Mape na bliskovnem pogonu postanejo bližnjice

Včeraj sem na tečajih ujel virus na bliskovnem pogonu USB, ki ga je antivirus takoj zaznal in odstranil v domačem računalniku. Vendar se je izkazalo, da vse mape na bliskovnem pogonu so postale bližnjice. Pred časom sem že naletel na takšno težavo, zato vem prvo pravilo za preprečevanje okužbe vašega računalnika: v nobenem primeru ne poskušajte odpreti bližnjic do map! (tudi če so podatki na bliskovnem pogonu neprecenljivi in ​​želite takoj poskrbeti, da se ne izgubijo nikjer). Zakaj ne bi odprli teh bližnjic? Ustvarjalci virusa so šli v tak trik: v lastnostih teh bližnjic sta registrirana dva ukaza:

  1. Prvi zažene in namesti virus na vaš računalnik
  2. Drugi odpre mapo, ki vas zanima.

I.e. uporabnik, katerega računalnik nima nameščenega protivirusnega programa, ne da bi pozoren na to, da so vsi imeniki na bliskovnem pogonu zdaj prikazani kot bližnjice, preprosto ne ve, da je bliskovni pogon okužen, ker vse mape na bliskovnem pogonu se odprejo in informacije v njih so na mestu. V nekaterih modifikacijah takega virusa se mape nehajo odpirati, tudi če kliknete bližnjico. Vsekakor ne paničite, ne hitite s formatiranjem bliskovnega pogona USB in natančno preberite spodnja navodila. Razumejte, da katalogi niso izginili, kot so bili na bliskovnem pogonu in tako je tudi. Virus je pravkar skril vse mape na USB-pomnilniškem pogonu, tj. so jim bili dodeljeni ustrezni atributi (skriti + arhivirani). Naša naloga: uničiti virus in odstraniti te atribute.

Tako bom spodaj dal navodila, ki opisujejo, kaj storiti, če mape na bliskovnici postanejo bližnjice

Vsebina:

  • Izbrisljive datoteke z virusom zbrišite na USB-pogonu
  • Preverjanje sistema za ukaze za zagon virusa
  • Obnovite videz imenikov in dostop do map
  • Ročni način obnovitve skritih atributov mape na bliskovnem pogonu USB
  • Skript za samodejno odstranjevanje atributov skrivanja iz izvornih map in datotek

Izbrisljive datoteke z virusom izbrišite na bliskovnem pogonu USB

Prvi korak je, da se znebite izvršljivih datotek virusa. To je mogoče storiti s katerim koli protivirusnim programom (obstaja veliko brezplačnih ali prenosnih različic, na primer Dr.Web CureIt ali Kaspersky Virus Removal Tool), če ga ni, lahko poskusite virus najti in nevtralizirati. Kako najti virusne datoteke, ki okužijo bliskovni pogon USB?

  1. V programu Windows Explorer omogočite prikaz skritih in sistemskih datotek.
    • V Windows XP: Start-> Moj računalnik-> meni Orodja-> Možnosti mape-> zavihek Pogled. Počistite polje »Skrivanje zaščitenih sistemskih datotek (priporočeno)"in nastavljena na"Pokaži skrite datoteke in mape".
    • V Windows 7 pot je nekoliko drugačna: Start-> Nadzorna plošča-> Videz in personalizacija-> Možnosti mape-> zavihek Pogled. Parametri so enaki..
    • Za Windows 8/10 navodilo je v članku Pokaži skrite mape v sistemu Windows 8.
  2. Odprite vsebino bliskovnega pogona in na njej vidimo veliko bližnjic do map (bodite pozorni na ikono bližnjice v ikonah mape). Zdaj morate odpreti lastnosti katere koli bližnjice do mape (RMB -> Properties). Izgledali bodo nekako takole: Zanimajo nas vrednosti polja Target (Predmet). Črta, navedena v njej, je precej dolga in lahko izgleda nekako takole:
    % windir% \ system32 \ cmd.exe / c "start% cd% RECYCLER \ e3180321.exe &&% windir% \ explor.exe% cd% backup

V tem primeru RECYCLER \ e3180321.exe to je isti virus. I.e. Datoteka z virusom z imenom e3180321.exe se nahaja v mapi RECYCLER. To datoteko izbrišemo ali pa izbrišete tudi celotno mapo (priporočam, da preverite prisotnost te mape tako na najbolj okuženem bliskovnem pogonu kot v sistemskih imenikih C: \ windows, C: \ windows \ system32 in v profilu trenutnega uporabnika (več o njih spodaj)).

