Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.
Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!
Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.
Чистить флешку от таких вирусов будем пошагово.
Шаг 1. Отобразить скрытые файлы и папки.
Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:
На вкладке «Вид» отыскиваем два параметра и выполняем:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать скрытые файлы и папки — устанавливаем переключатель.
Если у Вас Windows 7, нужно пройти немного другой путь: "Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид".
Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.
Шаг 2. Очистка флешки от вирусов.
Зараженная флешка выглядит так, как показано на рисунке ниже:
Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:
Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support
Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).
Шаг 3. Восстановление прежнего вида папок.
1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.
Для этого есть 2 пути:
— Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
— Второй вариант — создать текстовый файл в корне флешки. Записать команду
attrib -s -h /d /s в него, переименовать файл в
1.bat и запустить его. В случае, когда у Вас не получается создать такой файл — Вы можете скачать его у меня:
Bat файл для смены атррибутов. Если файлов много, то возможно потребуется время на выполнение команды.
После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.
Как проверить является ли Ваш ПК переносчиком вируса?
Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS...USB..., где точки — какие либо буквы или цифры.
Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Касперским Removal Tool. Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.
Вроде бы все, обращайтесь и спрашивайте — всегда отвечу.
Сейчас другие читают:
253 комментария
Naxex says:
Фев 19, 2012
Cпасибо друг, по твоим указаниям все сделал. И вся трехмесечная работа вернулась. Мне всего лишь стоило ввести в командной строке твою заветную команду, и как по мановению волшебной палочки ВУАЛЯ! и все вернулось на свои места.
Voff says:
Фев 19, 2012
Удачи)
Паша123 says:
Фев 19, 2012
Voff, Вирус уже на компьютере, нужно чистить сам компьютер
А как Аваст его не видит пробовал искать в ручную ничего подскажи как, а то он меня бесит да и другие флеш накопители портит(заранее спасибо!!! =)).
Voff says:
Фев 19, 2012
Если честно, я лечил сносом винды (45 минут), так как, на то время ни один антивирь его не видел. Пробуй шерстить DrWeb CureIT, AVZ, и Kaspersky Virus Remover
Поля says:
Фев 20, 2012
Спасибо большое, так помогли, я уж думала без информаци останусь!:))
Дина says:
Фев 20, 2012
Супер! На флешках всё восстановилось, а на внешнем жестком нет, потому что я изначально копалась сама, включила «показывать скрытые файлы и папки», потом вырезала всю информацию, и вставила в папку на рабочий стол, потом обратно, теперь ваша команда пишет: Нет доступа. Что делать?
Natali says:
Фев 21, 2012
Спасибо огромное! вы кудесник) компьютер и нервы отца спасены)))
serena14 says:
Фев 21, 2012
не помогло...
5 компов, на одном убунта, на 2 ХР, на 2 7...
убунта как нуно работает — понятно, 7 с антивиром — не видит папок вообще никак, без антивира — норм работает, разве что папки как ярлыки помечены, ХРшки невидят совсем...
Voff says:
Фев 21, 2012
Попробуйте программу Attribute Changer или Total Commander для смены атрибутов файлов