» » Вирус создающий ярлыки на флешке

Вирус создающий ярлыки на флешке

Ярлыки вместо папок

Ярлыки вместо папок что делать?

Ответственность за создание ярлыков на флешке и превращение папок в скрытые взял на себя вирус-террорист Backdoor.win32.ruskill, которыми данными действиями предоставляет злоумышленнику удаленный доступ к зараженному компьютеру. Функционал у вируса впечатляет — от кражи конфиденциальной информации до DDoS атак, но расписывать все в данной теме не буду, ибо это целый отдельный пост. Вернемся к нашим

ярлыкам.

Итак, как уже выяснили Backdoor.win32.ruskill делает все папки скрытыми, создает на них ярлыки с запуском заражения. Найти вирус на флешке проще простого — нужно посмотреть свойства ярлыка и путь куда он ссылается. Вызвав свойства вы уведите такую строку:

P.S. Интересно, но вирус распространяется только (!) через флеш-накопители.

Для отображения скрытых файлов на вкладке «Вид» по пути Пуск\Мой компьютер\Меню\Сервис\Свойства папки у параметра «Скрывать защищенные системные файлы (рекомендуется)» снимаем галочку и устанавливаем переключатель для параметра «Показывать скрытые файлы и папки».

Далее находим и удаляем на флешке папку RECYCLER и все ярлыки наших папок — они не нужны.

3. Нам нужно создать в корне флешки файл, после чего запустить его. Сейчас подробно распишу этот процесс, читайте внимательно.

Заходим на нашу проблемную флешку, нажимаем правой кнопкой на пустую область, и выбираем «Создать», затем «Текстовый документ».

Создаем текстовый документ

3. ПРИВОДИМ ФЛЕШКУ В ПРЕЖНИЙ ВИД

Удаляем все ярлыки наших папок так как они не нужны.
Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

2. Запускаем "Диспетчер задач" (Ctrl+Shift+Esc) и завершаем процесс explorer.exe. При этом исчезнет панель задач, кнопка "Пуск" и ярлыки на рабочем столе. Не пугайтесь. Починим.

3. Вставляем инсталляционный диск Windows XP, находим на нем папку i386, а в ней файл Explorer.ex_. Нажимаем Ctrl+PageDown (TotalCommander заходит в этот файл, как в архив) и видим файл explorer.exe, который копируем в папку Windows, заменяя при этом лежащий там заражённый explorer.exe.

При запуске файла попросит ввести букву флэшки (что бы можно было запускать откуда угодно, а не копировать в корень флэшки для запуска). Если буква диска введена не правильно, то еще раз попросит ввести, после чего скрипт удалит все ярлыки *.lnk. Если есть файл автозапуска, то он его тоже удалит, после снимет со всех папок атрибут "скрытый” (нужно подождать), удалит папку RECYCLER с флэшки (обычно вирус её тоже создает, и записывает туда вирус). После всего этого откроет флэшку через проводник: показать, что получилось

Как удалить такой вирус с компьютера

Если вы подхватили такой вирус на своем локальном компьютере, то лечится просто:

После всех удалений осталась одна проблемка- данные скрыты, причем изменить это стандартным способом не получается, так как галочка «скрытый» в свойстве ваших данных, неактивна и отображается серым цветом. На этот случай я написал bat файл для изменения атрибутов(свойств). Скачать его можете здесь. Поместите bat файлик в корень вашей флешки и откройте его. После этого все ваши данные должны быть восстановлены.

А вдруг и это будет интересно:

Наверх