Priporočam tudi, da si ogledate izvršljive datoteke virusa v naslednjih imenikih:

  • v Windows 7, 8 in 10 - C: \ uporabniki \ uporabniško ime \ appdata \ gostovanje \
  • v Windows XP - C: \ Dokumenti in nastavitve \ uporabniško ime \ lokalne nastavitve \ podatki o aplikacijah \

Če ti imeniki vsebujejo datoteke s pripono ".exe", potem je najverjetneje to izvršljiva datoteka virusa in jo je mogoče izbrisati (v tem imeniku na neinficiranem računalniku ne sme biti nobenih .exe datotek).

V nekaterih primerih antivirusi takšnih virusov ne odkrijejo, kot lahko jih ustvarite v obliki skriptnih datotek .bat / .cmd / .vbs, ki načeloma ne izvajajo nobenih uničujočih dejanj v računalniku. Priporočamo, da ročno preverite USB-pomnilniški pogon za datoteke s takšnimi dovoljenji (njihovo kodo si lahko ogledate s katerim koli urejevalnikom besedil).

Zdaj klikanje na bližnjico ni nevarno!

Preverjanje sistema za ukaze za zagon virusa

V nekaterih primerih se virusi registrirajo v sistemu za zagon. Preverite, ali so v podružnicah registra (regedit.exe) sumljivi vnosi:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run - ti programi se zaženejo, ko se računalnik zažene
  • Hkey_Trenutni_UPORABNIK\Programska oprema\Microsoft\Windows\CurrentVersion\Teči - programi, ki se samodejno zaženejo, ko se trenutni uporabnik prijavi

Izbrišite vse sumljive vnose in neznane programe (ne boste naredili nič narobe, in četudi izklopite zagon nekega potrebnega programa, ga lahko po vnosu v sistem vedno zaženete ročno).

Drugi načini za samodejni zagon programov v sistemu so opisani v članku Upravljanje programov za samodejni zagon v sistemu Windows 8.

Obnovite videz imenikov in dostop do map

Po čiščenju bliskovnega pogona in računalnika pred virusi morate obnoviti običajen videz map in datotek na bliskovnem pogonu. Glede na modifikacijo virusa (in domišljijo razvijalcev) lahko izvirnim mapam dodelimo sistemska atributa "skrita" in "sistemska" ali pa jih prenesemo v določeno skrito mapo, ki jo je virus posebej ustvaril. Te atribute ne morete odstraniti, zato morate v ukazni vrstici uporabiti ukaze za ponastavitev atributa. To lahko storite tudi ročno ali s pomočjo paketne datoteke. Potem lahko preostale bližnjice do map izbrišemo - ne potrebujemo jih

Ročni način obnovitve skritih atributov mape na bliskovnem pogonu USB

  1. Odprite ukazno vrstico s pooblastili skrbnika
  2. V črnem oknu, ki se prikaže, vnesite ukaz, potem ko vtipkate vsako tipko Enter
    cd / d f: \
    , kje f: \ - To je črka pogona, ki je dodeljena bliskovnemu pogonu USB (v posameznem primeru se lahko razlikuje)
    attrib -s -h / d / s
    , ukaz ponastavi atribute S ("Sistem"), H ("Skriti") za vse datoteke in mape v trenutnem imeniku in v vseh podmapah.

Posledično postanejo vsi podatki na pogonu vidni..

Skript za samodejno odstranjevanje atributov skrivanja iz izvornih map in datotek

Za samodejno obnovitev atributov datotek lahko uporabite že pripravljene skripte.

S tega mesta prenesite datoteko clear_attrib.bat (263 bajtov) (neposredna povezava) in jo zaženite s skrbniškimi pravicami. Datoteka vsebuje naslednjo kodo:

: lbl
cls
set / p disk_flash = "Vnesite bliskovni pogon:"
cd / D% disk_flash%:
če je% errorlevel% == 1 goto lbl
cls
cd / D% disk_flash%:
del * .lnk / q / f
attrib -s -h -r avtorun. *
del avtorun. * / Ž
attrib -h -r -s -a / D / S
rd RECYCLER / q / s
explor.exe% disk_flash%:

Ko zaženete program, vas zahteva, da navedete ime bliskovnega pogona (na primer, F:), nato pa izbriše vse bližnjice, datoteke z zagonom. *, odstrani atribute skrivanja iz imenikov, izbriše mapo z virusi RECYCLER in končno prikaže vsebino bliskovnega pogona USB v Explorerju.

Upam, da je ta objava koristna. Če naletite na druge modifikacije virusa, ki pretvorijo mape na bliskovnem pogonu USB v bližnjice - simptome opišite v komentarjih, poskusite težavo rešiti skupaj!

Kategorija