовать в моем случае скрипт из подобной темы Папки на флешке становятся .exe
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
23.08.2010, 15:10 |
3 |
|
нет!! использовать только те скрипты которые написаны для вашей системы, мы работаем над вашей проблемой. Добавлено через 1 минуту
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
23.08.2010, 20:39 [ТС] |
4 |
|
Установил MBAM,но так как к инету вирусный компьютер не подключен, базы обновить не смог(обновление не смог скачать). Провел сканирование, результаты прилагаю.
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
23.08.2010, 21:02 |
5 |
|
вот обновления http://ifolder.ru/18984220 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterAntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
23.08.2010, 21:10 [ТС] |
6 |
|
Спасибо за оперативный ответ
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
23.08.2010, 22:04 |
7 |
|
результат Mbam с обновлениями так же скиньте сюда..что с проблемами??
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
24.08.2010, 20:07 [ТС] |
8 |
|
к сожалению не смогу сейчас разместить результаты сканирования, они будут только в четверг(сканирование будет проведено завтра с утра и в четверг с утра)
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
24.08.2010, 20:25 |
9 |
|
сразу тогда попробуете антиауторан http://freesoft.ru/?id=671712 не забудьте выключить все антивирусное ПО закрыть проводник, лог приложите.
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
26.08.2010, 14:31 [ТС] |
10 |
|
Выкладываю отчеты Mbam за вчера и сегодня
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
26.08.2010, 14:38 [ТС] |
11 |
|
лог антиауторана выложу позже
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
26.08.2010, 14:57 |
12 |
|
удалить с помощью MBAM следующие строки Код HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{67kln5j0-4opm-61we-kkx2-4667qwe23218} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftActive SetupInstalled Components{67kln5j0-4opm-01we-aax2-5657qca554112} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{67kln5j0-4opm-01we-aax2-5657qca554112} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINESystemCurrentControlSetEnumRootLEGACY_AVT-NET (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CLASSES_ROOTexefilenevershowext (Trojan.Autorun) -> No action taken.
C:Documents and SettingsAdmincsrss.exe (Trojan.Agent) -> No action taken.
C:Documents and SettingsAdminctfmon.exe (Trojan.Agent) -> No action taken.
если не знаете что это за exe то и их тоже Код c:HAHAlRamanbok.exe (Generic.Bot.H) -> No action taken. c:NOTGLOWeKn.exe (Backdoor.Bot) -> No action taken. скачать и устанвоить explorer8 даже если вы им и не пользуеетсь Добавлено через 1 минуту
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
26.08.2010, 20:32 [ТС] |
13 |
|
лог антиауторана
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
26.08.2010, 21:18 [ТС] |
14 |
|
[QUOTE=arbitr;926330]удалить с помощью MBAM следующие строки Код HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{67kln5j0-4opm-61we-kkx2-4667qwe23218} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftActive SetupInstalled Components{67kln5j0-4opm-01we-aax2-5657qca554112} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{67kln5j0-4opm-01we-aax2-5657qca554112} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINESystemCurrentControlSetEnumRootLEGACY_AVT-NET (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CLASSES_ROOTexefilenevershowext (Trojan.Autorun) -> No action taken.
C:Documents and SettingsAdmincsrss.exe (Trojan.Agent) -> No action taken.
C:Documents and SettingsAdminctfmon.exe (Trojan.Agent) -> No action taken.
если не знаете что это за exe то и их тоже Код c:HAHAlRamanbok.exe (Generic.Bot.H) -> No action taken. c:NOTGLOWeKn.exe (Backdoor.Bot) -> No action taken. Удалить из карантина?
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
27.08.2010, 03:00 |
15 |
|
я не вижу чтоб они были в карантине, удаляйте те строки что я вам дал
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
27.08.2010, 09:35 [ТС] |
16 |
|
лог AVZ
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
27.08.2010, 15:16 |
17 |
|
заражения не вижу…что с проблемами??
