Мапе на флеш диску постају пречице

Јуче сам на курсевима ухватио вирус на УСБ флеш уређају који је антивирусом одмах откривен и уклоњен на мом кућном рачунару. Међутим, испоставило се да све мапе на флеш диску постале су пречице. Прије неког времена већ сам се сусрео с таквим проблемом, тако да знам прво правило за спречавање заразе рачунара: ни у којем случају не покушавајте отворити пречице до мапа! (чак и ако су подаци на флеш драјву непроцењиви и желите одмах да будете сигурни да се нигде не губе). Зашто не отворите ове пречице? Креатори вируса су кренули у такав трик: две особине су регистроване у својствима ових пречица:

  1. Прво покреће и инсталира вирус на ваш рачунар
  2. Други отвара фасциклу која вас занима.

И.е. корисник на чијем рачунару није инсталиран антивирус, без обраћања пажње на чињеницу да су сви директоријуми на флеш драјву сада приказани као пречице, једноставно не може знати да је флеш уређај заражен, јер све мапе на флеш диску се отварају и информације у њима су на свом месту. У неким модификацијама таквог вируса, мапе се престају отварати чак и ако кликнете на пречицу. У сваком случају, не паничите, не журите са форматирањем УСБ флеш уређаја и пажљиво прочитајте упутства испод. Схватите да каталози нису нестали, као што су били на флеш драјву и тако је. Вирус је управо сакрио све мапе на УСБ флеш уређају, тј. додељени су им одговарајући атрибути (скривени + архивирани). Наш задатак: уништити вирус и уклонити ове атрибуте.

Дакле, у наставку ћу дати упутства која описују шта треба учинити ако фасцикле на блицу постају пречице

Садржај:

  • Избришите извршне датотеке вируса на УСБ флеш уређају
  • Провјера система за покретање наредби вируса
  • Вратите изглед директоријума и приступ мапама
  • Ручни начин враћања атрибута скривених мапа на УСБ флеш уређај
  • Скрипта за аутоматско уклањање атрибута скривања из изворних мапа и датотека

Избришите извршне датотеке вируса на УСБ флеш уређају

Први корак је да бисте се ослободили извршних датотека вируса. Ово се може учинити било којим антивирусом (постоји пуно бесплатних или преносивих верзија, као што су Др.Веб ЦуреИт или Касперски Вирус Алат за уклањање), ако га нема, можете покушати да пронађете и неутралишете вирус ручно. Како пронаћи датотеке вируса које инфицирају УСБ флеш уређај?

  1. У програму Виндовс Екплорер омогућите приказ скривених и системских датотека.
    • Ин Виндовс КСП: Старт-> Мој рачунар-> мени Алатке-> Опције мапе-> картица Преглед. Позовите ознаку „Сакриј заштићене системске датотеке (препоручује се)"и постављено на"Прикажи скривене датотеке и мапе".
    • Ин Виндовс 7 путања је мало другачија: Старт-> Цонтрол Панел-> Аппеаранце анд персонализатион-> Фолдер Оптионс-> таб Виев. Параметри су исти..
    • За Виндовс 8/10 упутство је у чланку Прикажи скривене мапе у Виндовс-у 8.
  2. Отворите садржај флеш уређаја и на њему видимо доста пречица до мапа (обратите пажњу на икону пречице у иконама мапе). Сада морате да отворите својства било које пречице до мапе (РМБ -> Пропертиес). Они ће изгледати овако: Занимају нас вриједности поља Таргет (Објект). Линија назначена на њему је прилично дугачка и могла би изгледати овако:
    % виндир% \ систем32 \ цмд.еке / ц "старт% цд% РЕЦИЦЛЕР \ е3180321.еке &&% виндир% \ екплорер.еке% цд% резервна копија

У овом примеру, РЕЦИЦЛЕР \ е3180321.еке ово је исти вирус. И.е. Вирусна датотека под називом е3180321.еке налази се у мапи РЕЦИЦЛЕР. Избришемо ову датотеку или можете избрисати и читаву фасциклу (препоручујем да проверите присуство ове мапе и на најображенијем флеш уређају и у системским директоријумима Ц: \ виндовс, Ц: \ виндовс \ систем32 и у профилу тренутног корисника (више о њима у наставку)).

