V práci sa do počítačov vkradol zaujímavý vírus. Na samotnom flash disku vytvorí skratku flash disku a keď si človek pripojí takýto flash disk, myslí si, že ide o neškodnú závadu a skratku spustí. A skratka zasa spustí škodlivý kód napísaný vo vlastnostiach a potom už len používateľovi otvorí priečinok so súbormi. Antivírusové programy sa ukázalo ako bezmocné, rozhodol som sa pokúsiť sa tento problém odstrániť sám.

Vírus sa šíri iba cez USB flash disky

Takže, ak pôjdete na Google s dopytom Vírus vytvorí odkaz na flash disk na flash disku na fórach uvidíme špeciálne vlákna (príklad témy na cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), kde ľudia žiadajú odstrániť tento nezmysel. Ak chcete odstrániť vírus, ktorý vytvára skratku jednotky flash na jednotke flash, musíte odoslať správy o skenovaní počítača, potom postupovať podľa odporúčaní guru a je to. Čo robiť, ak je infikovaný celý park počítačová technológia? Zaslanie reportu pre každý PC bude veľmi drahé, pretože. Nie všetci zamestnanci to budú môcť urobiť. Áno, a liečiť flash disky všetkým, bez výnimky, je tiež hemoragické v čase. Ako možnosť som sa rozhodol skúsiť tento vírus študovať sám. Ak to chcete urobiť, nainštalujte virtuálne okná vo VirtualBoxe, infikoval ho infikovaným flash diskom. Teraz hľadám univerzálny a ľahká cesta vyčistiť počítače od vírusu, ktorý vytvorí skratku flash disku na flash disku, ako aj chrániť systém pred infikovaným USB médiom.

Úvahy o bezpečnosti

Otvorte obsah jednotky Flash a obíďte spustenie škodlivého odkazu Ako som už povedal, vírus sa šíri iba prostredníctvom zariadení USB spustením spustiteľného kódu z vlastností skratky. Na otvorenie všetkých skrytých súborov môžete použiť nasledujúci skript: attrib "*" -s -h -a -r /s /d Uložiť ako beh.bat a majte po ruke. Zakázať automatické spúšťanie zariadení USB Ak chcete vypnúť automatické spúšťanie USB flash disku a CD, musíte upraviť register 1. "Štart" - "Spustiť" a napísať "regedit"; 2. otvorte cestu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3. Prejdite do časti Prieskumník a ak tam nie je, vytvorte nová sekcia a premenujte ho na „Explorer“ 4. V časti „Explorer“ vytvorte kľúč NoDriveTypeAutoRun a zadajte hodnotu kľúča 0x4 zakázať automatické spúšťanie všetkých vymeniteľných zariadení.

Keď prinesú flash disk s označením v koreni, musíte

1. skopírujte run.bat do koreňového adresára flash disku a spustite;
2. po ktorom sa nám mnohé zjavia neviditeľné súbory vrátane priečinka s prázdnym názvom, kam vírus stiahol všetky súbory;
3. OTVORENÉ bezplatný nástroj z Microsoft Process Explorer a nájsť odkaz na automatické spustenie pomocou CTRL + F, dokončíme tento proces;
4. teraz zostáva odstrániť všetky súbory z koreňového adresára, okrem tohto priečinka.
5. prejdite do priečinka a presuňte jeho obsah na vyššiu úroveň, t.j. do koreňového adresára flash disku.

Zatiaľ je to všetko, čo mám. Dúfam, že vás čoskoro aktualizujeme

Liečba vírusu od čitateľa (Metóda nefunguje. Revidované dňa 10/02/2015)

Pomohol program UsbFix (LINK_REMOVED) Stiahnuť Najnovšia verzia a stlačte nemilosrdné "Vyčistiť". Pozor, od spustenia vyčistí všetko nepotrebné.