1 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
27.08.2010, 20:50 [ТС] |
18 |
|
скрытые файлы показывает, exe-ки не генерирует, каких-либо сбоев в работе(кроме требований образа при запуске ОС) не наблюдается Добавлено через 40 минут
0 |
|
1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056 |
|
|
28.08.2010, 00:33 |
19 |
|
каких-либо сбоев в работе(кроме требований образа при запуске ОС) не наблюдается стоп а вы с чего запускаеетсь..что в биосе выставлено???что за образ????
0 |
|
0 / 0 / 0 Регистрация: 23.08.2010 Сообщений: 25 |
|
|
28.08.2010, 17:39 [ТС] |
20 |
|
после загрузки ОС сразу появляется сообщение о том, что не найден образ(какой точно-не помню) и просьба вставить установочный диск. После нажатия ОК загружается антивирус и д.т. Добавлено через 46 секунд
0 |
|
IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604 |
28.08.2010, 17:39 |
|
20 |
Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками. Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:
- Первая запускает и устанавливает вирус на Ваш ПК
- Вторая открывает интересующую Вас папку
Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е. им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.
Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками
Содержание:
- Удаляем исполняемые файлы вируса на USB флешке
- Проверка системы на наличие команд автозапуска вируса
- Восстанавливаем вид каталогов и доступ к папкам
- Ручной способ восстановления атрибутов скрытых папок на флешке
- Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов
Удаляем исполняемые файлы вируса на USB флешке
Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?
- В проводнике Windows включаем отображение скрытых и системных фалов.
- В Windows XP: Пуск-> Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки».
- В Windows 7 путь немного другой: Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые.
- Для Windows 8/10 инструкция есть в статье Показать скрытые папки в Windows 8.
- Открываем содержимое флешки, и видим на нем множество ярлыков на папки (обратите внимание на значок ярлыка у иконок папок).
Теперь нужно открыть свойства любого ярлыка на папку (ПКМ -> Свойства). Они будут выглядеть примерно так: 
Нас интересует значения поля Target (Объект). Строка, указанная в нем довольно длинная, и может выглядит примерно так:
%windir%system32cmd.exe /c "start %cd%RECYCLERe3180321.exe &&%windir%explorer.exe %cd%backup
Теперь нужно открыть свойства любого ярлыка на папку (ПКМ -> Свойства). Они будут выглядеть примерно так: 
Нас интересует значения поля Target (Объект). Строка, указанная в нем довольно длинная, и может выглядит примерно так:В этом примере RECYCLERe3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:windows, C:windowssystem32 и в профиле текущего пользователя (о них чуть ниже)).
Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:
- в Windows 7, 8 и 10 —
C:usersимя_пользователяappdataroaming - в Windows XP —
C:Documents and Settingsимя_пользователяLocal SettingsApplication Data
Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).
В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде .bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).
Теперь клик по ярлыку не опасен!
Проверка системы на наличие команд автозапуска вируса
В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).
Другие способы автозапуска программ в системе описаны в статье Управление автозапуском программ в Windows 8.
Восстанавливаем вид каталогов и доступ к папкам
После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны
Ручной способ восстановления атрибутов скрытых папок на флешке
- Открываем командную строку с правами администратора
- В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
cd /d f:
, где
f:
— это буква диска, назначенная флешке (в конкретном случае может отличаться)
attrib -s -h /d /s
, команда сбрасывает атрибуты S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.
В результате все данные на накопителе становятся видимыми.
Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов
Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.
С этого сайта скачайте файл clear_attrib.bat (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:
:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.
Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!
#1
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 12:59
На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку — «win32.trojan-gen»? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?
еще небольшой скриншот — http://uimages.ru/index/0-2&photo=1-0-84313
- Наверх
#2
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:02
На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку — «win32.trojan-gen»? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?
еще небольшой скриншот — http://uimages.ru/index/0-2&photo=1-0-84313
Ссылка «прислать вирус» вверху страницы.
- Наверх
#3
YVS
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 13 Май 2009 — 13:02
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
- Наверх
#4
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:05
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
Да на 99% файл. Если отключена опция «показывать расширения», то юзер видит папку, кликает по ней. Троян открывает нужную папку в explorer’е — то есть все работает как и ожидалось.
