Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.
Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!
Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.
Чистить флешку от таких вирусов будем пошагово.
Шаг 1. Отобразить скрытые файлы и папки.
Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:
На вкладке «Вид» отыскиваем два параметра и выполняем:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать скрытые файлы и папки — устанавливаем переключатель.
Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».
Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.
Шаг 2. Очистка флешки от вирусов.
Зараженная флешка выглядит так, как показано на рисунке ниже:
Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:
Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:
%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support
Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).
Шаг 3. Восстановление прежнего вида папок.
1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.
Для этого есть 2 пути:
Путь 1:
Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
Путь 2:
1. Создать текстовый файл на флешки.
2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.
3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: Bat файл для смены атррибутов.
Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!
4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.
Как проверить является ли Ваш ПК переносчиком вируса?
Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.
Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.
Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.
Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?
Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:
- сносим Windows (1,5-2 часа, самый быстрый способ);
- устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
- записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.
Ссылки на утилиты, которые могут помочь:
- DrWeb LiveCD
- Kaspersky Virus Removal Tool
- AVZ
- F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)
Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.
Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.
Дополнение от KRIZ (будет в помощь):
«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.
Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.
Оболочкой где подгружены практически всё что нужно для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не важно какая у вас операционка стоит хоть ЛИНУКС данный способ использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»
Дополнение от Николая с моими пометками:
Создаем файл для удаления вируса с флешки и одновременного открытия папок. В текстовый файл вписываем команды, без моих пометок в скобках, сохраняем файл, переименовываем его в Antivir.bat. Загружаем на зараженную флешку и запускаем.
Список команд:
attrib -s -h /s /d (делает папки видимыми)
rd RECYCLER /s /q (удаляет папку Recycler)
del autorun.* /q (удаляет файл запуска вируса)
del *.lnk /q (удаляет ярлыки на папки)
Если папка RECYCLE.bin не удаляется или появилась снова
Cама по себе папка Recycle.Bin не опасна — она появляется автоматически, так как это папка корзины Windows. Обычно в настройках корзины — установлено резервировать 10% от каждого диска, поэтому на всех дисках С, D, E и т.д., кроме DVD появляется эта скрытая папка. Вот если в этой папке есть файлы с раcширением EXE или BAT — тогда их стоит удалить.
Я запустил файл на флешке, но ничего не происходит
Файл, который Вы скачали у меня или написали сами, можно считать самодостаточной программой, но у неё нет окон, статуса выполнения и т.д. Если на флешке много папок и файлов, то процедура может занимать до 5-10 минут, просто подождите.
Если запустить файл на флешке с важными документами - они не пропадут?
Мой файл или эти команды — ничего не удаляют, они просто меняют атрибуты папок и файлов со скрытых на видимые. В дополнении от Николая — удаляются ярлыки и файлы Autorun.
Я получил ошибку - Нет доступа
Если Вы делаете эту процедуру на работе, возможно у Вас нет прав администратора ПК. Попробуйте сделать тоже самое в безопасном режиме или на другом ПК.
766 комментариев
Василий says:
Мар 22, 2013
Огромное спасибо, все удалось, вернул все данные.
БЛАГОДАРЮ!!!!!!!!!!!!!!!!
Павел says:
Мар 29, 2013
Здравствуйте, хотелось бы разобраться с такой проблемой: я пользуюсь переходником USB 2.0 MicroSD T-Flash card и на моей карточке памяти значки папок превратились в ярлыки. Было так. Вначале появлялась папка ресайклер скрытая, но пустая. А где-то через неделю обнаружил в ней какой-то .bat. В общем, удалил recycler, 1.bat запустил, папки приобрели свой прежний вид, но комп теперь тупо не видит карточку в переходнике. обнаруживает съемный диск, но данных на нем нет. и когда пытаешься открыть его, он говорит вставьте диск.
Павел says:
Мар 29, 2013
Ах, да. Забыл сказать, что на телефоне все данные на карточке читабельны и все работает. Почему не видит комп?
Светлана says:
Мар 30, 2013
А делать если ты попытался открыть этот ярлык?
Светлана says:
Мар 30, 2013
т.е. я уже несколько раз попыталась открыть этот ярлык.А заходя в свойства ярлыка, в объекте вот что он пишет
C:\WINDOWS\system32\rundll32.exe ~$WEZBQB.FAT32,_ldr@16 desktop.ini RET TLS » «
Voff says:
Мар 30, 2013
При открытии через ярлык происходит заражение ПК этим вирусом. Нужно ПК чистить
Кирилл says:
Апр 1, 2013
Огромное спасибо! Благодаря Вам все восстановил!
Paseidon says:
Апр 2, 2013
Как этот вирус теперь с компа удалить? Или как комп почистить?
Voff says:
Апр 2, 2013
Пробуйте доктор-веб cureIT, но по опыту скажу что быстрее переустановить систему
Серж says:
Апр 2, 2013
Я не могу удалить ярлыки. Мне пишет этот файл открыт в хост-процессе виндовс служб.
Voff says:
Апр 2, 2013
Отключите флешку, соедините в другое гнездо. Откройте её через проводник, а не двойным кликом по ней (правой кнопкой — открыть с помощью проводника), дальше действуйте по инструкции