Ďakujem mnohokrát! Myslím si, že informácie budú pre návštevníkov relevantné! Poznámka. zo dňa 02.10.2015: vymazaný odkaz na program. Teraz si ho tam nemôžete stiahnuť, ale existuje večné presmerovanie z jednej stránky na druhú. Mimochodom, tento vírus u nás akosi postupne vyhynul. Každý skopíroval skript, ktorý napísal vyššie, aby skontroloval flash disk, zakaždým, keď boli vyčistené a skontrolované. A ľudia, ktorí vždy prinášajú infikované zariadenia, ich odmietli vziať. A tak sme túto infekciu porazili.

Situácia vyzerá takto: na flash disku boli priečinky, ktoré sa však zázračne zmenili na skratky, t.j. do súborov s príponou lnk. Pri pokuse o otvorenie takéhoto súboru sa zobrazí správa:

AT tento prípad"Q" je názov vymeniteľného disku (flash disk), pre vás môže byť iný. Skratka nás nasmeruje do priečinka so spustiteľným súborom (prípona exe), čo je vírus.

Čo sa presne stalo: v dôsledku vírusu boli všetkým priečinkom priradené atribúty „systém“ a „skryté“, t.j. zostali na flash disku, ale pomocou grafiky ich nevidíme Rozhranie Windows. Namiesto priečinkov sa objavili skratky s rovnakými názvami vedúcimi k súboru s vírusom.

Čo robiť, ak sa priečinky zmenili na skratky? Pokyny krok za krokom.

Na internete som narazil na riešenie problému zmenou atribútov priečinkov (v skutočnosti priečinok je súbor) pomocou príkazového riadku. Pre používateľov, s ktorými nie sú priatelia príkazový riadok, Navrhujem alternatívny spôsob- Na tieto účely som použil správcu súborov FAR Manager. Tento manažér je vždy vhodné mať po ruke a už sme ho použili pri úpravách. súbor hostiteľov(Video Nemôžem zadať spolužiakov. Riešenie problému).

Krok 1. Kontrolujeme, či sa na flash disku nenachádzajú vírusy. Overil som si s antivírus AVAST 4.8 Profesionál. Odstránili z neho všetky „ľavé“ skratky s tým, že ide o trójskeho koňa LNK.

Avast odstránil všetky „ľavé“ skratky

Ak váš antivírus ponechá skratky priečinkov na mieste, odstráňte ich sami, nie sú potrebné.

Krok 2 Stiahnite si FAR Manager, rozbaľte archív a spustite súbor Far.exe;

Krok 3 Poďme do vymeniteľný disk(USB). Pomocou tlačidiel vyberte jednotku. Alt+F1;

Všetko skryté systémové súbory(ľavý panel) sú zvýraznené tmavomodrou farbou – to sú naše „zmiznuté“ priečinky.

Všetky skryté systémové súbory (ľavý panel) sú zvýraznené tmavomodrou farbou – to sú naše „stratené“ priečinky

Krok 4 Aby ste nemenili atribúty pre každý priečinok jednotlivo, zadajte ich všetky naraz: najprv vyberte prvý súbor zo zoznamu a potom stlačte kláves Vložiť na klávesnici a podržte, kým sa názvy všetkých súborov, ktoré nás zaujímajú, nezvýraznia žltou farbou.

Výber skupiny súborov vo FAR Manager

Krok 5 Stlačte kláves F4 na klávesnici (alebo tlačidlo Upraviť na FAR). V ponuke, ktorá sa otvorí, odstráňte znaky (otáznik, krížik) v položkách:

Ak ste urobili všetko správne, farba názvov súborov sa zmení z tmavo modrej na bielu.

Po zmene atribútov sa farba názvov priečinkov zmenila na bielu

Teraz môžete prejsť na jednotku flash zo systému Windows a uistiť sa, že sa všetko zobrazuje bez problémov.