- Наверх
#5
Piterski
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 13:09
Ссылка «прислать вирус» вверху страницы.
Извините, я вас не понял.
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
Уже не уверен, но я точно знаю что раньше эта была папка с документами http://forum.drweb.com/public/style_emoticons/default/smile.png
http://www.virustotal.com/ru/analisis/4fed…96657037354c557
- Наверх
#6
YVS
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 13 Май 2009 — 13:11
Извините, я вас не понял.
Прислать вирус — отослать файл на анализ в вирлаб.
Вверху страницы есть «кнопка» с такой же ссылкой.
Судя по VirusTotal, Доктору вирус известен.
- Наверх
#7
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:14
Извините, я вас не понял.
Прислать вирус — отослать файл на анализ в вирлаб.
Вверху страницы есть «кнопка» с такой же ссылкой.Судя по VirusTotal, Доктору вирус известен.
Угу. Тогда не понимаю, зачем тему было создавать? 
- Наверх
#8
Pavel Plotnikov
Pavel Plotnikov
-
- Guests
- 5 276 Сообщений:
Отправлено 13 Май 2009 — 13:14
Piterski, в чём ваш вопрос?
Ситуация очевидно следующая: на машине откуда вы принесли «папку» есть инфекция, которая создаёт файлы *.exe где вместо * подставляет названия папок и файлов расположенных на компьютере. При копировании на флешку вы скопировали не нужную вам папку, а файл выглядищий как «папка».
Принесли этот файл на другой ПК где он и был успешно обнаружен.
Вывод надо лечить ПК откуда скопировали эту «папку».
GUI/Android/iOS/WP8/волейбол
- Наверх
#9
Piterski
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 13:18
Piterski, в чём ваш вопрос?
Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0
- Наверх
#10
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:21
Piterski, в чём ваш вопрос?
Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0
Включить отображение скрытых и системных файлов нужно.
- Наверх
#11
Piterski
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 13:30
Включить отображение скрытых и системных файлов нужно.
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
- Наверх
#12
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:32
Включить отображение скрытых и системных файлов нужно.
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
CureIt (http://www.freedrweb.com/cureit/?lng=ru)
- Наверх
#13
userr
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 13 Май 2009 — 13:33
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
Очевидно, Drweb http://forum.drweb.com/public/style_emoticons/default/cool.png
Делайте логи по правилам раздела
- Наверх
#14
Piterski
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 11:59
Добрый день Уважаемые! Сегодня я смог занятся машиной где в первые был замечен этот вирус, стал следовать указаниям, но возникла проблема.
Скачайте свежий CureIt. Создайте папку C:TEST, скопируйте в нее CureIt. Скачайте прилагаемый файл cureit-scan.zip (см. внизу страницы правил), распакуйте в C:TEST все файлы, запустите cureit-scan.bat — запустится CureIt. Все найденное — лечить, неизлечимое — перемещать.
При запуске cureit-scan.bat — быстро открывается командная строка, там что то пишется и закрывается, cureIt — не запускается. http://forum.drweb.com/public/style_emoticons/default/sad.png
- Наверх
#15
YVS
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 14 Май 2009 — 12:03
При запуске cureit-scan.bat — быстро открывается командная строка, там что то пишется и закрывается, cureIt — не запускается.
Добавьте в конец батника (после :end) команду pause — будет возможность рассмотреть, что там пишется.
- Наверх
#16
Piterski
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 12:12
Добавьте в конец батника (после :end) команду pause — будет возможность рассмотреть, что там пишется.
А как это сделать? http://forum.drweb.com/public/style_emoticons/default/blink.png
- Наверх
#17
YVS
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 14 Май 2009 — 12:14
Добавьте в конец батника (после :end) команду pause — будет возможность рассмотреть, что там пишется.
А как это сделать? http://forum.drweb.com/public/style_emoticons/default/blink.png
Открыть блокнотом cureit-scan.bat и добавить строку.
