Zanimljiv virus uvukao se u računala na poslu. Stvara prečac flash pogona na samom flash disku, a kada osoba spoji takav flash pogon, misli da je to bezopasan kvar i pokreće prečac. A prečac, zauzvrat, izvršava zlonamjerni kod napisan u svojstvima, a zatim samo otvara mapu s datotekama korisniku. Antivirusni programi pokazalo se nemoćnim, odlučio sam pokušati sam riješiti ovu nevolju.

Virus se širi samo putem USB flash pogona

Dakle, ako odete na Google s upitom Virus stvara prečac na flash pogonu vidjet ćemo posebne teme na forumima (primjer teme na cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)) gdje ljudi traže uklanjanje ove gluposti. Da biste eliminirali virus koji stvara prečac flash pogona na flash pogonu, morate poslati izvješća o skeniranju računala, zatim slijediti preporuke gurua i to je to. Što učiniti ako je cijeli park zaražen računalna tehnologija? Bit će vrlo skupo slati izvještaj za svako računalo, jer. Neće to moći svi zaposlenici. Da, i tretirati flash pogone svima, bez iznimke, također je hemoragično na vrijeme. Kao opciju, odlučio sam pokušati sam proučiti ovaj virus. Da biste to učinili, instalirajte virtualni prozori u VirtualBoxu, zarazio ga zaraženim flash pogonom. Sada sam u potrazi za univerzalnim i jednostavan način očistite računala od virusa koji stvara prečac flash pogona na flash disku, kao i zaštitite sustav od zaraženih usb medija.

Sigurnosna razmatranja

Otvorite sadržaj flash pogona zaobilazeći pokretanje zlonamjernog prečaca Kao što sam ranije rekao, virus se širi samo putem USB uređaja pokretanjem izvršnog koda iz svojstava prečaca. Za otvaranje svih skrivenih datoteka, možete koristiti sljedeću skriptu: attrib "*" -s -h -a -r /s /d Spremi kao trčati.šišmiš i držati pri ruci. Onemogući automatsko pokretanje USB uređaja Da biste onemogućili automatsko pokretanje USB flash pogona i CD-a, morate urediti registar 1. "Start" - "Run" i upišite "regedit"; 2. otvorite stazu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3. Idite na odjeljak Explorer, i ako ga nema napravite novi odjeljak i preimenujte ga u “Explorer” 4. U odjeljku “Explorer” kreirajte ključ NoDriveTypeAutoRun i unesite vrijednost ključa 0x4 da biste onemogućili automatsko pokretanje svih prijenosnih uređaja.

Kad donesu flash pogon s oznakom u korijenu, trebate

1. kopirajte run.bat u korijen flash pogona i pokrenite;
2. nakon čega će nam se mnoge otkriti nevidljive datoteke, uključujući mapu s praznim nazivom, gdje je virus preuzeo sve datoteke;
3. otvoren besplatni uslužni program iz Microsoft Process Explorera i pronađite vezu za automatsko pokretanje putem CTRL + F, dovršavamo ovaj proces;
4. sada ostaje izbrisati sve datoteke iz korijena, osim ove mape.
5. idite u mapu i premjestite njen sadržaj na višu razinu, tj. u korijen flash pogona.

Zasad je to sve što imam. Nadamo se da ćemo vas uskoro ažurirati

Liječenje virusa od čitatelja (Metoda ne radi. Revidirano 02.10.2015.)

Program UsbFix je pomogao (LINK_REMOVED) Preuzimanje Najnovija verzija i pritisnite nemilosrdno "Clean". Budite oprezni, čisti sve nepotrebno od pokretanja.

Hvala vam puno! Mislim da će informacije biti relevantne za posjetitelje! Bilješka. od 02. listopada 2015.: izbrisana poveznica na program. Sada ga tamo ne možete preuzeti, ali postoji vječno preusmjeravanje s jedne stranice na drugu. Inače, kod nas je ovaj virus nekako postupno izumro. Svi su kopirali skriptu koju je gore napisao za provjeru flash pogona, svaki put kada su očišćeni i provjereni. A ljudi koji uvijek donose zaražene uređaje odbili su ih uzeti. I tako smo pobijedili ovu infekciju.

Situacija izgleda ovako: na flash disku su bile mape, ali su se čudesno pretvorile u prečace, tj. u datoteke s nastavkom lnk. Prilikom pokušaja otvaranja takve datoteke pojavljuje se poruka:

U ovaj slučaj"Q" je naziv prijenosnog diska (flash pogona), za vas može biti drugačiji. Prečac nas upućuje na mapu s izvršnom datotekom (ekstenzija exe), koja je virus.

Što se točno dogodilo: kao rezultat virusa, svim su mapama dodijeljeni atributi "system" i "hidden", tj. ostali su na flash disku, ali ih ne možemo vidjeti pomoću grafike Windows sučelje. Umjesto mapa pojavili su se prečaci s istim nazivima koji vode do datoteke s virusom.

Što učiniti ako su se mape pretvorile u prečace? Korak po korak upute.

Na internetu sam naišao na rješenje problema mijenjanjem atributa mapa (zapravo mapa je datoteka) pomoću naredbenog retka. Za one korisnike koji nisu prijatelji s naredbeni redak, Predlažem alternativni način- U te svrhe koristio sam FAR Manager upravitelj datoteka. Ovaj upravitelj je uvijek praktičan za imati pri ruci i već smo ga koristili prilikom uređivanja. datoteka domaćina(Video Ne mogu unijeti kolege iz razreda. Rješavanje problema).

