Борьба с вирусом на флешках “Вместо папок – ярлыки”
Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту – очередные трояны. Что бы удалить вирус необходим правильный "инструмент". Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак – это все папки на флешке превратились в ярлыки.
Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов – вот это делать, совсем не стоит!
Проблема в том, что в этих ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей драгоценной папки.
Чистить флешку от таких вирусов будем пошагово.
Шаг 1. Отобразить скрытые файлы и папки.
Если у Вас Windows XP, то проходим путь: “Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид”:
На вкладке “Вид” отыскиваем два параметра и выполняем:
Показывать скрытые файлы и папки – устанавливаем переключатель.
Если у Вас Windows 7, нужно пройти немного другой путь: ”Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид”.
Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.
Шаг 2. Очистка флешки от вирусов.
Зараженная флешка выглядит так, как показано на рисунке ниже:
Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск – первый открывает Вашу папку, а второй – запускает вирус:
Нас интересует строка “Объект”. Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:
Вот тот самый путь: RECYCLER\6dc09d8d.exe - папка на флешке и вирус в ней.
Удаляем его вместе с папкой – теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).
Шаг 3. Восстановление прежнего вида папок.
1. Удаляем все ярлыки наших папок – они не нужны.
2. Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.
Для этого есть 2 пути:
Путь 1:
Открываем “Пуск”-Пункт “Выполнить”-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
cd /d f:\ нажать ENTER, где f:\ – это буква нашей флешки (может отличатся от примера)
attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.
Путь 2:
1. Создать текстовый файл на флешки.
2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.
Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!
4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.
Как проверить является ли Ваш ПК переносчиком вируса?
Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек - какие либо буквы или цифры.
Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.
Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.
Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?
Скажу сразу, у меня такой ситуации не было. Как лечить точно – я не знаю. Выходов из ситуации я вижу три:
сносим Windows (1,5-2 часа, самый быстрый способ);
устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер “полными проверками” пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.
Ссылки на утилиты, которые могут помочь:
DrWeb LiveCD
Kaspersky Virus Removal Tool
AVZ
F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)
Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.
Вроде бы все, обращайтесь – всегда отвечу, иногда с задержкой.
Как защитить от вирусов флешку?
Когда вы вставляете свою флешку в ноутбук или компьютер, которые заражены вирусами и вредоносными ПО, существует высокая вероятность того, что эти вирусы попадут на ваше устройство. Затем с его помощью вы распространите вирусы на другие ПК.
Каким образом флешка заражается? Все довольно просто. В корневом разделе флешки создается файл с именем autorun.inf. Этот файл имеет инструкцию запуска вируса с другого, скрытого от пользователей файла. Эта инструкция о запуске вируса выполняется операционной системой, как только флешка будет вставлена в компьютер.
Существует способ, позволяющий избежать запуска вирусов. Он основан на том, что ОС Windows не разрешает создать файл, если на компьютере уже имеется папка или файл с таким же названием. Таким образом, самое простое решение заключается в создании объекта с именем autorun.inf.
Тут возникает еще одна проблема. Современные вирусы способны определить наличие подобного файла на диске и удалить его, заменив его своим. Решить эту проблему можно, создав такой файл, который невозможно удалить. Однако создать такой файл невозможно, в отличие от папки. Как это сделать?
Сначала нужно вставить в «чистый» от вирусов компьютер флешку. Затем открыть командную строку (меню Пуск->Выполнить). В ней надо набрать CMD и нажать OK. Это откроет окошко ввода командных строк. Например, компьютер определил вашу флешку как диск F. Значит, в командной строке нужно набрать F: и нажать Enter. Затем написать следующее:
MD AUTORUN.INF (нажать Enter)
CD AUTORUN.INF (нажать Enter)
MD NOVIRUS (нажать Enter).
Это создаст на вашей флешке папку autorun.inf, а вирусы ее не смогут удалить.