На всякий случай приложил новый архив (оригинал взят отсюда).
[здесь было вложение (cureit_scan.zip)]
Сообщение было изменено YVS: 14 Май 2009 — 19:27
Удалил вложение
- Наверх
#18
Piterski
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 12:18
- Наверх
#19
Pavel Plotnikov
Pavel Plotnikov
-
- Guests
- 5 276 Сообщений:
Отправлено 14 Май 2009 — 12:22
сабж — http://s47.radikal.ru/i115/0905/c3/964a71e4eaaa.png http://forum.drweb.com/public/style_emoticons/default/huh.png
переименуйте 89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате
GUI/Android/iOS/WP8/волейбол
- Наверх
#20
Piterski
Piterski
-
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 12:31
89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате
Все запустилось, сейчас проверяется и уже нашло с десяток инфицированных файлов. По этому поводу у меня назрел вопрос — Я все делаю по правилам, лечу и переношу. Но там такие файлы о_0 (в папках system 32 и тд), не упадет ли у меня ОС? Запустится ли она после перезагрузки? о_0
- Наверх
ВНИМАНИЕ! Ни в коем случае не открывайте какие-то ярлыки или файлы на флешке – вы можете запустить вирус на свой ПК.
Всем привет! Сегодня столкнулся с такой проблемой – открываю я флешку, а на ней вместо файлов ярлыки. Сразу возник вопрос: а как это можно вылечить, и есть ли вероятность вернуть поврежденные данные. По началу даже испугался немного, так как на флешке были очень важные документы и фотографии с видео. Но в итоге мне удалось их восстановить, и сейчас я расскажу – как у меня это получилось.
Как я и догадывался, если все файлы или папки на флешке стали ярлыками, то значит там поработал вирус, и причина может быть только в этом. Может наблюдаться исчезновение некоторых папок, также объем самой флешки и занятой памяти не меняется и остается на прежнем уровне. Также у некоторых могут появиться другие файлы и папки с расширением «lnk».
Содержание
- ШАГ 1: Проверка антивирусом
- ШАГ 2: Возвращаем файлы
- ШАГ 3: Как удалить вирус?
- ШАГ 4: Вернуть обычный вид папкам
- ШАГ 5: Проверка компьютера
- Лечение флешки одним BAT файлом
- Задать вопрос автору статьи
ШАГ 1: Проверка антивирусом
Вообще сам вирус достаточно древний и существует ещё с годов так 2000х. Поэтому в первую очередь проверяем носитель антивирусной программой. Открываем «Мой компьютер», нажимаем правой кнопкой по флешке или жесткому диску и выбираем пункт сканирования.
Теперь может быть два сценария. Первый – антивирус не найдет вирус и не устранит его, тогда его придется выуживать вручную – об этом я расскажу чуть ниже. Второй – вирус удалится, но файлы все равно нужно будет возвращать.
ШАГ 2: Возвращаем файлы
Сразу скажу, что большая часть файлов и папок остались и просто скрыты, а вирус дополнительно создает из них ярлыки, чтобы запутать жертву. Чтобы увидеть все файлы, нужно:
- В верхнем меню найдите раздел «Упорядочить» и зайдите в «Параметры папок».
- На вкладке «Вид» пролистываем в самый низ и сначала убираем галочку, чтобы скрывались системные файлы, а потом установите параметр «Показывать скрытые файлы и папки» – смотрим на картинку ниже.
- В самом конце не забудьте нажать «Применить».
Если зайти на флешку, то все папки, которые ранее были скрыты будут отображаться, но будут иметь прозрачный (скрытый) вид. Чтобы вернуть им обратно состояние, нажмите правой кнопкой по файлику или папке и зайдите в «Свойства».
Сразу на первой вкладке «Общие» уберите галочку «Скрытый» и нажмите «Применить». Если файлов слишком много, то давайте сделаем их всех видимыми чуть позднее, а сейчас нужно полностью избавиться от вируса, если с этим не справился антивирусник.
ШАГ 3: Как удалить вирус?