Po zmene atribútov boli všetky priečinky opäť dostupné

Radím vám zachovať Správca súborov FAR Manager je vždy po ruke, takže v prípade potreby umožní obísť obmedzenia systému Windows týkajúce sa zmeny súborov.

Ako ste pochopili, s pomocou FAR Manager môžete urobiť aj opačný postup, t.j. skryte svoje súbory na jednotke flash pred neskúsenými používateľmi.

Na záver chcem poďakovať programátorovi Evgenymu Roshalovi, ktorý vytvoril FAR Manager a je každému dobre známy Archivátory RAR a winrar.

Jevgenij Mukhutdinov

Prvá skupina buďte v budúcnosti opatrní. Nerozptyľujte flash disk doľava a doprava. Na tento moment Váš počítač neobsahuje vírusy, takže nemusíte čítať zvyšok materiálu. Druhá skupina – čítajte ďalej, ak chceme odstrániť vírus, ktorý zmenil obsah flash disku na skratky.

Odstránenie vírusu bude pozostávať z dvoch smerov útoku:

• Odstránenie vírusu z počítača.
• Odstránenie vírusu z flash disku.

Jeden z týchto vírusov je aktívny, druhý nie. Na začiatok sa poďme zaoberať aktívnym, pretože ten bude neustále zapichovať palice do kolies. Môžete si prečítať môj článok o tom, ako odstrániť vírusy, vysvetľuje proces odstraňovania vírusov, ktorý môže a mal by byť v tomto prípade použitý, celkom jasne. Na karte môžete tiež vyhľadať vírus Procesy okno Správca úloh. Proces tento vírus má dosť nejasný názov. Nie je v tom žiadna logika, je to jednoduché abrakadabra. Môžete nájsť polohu daný súbor. Existujú tiež dva spôsoby, ako postupovať:

• Si si istý, že je to vírus? V takom prípade zastavte tento proces a odstráňte vírus.
• Nie ste si istí, či ide o vírus. V tomto prípade zastavte proces.

Ďalej je potrebné vyčistiť jednotku flash, ktorej obsah sa zmenil na nejaké skratky, vyššie uvedeným spôsobom. A ešte raz vás žiadam, aby ste sa nedotkli ani jedného štítku, inak celá operácia pôjde dole vodou. Potom vyberte a znova pripojte jednotku Flash. Ak v ňom nevidíte štítky a všetko sa zdá byť jasné, urobili ste všetko správne.

Odstránenie vírusu zo spustenia

Ale na relax je priskoro. Tí, ktorí jednoducho zastavili proces, by mali prejsť do priečinka, kde sa nachádza vírus, a odstrániť ho. Musíte tiež vymazať automatické načítanie. Ako to urobiť, nájdete v tom istom článku o tom, ako odstrániť vírus. Pre prvú aj druhú skupinu je potrebné vyčistiť štart počítača.

Po vykonaní tohto postupu som zvyčajne reštartoval počítač. Potom som znova skontroloval flash disk - či sa skratky objavia alebo nie. Odporúčam vám, aby ste urobili to isté.

Prečo si antivírusy takéto vírusy všimnú len zriedka?

Mnohí, ktorí videli takéto skratky, sa pokúšajú skenovať počítač a flash disk pomocou antivírusu. Ale väčšinou to nejde. prečo? Pretože telo vírusu, ktorý premieňa priečinky na skratky, je obyčajný bat súbor, ktorý obsahuje príkazy, ktoré môže používateľ spustiť ako GUI, ako aj v konzole. A antivírus by nemal zasahovať do práce používateľa. A netopierie vírusy spadajú pod toto pravidlo. Určiť, čo je vo vnútri bat súboru - nechcený kód alebo neškodné príkazy - je dosť ťažké. Môžete si to overiť na vlastnú skúsenosť, ak sa pokúsite vytvoriť obyčajný netopierí vírus.

Ak vás tento vírus zasiahol a nechcete, aby sa k vášmu počítaču pripájala žiadna iná jednotka flash, môžete