Такође препоручујем да погледате извршне датотеке вируса у следећим именицима:

  • ин Виндовс 7, 8 и 10 - Ц: \ корисници \ корисничко име \ аппдата \ роаминг \
  • ин Виндовс КСП - Ц: \ Документи и поставке \ корисничко име \ Локална подешавања \ Подаци о апликацији \

Ако ови директоријуми садрже датотеке са наставком ".еке", онда је то највероватније ово извршна датотека вируса и може да се обрише (у овом директоријуму на незараженом рачунару не би требало да буде .еке датотека).

У неким случајевима антивируси не откривају такве вирусе, као могу се креирати у облику скрипте .бат / .цмд / .вбс, које у принципу не изводе никакве деструктивне радње на рачунару. Препоручујемо да ручно проверите УСБ флеш уређај за датотеке са таквим дозволама (њихов код можете прегледати помоћу било којег уређивача текста).

Сада кликање на пречицу није опасно!

Провјера система за покретање наредби вируса

У неким случајевима вируси се региструју у систему аутоматског покретања. Ручно проверите следеће огранке регистра (регедит.еке) ради сумњивих уноса:

  • ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун - ови програми се покрећу када се рачунар покрене
  • Хкеи_Тренутна_УСЕР\Софтвер\Мицрософт\Виндовс\ЦуррентВерсион\Трчи - програми који се аутоматски покрећу када се тренутни корисник пријави

Избришите све сумњиве уносе и непознате програме (нећете учинити ништа погрешно, чак и ако искључите покретање неког потребног програма, увек га можете покренути ручно након уласка у систем).

Остали начини аутоматског покретања програма у систему описани су у чланку Управљање програмима за аутоматско покретање у систему Виндовс 8.

Вратите изглед директоријума и приступ мапама

Након што се флеш уређај и рачунар очисте од вируса, морате да вратите нормалан изглед мапа и датотека на флеш драјву. У зависности од модификације вируса (и маште „програмера“), системске мапе „скривени“ и „систем“ могу се доделити оригиналним мапама или се пренети у одређену скривену мапу коју је посебно креирао вирус. Не можете уклонити ове атрибуте, тако да морате да користите команде за ресетовање атрибута кроз командну линију. То се такође може учинити ручно или помоћу батцх датотеке. Тада се преостале пречице до мапа могу избрисати - не требају нам

Ручни начин враћања атрибута скривених мапа на УСБ флеш уређај

  1. Отворите командну линију са повластицама администратора
  2. У црни прозор који се појави унесите команду, након што упишете сваки притисак Ентер
    цд / д ф: \
    , где ф: \ - Ово је слово погона додељено УСБ флеш уређају (може се разликовати у одређеном случају)
    аттриб -с -х / д / с
    , наредба ресетира атрибуте С („Систем“), Х („Хидден“) за све датотеке и мапе у тренутној мапи и у свим подмапама..

Као резултат, сви подаци на диску постају видљиви..

Скрипта за аутоматско уклањање атрибута скривања из изворних мапа и датотека

Можете користити готове скрипте које изводе све операције за аутоматско враћање атрибута датотеке.

С ове странице преузмите датотеку цлеар_аттриб.бат (263 бајта) (директна веза) и покрените је са правима администратора. Датотека садржи следећи код:

: лбл
цлс
сет / п диск_фласх = "Унесите флеш диск:"
цд / Д% диск_фласх%:
ако је% еррорлевел% == 1 гобл
цлс
цд / Д% диск_фласх%:
дел * .лнк / к / ф
аттриб -с -х -р ауторун. *
дел ауторун. * / Ф
аттриб -х -р -с -а / Д / С
рд РЕЦИЦЛЕР / к / с
Екплор.еке% диск_фласх%:

Када покренете програм тражи да наведете назив флеш уређаја (на пример, Ф:), а затим брише све пречице, ауторун. * датотеке, уклања атрибуте скривања из директорија, брише директоријум РЕЦИЦЛЕР вируса и на крају приказује садржај УСБ флеш јединице у програму Екплорер.

Надам се да је овај пост користан. Ако наиђете на друге модификације вируса који претварају мапе на УСБ флеш уређају у пречице - опишите симптоме у коментарима, покушајте заједно да решите проблем!

Категорија