Теперь давайте подумаем – а где может скрываться сам вирус? Файлы превратились в ярлыки, а этим самые ярлыки и запускают вредоносную программу, которая в дальнейшем должна распространиться на ваш компьютер. Следовательно, в параметрах ярлыков должно быть прописана команда или путь к запускаемому файлику. Итак, нажимаем правой кнопкой по любому ярлыку и выбираем «Свойства».
Сначала идет команда, но нас интересует конец строки. В самом конце есть запускаемый файлик «exe» – это и есть вирус. Чуть левее через косую черту идет расположение файла, то есть его папка. В моем случае это папка с названием «RECYCLER», но у вас может быть что-то другое.
Сама эта папка была тоже ранее скрыта, но после прошлых манипуляций она также будет отображаться как скрытая. Вам нужно просто выделить её и удалить – желательно в обход корзине, то есть нажмите одновременно на «Shift» и кнопку «Delete». Также не забудьте удалить все ярлыки.
ШАГ 4: Вернуть обычный вид папкам
Конечно можно сделать это вручную для каждой папки и файла, но если у вас большой жесткий диск, то займет это очень много времени. Поэтому лучше всего это сделать через командную строку:
- Найдите на клавиатуре вспомогательную клавишу «Windows» () и английскую R – нажмите на них одновременно.
- Прописываем команду из трех букв «cmd».
- Ещё раз откройте проводник и посмотрите – какую букву присвоила система вашей флешке. В моем случае это буква «E». Далее нужно прописать команду:
cd /d e:
Вместо «e» вставьте букву вашей флешки.
- Теперь вы увидите вот такую вот строчку, просто нажмите на «Enter», чтобы у папок и файлов применились параметры по умолчанию.
ПРИМЕЧАНИЕ! Если данной строки нет, то вам нужно запустить командную строку от имени администратора.
ШАГ 5: Проверка компьютера
Проблема в том, что частенько пользователи нечаянно открывают зловредные ярлыки и тем самым заражают вирусом свой компьютер. Ничего в этом страшного нет, сам грешил этим. Наша задача найти и удалить этот вирус. Первое, что вы должны сделать, так как это полностью проверить компьютер своей антивирусной программой – не важно, что у вас. Желательно перед этим обновить вирусные базы, возможно, этот вирус свежий и новый.
Если вам удалось его удалить, то радоваться рано – вам нужно следить, чтобы данная проблема не появилась вновь. Поэтому советую сохранить эту статью, так как далее я разберу варианты – когда вирус все же засел у вас на компьютере, не лечится и его нужно срочно удалять вручную.
Один из вариантов можно попробовать найти его в «Диспетчере задач» – чтобы туда попасть, нажмите на клавиши «Ctrl+Shift+Esc». Второй вариант – это нажать на нижнюю рабочую линию правой кнопкой и выбрать «Запустить диспетчер задач».
На вкладке «Процессы» установите сортировку по «Описанию», чтобы увидеть процессы без подписи. Наша задача найти вирус, чаще всего он имеет в своем названии слово «USB». Чтобы не отключить лишнее по каждому из процессов стоит погуглить название каждого (подозрительного) процесса.
Если его здесь не получается найти, то скорее всего он сидит в автозапуске. Автозапуск в Windows 10 находится тут же. В Windows 7 нужно нажать + R и ввести команду: «msconfig».
Отключите все кроме антивируса и драйвера для звуковой карты «Realtek». Путь к вирусу будет отображаться в столбце «Расположение» – просто пройдите туда и удалите его, если обнаружите. Также стоит обращать внимание на строку «Производитель» – обычно вирус никакой лицензионной подписи не имеет.
Файлы автозапуска также могут находиться и в других местах. Поэтому поводу есть отдельные инструкции по Windows 7 и Windows 10.
Лечение флешки одним BAT файлом
Если лень проделывать все вышеперечисленное, то можно создать файлик, который все это будет делать за вас. Для этого:
- На рабочем столе или в любой другой области компьютеру нажмите правой кнопкой и создайте текстовый файл.
