Все современные антивирусы уже давно научились блокировать запуск файлов autorun.inf со съемных носителей и злоумышленникам приходится придумывать новые способы для заражения компьютеров пользователей. Одним из подобных видов заражения мы сегодня и рассмотрим, а именно: самостоятельно удалим вирус из системы. Ну что же, теперь перейдем к рассмотрению самого вируса. Описание вирусаПервые признаки заражения данным вирусом является наличие на съемных носителях, т.е. на флешках, ярлыков для всех папок, которых были на флешке на момент заражения. В свойствах этих ярлыков указан путь к исполняемому файлу самого вируса: %windir%\system32\cmd.exe /c "start %cd%RECYCLER\1b37f31f.exe &&%windir%\explorer.exe %cd%RECYCLER Ничего не подозревающий пользователь кликает на ярлык, принимая его за обычную папку и тем самым, запускает вирус на исполнение. Одновременно с запуском вируса открывается и требуемая папка и все выглядит вполне обычно, что на самом деле не так. Итак, сам вирус находится в папке RECYCLER, которая расположена на съемном носителе. Внутри этой папки находятся два файла: 1b37f31f.exe и Desktop.ini. Первый файл – это сам вирус, второй отвечает за отображение значка папки в виде обычной корзины. Стоит напомнить, что на флешке не должно быть никаких Корзин, то есть папок с названием RECYCLER. Данные папки могут присутствовать только на жестком диске компьютера, но никак не на флешке. Если вы обнаружили данную папку на флешке – это стопроцентно вирус. При запуске, вирус делает скрытыми все папки на съемном носителе и создает ярлыки с именами папок. Таким нехитрым образом, происходит запуск данного вируса. Технические данные вирусаМногими антивирусами этот вирус детектируется как троян и хотя прошло много времени с момента создания этого вируса, в сети Интернет очень мало информации по этому вирусу. Итак, немного технической информации: Имя файла: 1b37f31f.exe MD5: ad35b7793d230f5fdeb0b4da259faba1 Размер файла: 246.8 KБ (252731 байт) Тип файла: Win32 EXE Версия: 2.0.8.1 Удаление вирусаДля начала, стоит включить отображение скрытых файлов и папок на вашем компьютере. Для этого, откройте Проводник и выберете пункт меню «Сервис», затем «Свойства папки», перед вами отобразится окно «Свойства папки». Перейдите на вкладку «Вид» и поставьте переключатель на пункт «Показывать скрытые файлы и папки», затем, чуть выше, уберите галочку с «Скрывать защищенные системные файлы (рекомендуется)», появится окно предупреждения о том, что защищенные файлы операционной системы будут отображаться «Проводником». Нажмите на кнопку «Да», затем в окне «Свойства папки» нажмите кнопку «Применить» и «Ok». После этого, помимо ярлыков вы увидите те самые папки, которые скрыл вирус. Теперь, когда стали доступны скрытые файлы и папки, удалите с флешки папку RECYCLER, вместе со всем ее содержимым. После чего, удалите все ярлыки, созданные вирусом. Один важный момент: на всех разделах вашего жесткого диска также следует удалить папки RECYCLER, так как зачастую в этих папках остается рабочая копия данного вируса. Устранение последствий вирусаКогда вы удалили папку RECYCLER и созданные им ярлыки, вам потребуется вернуть атрибуты для скрытых папок, которые присвоил им вирус. Тут кроется одна хитрость: через программу Проводник не удастся убрать атрибут «Скрытый» для скрытых вирусом папок. Все дело в том, что помимо атрибута «Скрытый», вирус присвоил еще один атрибут: - «Системный». Именно поэтому, Проводник не позволит убрать атрибут Скрытый» для требуемой папки. Однако все эти атрибуты легко убираются любым файловым менеджером, например Total Commander или Double Commander. В Total Commander атрибуты убираются следующим образом: 1. Откройте Total Commander (предварительно включив в Total Commander отображение системных файлов) и откройте в одной из панелей Total Commander корень вашей флешки; 2. Выберите меню «Файлы», а затем «Изменить атрибуты…»; 3. В открывшемся окне, уберите флажки напротив Архивный, Только для чтения, Скрытый и Системный, и после этого нажмите на кнопку «OK». В программе Double Commander атрибуты убираются подобным образом: 1. Откройте Double Commander (предварительно включив в Double Commander отображение системных файлов) и откройте в одной из панелей Double Commander корень вашей флешки; 2. Выберите меню «Файлы», а затем «Изменить атрибуты»; 3. В открывшемся окне, уберите флажки напротив Архивный, Только для чтения, Скрытый и Системный, и после этого нажмите на кнопку «OK». После этого, скрытые вирусом папки перестанут быть таковыми. Альтернативный способСуществует и другой способ снятия атрибутов, присвоенных папкам, рассматриваемым нами вирусом. Этот альтернативный способ заключается в запуске всего лишь одной команды «attrib», которая позволяет присваивать либо снимать атрибуты файлов и папок. Сейчас мы не будем рассматривать весь синтаксис данной команды, так как это тема отдельной статьи – мы только создадим один простенький сценарий, точнее bat-файл со следующим содержимым: Наберите или скопируйте эту строчку в Блокнот и сохраните под любым именем, но с расширением .bat. Стоит отметить, что сохранять этот файл надо на флешке, на которой требуется убрать атрибуты «Скрытый» и «Системный». Имя файла может быть примерно таким «NoHidden.bat», но обязательно с расширением .bat. Убедитесь, что созданный вами файл находится в корне вашей флешки, после чего запустите его. После запуска нашего файла «NoHidden.bat», папки вновь станут видимыми. ВыводВот такими нехитрыми манипуляциями мы удалили назойливый вирус не только на съемном носителе, но и на флешке. Помимо этого, мы узнали как можно снимать атрибуты «Скрытый» и «Системный» у папок. 2014-04-02 18:53 Понравился сайт? Расскажи о нем друзьям:
Comments to Notes: 6 |
Geri
Огромное вам спасибо!!!! Вы единственный сайт, на котором я нашел решение этой проблемы!!!!!
2014-12-06 12:14:02