Korak 1. Provjeravamo flash disk na viruse. Provjerio sam sa AVAST antivirus 4.8 Profesionalno. Uklonio sve "lijeve" prečace s njega, rekavši da je to LNK Trojan.

Avast je uklonio sve "lijeve" prečace

Ako vaš antivirusni program ostavlja prečace mapa na mjestu, izbrišite ih sami, nisu vam potrebni.

Korak 2 Preuzmite FAR Manager, raspakirajte arhivu i pokrenite datoteku Far.exe;

3. korak Idemo prijenosni pogon(flash pogon). Koristite tipke za odabir pogona. Alt+F1;

Sve skriveno sistemske datoteke(lijeva ploča) označeni su tamnoplavom bojom - to su naše "nestale" mape.

Sve skrivene sistemske datoteke (lijeva ploča) označene su tamnoplavom bojom - to su naše "izgubljene" mape

Korak 4 Kako ne biste mijenjali atribute svake mape pojedinačno, odredite ih sve odjednom: prvo odaberite prvu datoteku s popisa, a zatim pritisnite tipku Umetnuti na tipkovnici i držimo dok nazivi svih datoteka koje nas zanimaju ne budu označeni žutom bojom.

Odabir grupe datoteka u FAR Manageru

Korak 5 Pritisnite tipku F4 na tipkovnici (ili gumb Uredi u FAR-u). U izborniku koji se otvori uklonite znakove (upitnik, križić) u stavkama:

Ako ste sve učinili kako treba, boja naziva datoteka će se promijeniti iz tamnoplave u bijelu.

Nakon promjene atributa, boja naziva mapa postala je bijela

Sada možete otići na flash pogon iz sustava Windows i uvjeriti se da se sve prikazuje bez problema.

Nakon promjene atributa sve su mape ponovno postale dostupne

Savjetujem vam da zadržite upravitelj datoteka FAR Manager je uvijek pri ruci, tako da će omogućiti, ako je potrebno, zaobilaženje ograničenja sustava Windows za promjenu datoteka.

Kao što razumijete, uz pomoć FAR Managera možete napraviti i obrnuti postupak, tj. sakrijte svoje datoteke na flash disku od neiskusnih korisnika.

Zaključno, želim se zahvaliti programeru Evgeny Roshalu, koji je stvorio FAR Manager i svima je dobro poznat RAR arhiveri i winrar.

Evgenij Mukhutdinov

Prva skupina budite oprezni u budućnosti. Nemojte razbacivati ​​flash pogon lijevo i desno. Na ovaj trenutak Vaše računalo je bez virusa, tako da ne morate čitati ostatak materijala. Druga skupina - čitajte dalje ako želimo ukloniti virus koji je sadržaj flash pogona pretvorio u prečace.

Uklanjanje virusa sastojat će se iz dva smjera napada:

• Uklanjanje virusa s računala.
• Uklanjanje virusa s flash pogona.

Jedan od ovih virusa je aktivan, drugi nije. Za početak, pozabavimo se aktivnim, jer će on stalno zabadati štapove u kotače. Možete pročitati moj članak o tome kako ukloniti viruse, on prilično jasno objašnjava postupak uklanjanja virusa koji se može i treba primijeniti u ovom slučaju. Također, u kartici možete tražiti virus Procesi prozor Upravitelj zadataka. Postupak ovaj virus ima prilično nejasno ime. Nema tu nikakve logike, to je obična abrakadabra. Možete pronaći lokaciju dana datoteka. Također postoje dva načina za nastavak:

• Jeste li sigurni da je virus. U tom slučaju prestanite ovaj proces i ukloniti virus.
• Niste sigurni radi li se o virusu. U tom slučaju zaustavite proces.

Zatim, flash pogon, čiji se sadržaj pretvorio u neke prečace, mora se očistiti na gore opisani način. I još jednom vas molim da ne dirate nijednu etiketu, inače će cijela operacija propasti. Nakon toga uklonite i ponovno spojite flash pogon. Ako u njemu ne vidite oznake i čini se da je sve jasno, onda ste sve učinili kako treba.

Uklanjanje virusa iz pokretanja

Ali prerano je za opuštanje. Oni koji su jednostavno zaustavili proces trebaju otići u mapu u kojoj se nalazi virus i izbrisati ga. Također morate poništiti automatsko učitavanje. Kako to učiniti možete pronaći u istom članku o tome kako ukloniti virus. Potrebno je očistiti pokretanje računala i za prvu i za drugu grupu.

Nakon što sam to učinio, obično sam ponovno pokrenuo računalo. Zatim sam ponovno provjerio flash pogon - hoće li se prečaci pojaviti ili ne. Preporučujem da i vi učinite isto.

Zašto takve viruse rijetko primijete antivirusi?

Mnogi, nakon što su vidjeli takve prečace, pokušavaju skenirati računalo i flash pogon pomoću antivirusa. Ali uglavnom ne ide. Zašto? Budući da je tijelo virusa koji mape pretvara u prečace obična bat datoteka koja sadrži naredbe koje korisnik može izvršiti kao u GUI, kao i u konzoli. A antivirus ne bi trebao ometati rad korisnika. A virusi šišmiša upravo potpadaju pod ovo pravilo. Prilično je teško utvrditi što se nalazi unutar bat datoteke - neželjeni kod ili bezopasne naredbe. To možete provjeriti na vlastito iskustvo, ako pokušate stvoriti obični bat-virus.

Ako ste bili pogođeni ovim virusom i ne želite da nijedan drugi flash pogon bude spojen na vaše računalo, možete