- Назвать его можете как угодно – это не имеет значения. Зайдите теперь внутрь и пропишите 4 строчки:
attrib -s -h /s /d
rd RECYCLER /s /q
del autorun.* /q
del *.lnk /q
- Нажмите «Файл» и «Сохранить».
- Теперь закройте его, нажмите правой кнопкой и из списка выберите «Переименовать».
- Вместо «txt» впишите «bat». Точка перед этим обязательно должна стоять. Подтвердите изменение, нажав «Да».
Теперь он превратился в запускаемый «BAT» файлик. Чтобы его активировать, нажмите двойным щелчком мыши. После этого через консоль он проделает все те же самые действия, что вы делали чуть ранее: делаем папки видимыми, удаляем папку с вирусом и ярлыки.
ПРИМЕЧАНИЕ! Если данный способ не помог, то скорее всего папка у вируса называется как-то по-другому, поэтому нужно использовать ручное удаление.
#1
Azzzik
-
- На удаление
- Cообщений: 736
- Регистрация: 03-02-2007
Отправлено 26 Октябрь 2010 — 22:35
С недавнего времени компьютер стал себя странно вести при работе с флешками и другими съемными дисками. Все папки на флешках переписываются как «папка.exe». Если открыть папку.exe, то папка открывается в отдельном окне и сразу принимает обычный вид папке (исчезает .exe).
Наверное , это какой-то вирус. Нод с последними обновлениями не помогает. Что делать? Кто сталкивался?
- Наверх
#2
Doctor Exe
Doctor Exe
-
- Модераторы
- Cообщений: 38 829
- Регистрация: 06-11-2007
Отправлено 26 Октябрь 2010 — 23:16
Azzzik
все ваши папки — скрытые. а то что вы видите — приложения-вирусы.
Антивирус вам в помощь и после него надо скрытым папкам поменять атрибуты.
Нод с последними обновлениями не помогает.
Да бросьте, я своим клиентам только им и лечу. Ну, или ручками, ручками…
Сообщение отредактировал Doctor Exe: 26 Октябрь 2010 — 23:17
- Наверх
#3
Azzzik
Azzzik
-
- На удаление
- Cообщений: 736
- Регистрация: 03-02-2007
Отправлено 26 Октябрь 2010 — 23:24
вставляю любую флешку с нормальными папками — получаю экзешки . скрытых не было.
- Наверх
#4
Doctor Exe
Doctor Exe
-
- Модераторы
- Cообщений: 38 829
- Регистрация: 06-11-2007
Отправлено 26 Октябрь 2010 — 23:33
Azzzik
Сделайте скрин окна антивируса.
- Наверх
#5
Rutra
Rutra
-
- Человеки
- Cообщений: 7 731
- Регистрация: 13-10-2009
-
Предупреждения: 0
Отправлено 27 Октябрь 2010 — 15:11
была такая же проблема!
Нод удаляет данный вирус когда вы делаете 2 щелчок по папке. но саму проблему не решает
и все же нужно сделать следующее:
1. обновиться до последних баз
2. D.web Cure it на намбе и торренте все сть.
я так и смог от него избавиться , смотрел на сайтах название какое-то мудреное у него!
удачи
Сообщение отредактировал Rutra: 27 Октябрь 2010 — 15:12
- Наверх
#6
zeleniy
zeleniy
-
- На удаление
- Cообщений: 7 278
- Регистрация: 10-10-2009
Отправлено 27 Октябрь 2010 — 15:24
кстати, есть две версии данного вируса.
Первая, она старая, нод его видит и удаляет как вирус.
Но буквально позавчера, я столкнулся с новым его прототипом, которого НЕ ВИДИТ НОД, хоть сто раз щелкай. Обновления были 23 октября 2010 года.
А каспер еще видит его. воот.
кому надо могу скинуть этот вирус. я его сохранил. Все равно у меня стоит НОД, а он с ним уже даж задружил. воот
Кому надо ЧИСТО ДЛЯ ОЗНАКОМЛЕНИЯ И ДЛЯ ПЫТКИ ДАННОГО ВИРУСА. я прикрепил в пост.
ПРЕДУПРЕЖДАЮ ЭТО ВИРУС NOD 32 его видит как безопасный объект и позволяет ему рушить всю систему, ОБРАЩАЙТЕСЬ С НЕЙ КРАЙНЕ ОСТОРОЖНО. ТЕМ КТО НЕ ПОНИМАЕТ, ЛУЧШЕ НЕ ТРОГАЙТЕ!!!
ОТВЕТСТВЕННОСТИ ЗА ПОСЛЕДСТВИЯ Я НЕ НЕСУ, ЛИЧНО Я ДАЮ ЭТОТ ВИРУС НА ПЫТКИ СПЕЦИАЛИСТАМ
Прикрепленные файлы
-
DUBLDBF.rar 181,35К
5231 скачиваний
Сообщение отредактировал zeleniy: 27 Октябрь 2010 — 22:16
- Наверх
#7
nokius
nokius
-
- Человеки
- Cообщений: 15 316
- Регистрация: 23-09-2008
-
Предупреждения: 0
Отправлено 03 Ноябрь 2010 — 10:33
вот то что пишет каспер
http://www.securelis…in32.Radminer.d + как его очистить
Прикрепленные изображения
Сообщение отредактировал nokius: 03 Ноябрь 2010 — 10:34
- Наверх
#8
Гость_Dolphine_*
Гость_Dolphine_*
-
- Гости
- Регистрация: —
Отправлено 03 Ноябрь 2010 — 11:13
zeleniy
Мой НОД молчит, но архив распаковать не смог, говорит битый
Попробовал скачать Флашгетом, на 91 проценте застывает и все.
Сообщение отредактировал Dolphine: 03 Ноябрь 2010 — 11:16
- Наверх
#9
THEX
THEX
-
- Человеки
- Cообщений: 4 454
- Регистрация: 14-03-2007
-
Предупреждения: 0
Отправлено 03 Ноябрь 2010 — 11:47
недавно вытаскивал данные с флешки, на которой все папки были запакованы вирусом — там не было скрытых папок, только экзешники с названиями папок, но когда запускаешь их, то открываются как папки и можно работать с содержимым.
Не стал много заморачиваться (сначала думал с помощью UniExtract извлечь содержимое, но не вышло) и в помощью любимого Sandboxie в песочнице стал открывать экзешники и оттуда вытаскивать файлы. Чуть помучившись извлек все данные.
- Наверх
#10
THEX
THEX
-
- Человеки
- Cообщений: 4 454
- Регистрация: 14-03-2007
-
Предупреждения: 0
Отправлено 03 Ноябрь 2010 — 11:49
Dolphine
нод давно видит этот вирус. Еще когда его zeleniy прикрепил.
- Наверх
#11
zeleniy
zeleniy
-
- На удаление
- Cообщений: 7 278
- Регистрация: 10-10-2009
Отправлено 03 Ноябрь 2010 — 17:05
архив все норм, сам проверил! НОД в общем его нивкакую не видит. я в нем разочаровался, а еще и покупал его. так обидно
- Наверх
#12
-[RaY]-
Отправлено 03 Ноябрь 2010 — 22:33
THEX
нод давно видит этот вирус. Еще когда его zeleniy прикрепил.
Нод его только на вирус тотал видит…
Первоначально думал что понт в местных обновлениях, обновился с офф.сервера — результат такой же, не находит.
upd
Скандалы_интриги_расследования
На вирус тотале зверек определяется по Ноду как Win32/RemoteAdmin.RAdmin.20, актуальная база 5588. На машине база аналогичная, но упорно не видит. При распакованном архиве лепит про «невозможно открыть файл».
Ну и на сладкое — энциклопедия зверьков на офф сайт ЕСЕТа про такой вирус молчит.
Пичаль…
Сообщение отредактировал -[RaY]-: 03 Ноябрь 2010 — 23:06
- Наверх
#13
THEX
THEX
-
- Человеки
- Cообщений: 4 454
- Регистрация: 14-03-2007
-
Предупреждения: 0
Отправлено 03 Ноябрь 2010 — 23:17
щас только заметил, что определяет как потенциальную угрозу.
- Наверх
#14
zeleniy
zeleniy
-
- На удаление
- Cообщений: 7 278
- Регистрация: 10-10-2009
Отправлено 04 Ноябрь 2010 — 09:15
у меня стоит Eset Smart Security.
Обновления последние
скачиваю от сюда же, распаковываю. Есет молчит!
- Наверх
#15
THEX
THEX
-
- Человеки
- Cообщений: 4 454
- Регистрация: 14-03-2007
-
Предупреждения: 0
Отправлено 04 Ноябрь 2010 — 10:18
zeleniy
в методах сканирования указать «потенциально опасное ПО»
- Наверх
#16
zeleniy
zeleniy
-
- На удаление
- Cообщений: 7 278
- Регистрация: 10-10-2009
Отправлено 04 Ноябрь 2010 — 16:41
величайшая тупость Nod 32. Да, включенив метод обнаруживания потенциально опасного ПО нашло вирус ТОЛЬКО ПРИ СКАНИРОВАНИИ ЧЕРЕЗ САМ ПРОГРАММУ.
то есть получается так.
1)Вирус сидит на флешке. я его кликаю на нему 2 раза, НОД МОЛЧИТ!!! (уверенно кликаю потому что я понял суть его работы, могу запросто восстановить все)
2) нажимаю правую на вирусе и жму СКАНИРОВАТЬ с прогой Есет Смарт Секьюрити (метод в настройках уже включен) но все равно Нод МОЛЧИТ!
3) Выбираю в нод смарт секьюрити выборочное сканирование и выбираю только этот вирус на сканирование. И УРААА, наконец то увидел! ТОЛЬКО толку от этого???
- Наверх
#17
THEX
THEX
-
- Человеки
- Cообщений: 4 454
- Регистрация: 14-03-2007
-
Предупреждения: 0
Отправлено 04 Ноябрь 2010 — 18:35
zeleniy
а вы защиту в режиме реального времени настроили?
- Наверх
#18
madved
madved
-
- На удаление
- Cообщений: 389
- Регистрация: 28-02-2007
Отправлено 07 Ноябрь 2010 — 17:37
Так я не понял как с этим червяком бороться?
Ои-ои-ои… чо делать то???
- Наверх
#19
zeleniy
zeleniy
-
- На удаление
- Cообщений: 7 278
- Регистрация: 10-10-2009
Отправлено 08 Ноябрь 2010 — 00:07
cmd > dir /x смотришь имя папки, так как он называется «..» (две точки) то виндовс его и открыть не сможет, именно из за этого файлы вроде как есть, но их негде не найти. Прост вирус перемещяет все файлы в эту папку и дает ему название ..
то есть открываем командную строку переходим на флешку, допустим если флешка носит в названии букву G: то и соответственно пишем G: и ентер
после того как перейдем в корневую директорию флешки, нужно посмотреть командой dir /x (параметр X позволяет нам видеть название папки, чьи имена не соответствуют стандарту 8:3)
и мы увидем альтернативное название папки «..» , у меня было вот так «E2E2~1» и я прост взял и переименовал эту папку через командную строку командой ren E2E2~1 NewFolder, (команда ren обозначает rename то есть переименовать) и все
Виндовс начал видеть папку, и все файлы были внутри. ммм
надеюсь кому либо поможет этот совет
Сообщение отредактировал zeleniy: 08 Ноябрь 2010 — 00:08
- Наверх
#20
Pushok1
Pushok1
-
- На удаление
- Cообщений: 458
- Регистрация: 19-12-2008
Отправлено 08 Ноябрь 2010 — 00:57
пользуйтесь юсбдисксекьюрити и всё будет тип топ!
а чтобы открыть те файлы,на старых версиях этого фируса помогало вот что стираете .ехе и открываете получившийся файл с помощью проводника
Сообщение отредактировал Pushok1: 08 Ноябрь 2010 — 01:01
- Наверх