На флешке все папки стали ярлыками [решено]
Данный пост будет как бы приквелом (если говорить киношными терминами) посту «Скрытые папки на флешкe» ибо и в том и в том виноват один вирус. Итак, воткнув в один прекрасный момент флешку в компьютер, вы замечаете некоторые изменения — все папки на флешке стали ярлыками и обзавелись характерным знаком отличия — стрелочкой.
Вроде бы можно подумать, что и ничего страшного, ведь если нажать на ярлык вы переместитесь в нужную папку и продолжите работу как ни в чем не бывало, работает и ладно. Но именно это и нужно было создателям вируса — нажимая на ярлык, вас перемешают не только в вашу папку, но и заставляют выполнить заражение компьютера, на котором вы зашли в папку. Можно очень долго ходить с зараженной флешкой и инфицировать компьютеры, а ведь нам этого совсем не хочется.
Backdoor.win32.ruskill и ярлыки на флешке
Ответственность за создание ярлыков на флешке и превращение папок в скрытые взял на себя вирус-террорист Backdoor.win32.ruskill, которыми данными действиями предоставляет злоумышленнику удаленный доступ к зараженному компьютеру. Функционал у вируса впечатляет — от кражи конфиденциальной информации до DDoS атак, но расписывать все в данной теме не буду, ибо это целый отдельный пост. Вернемся к нашим баранам ярлыкам.
Итак, как уже выяснили Backdoor.win32.ruskill делает все папки скрытыми, создает на них ярлыки с запуском заражения. Найти вирус на флешке проще простого — нужно посмотреть свойства ярлыка и путь куда он ссылается. Вызвав свойства вы уведите такую строку:
%windir%\system32\cmd.exe /c «start %cd%RECYCLER\e5e88а22.exe &&%windir%\explorer.exe %cd%Имя папки
Из этого пути сразу видно, что вирус лежит в скрытой папке RECYCLER (как включить отображение скрытых папок читаем здесь).
По большому счет — можно и гадалке не ходить, а сразу вычищать данную папку — ещё не встречал случаев, чтобы он был в другом месте. После удаления вируса, вы уже не сможете попадать в папку через ярлык, работать он не будет. Можно смело удалять все ярлыки.
После удаления ярлыков вы столкнетесь с проблемой — папки останутся скрытыми и изменить их вам просто так не удастся.
Здесь два варианта:
1. В ручную, через Total Commander изменить атрибуты папок. Об этом я писал в статье Скрытые папки на флешкe — вирус постарался [Решено]
2. Либо создать bat-файл с содержимым:
attrib -s -h -r -a /s /d
После чего его запустить.
Данные действия помогут вам избавится от вируса на флешке и вернуть нормально отображение папок. Останется разобраться с самим главным виновником, ибо антивирусы его зачастую игнорируют. Сам Backdoor.win32.ruskill прописывается по этим адресам:
Для Win7:
C:\users\имя\appdata\roaming\вирус.exe
Для Win XP:
C:\Documents and Settings\имя\Local Settings\Application Data\вирус.exe
Вирусный exe файл будет иметь имя из 6 случайных латинских букв и цифр.
Физически вирус мы устранили, но он все же оставил свой след и в реестре. Заходим в редактор реестра (Выполнить — Regedit) и удаляем его из ветки:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Выполнив все это мы окончательно убьем заразу на своем компьютере.
Вроде все. Вроде ничего не забыл написать о вирусе Backdoor.win32.ruskill и появлении ярлыков на флешке вместо папок. Остались вопросы? Вы всегда их можете задать в комментариях.
Частенько мне в компьютерный класс подкидывают такой вирус, потом на моей флешке одни ярлыки. Спасибо за инструкцию, теперь знаю, как с этим бороться!
Виктория: Рад Вам помочь.
сейчас столкнулся с этой проблемой. спасибо за подсказку. добавляю в закладки
валера: Добавляйте 😉 К тому же блог снова расцветет….время застоя заканчивается.
Серфил по сайтах в поиске решения, да ничего нету.
Всё делаю как написано, только вот в «аппликейшен дате» нету ехе файлов 🙁
И в реестре по этому пути нету ничего лишнего…
Как поступить в этой ситуации?
Черный_романтик: Вирусы тоже развиваются и не будут постоянно сидеть в одном месте. Сказать со 100% уверенностью никто не сможет…нужно инспектировать ОСь и выявлять нахождение вируса.
спасибо!!очень помогли!!
все сделал как написали, но так же как и у ЧЕРНОГО РОМАНТИКА в папке application data и в реестре этого файла e5188982.exe не нашел? снова вставляю флешку и все папки снова ярлыки. поиском тоже этот файл не нашел. можно ли как нибудь в реестре просканировать на наличие этого файла?
юрий: Рад был помочь.
макс: Вирусы не используют одно и тоже название файла, т.к. те сразу попадают в базы антивирусов. Либо ищите что-то похожее, либо проинспектируйте на открытие какого файла ведет ярлык. Если мне он снова попадется данный вирь, то допишу статью.
блин,напоролса на етот вирус,думал што потерял все дание на флешке,а оказиваетса забил самое простое,спасибо вам.
хакер2013: смотрю этот вирус обрел вторую жизнь.
слушайте, вот этот вирус конкретно задолбал.
помимо всех симптомов, он видимо также создает учетную запись, после которой вообще не возможно удалить данные файлы. может сталкивались с этим? что делать то? очистить хард и флешки от этой заразы вообще мне кажется не возможным.
twindota, с таким явлением чтобы ещё учетку создавал я не встречался. Если антивирь не выпиливает вирус, то я удаляю его вручную. Эот не сложно в свойствах ярлыка есть команда запускать папку, которую он сделал скрытой, и файл ***.exe. Вот этот файл и есть вирус — удаляется и усе.
понятно ) решил проблему очень трагично, форматировал абсолютно все данные на хардах и флешках, переустановил windows, поставил nod. пока вроде симптомов и подозрений нет. очень модный вирус, пару раз замечал как скрытое окно появлялось на старом компе, в нем открывался то-ли стандартный ie6 или любой другой браузер, ну и соответственно производился удаленный доступ откуда-то, смотрел как прописывается логин и пароль на каком-то сайте, какие-то действия непонятные вообщем.) может другой вирус? не понятно, но зараза знатное. спасибо кстати за ответ, пусть и не содержательный, думал что тема закрыта и никто больше не ответит 🙂
twindota, нет тема не закрыта..просто из-за загруженности совсем забросил блог (((. Этот вирус начал вторую жизнь, начал и я его встречать снова, но именно в старой модификации — ничего такого он не создавал и не открывал. Быстренько выпиливал его и спасал флешку.
Для профилактики заражения этим вирусом целесообразно использовать антивирус Зайцева (z-oleg.com, в настоящее время программа куплена Лабораторией Касперского, а автор там работает). Выполняется операция «Файл» -> «Мастер поиска и устранения проблем» -> «Системные проблемы» «Средней тяжести». Среди обнаруженных проблем — «Разрешен автозапуск со сменных носителей», «Разрешен автозапуск с жестких дисков», «Разрешен автозапуск с сетевых дисков». Все их надо запретить, тогда ни с какой флешки зараза не стартует
Б.К., где-то у меня была тема с отключением автозапуска со съемных носителей, но это тут и не при чем. Вся суть подмены папок на ярлыки — чтобы человек сам нажимал на ярлык, думая что это папка. Визуально они похожи.
Это у тебя не вирус а игрушка. Такие уже давно не делаються.
Тепери эти виры не сидят в рестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run . Они даже не являються ехе файлами.
У меня такой случаи. В рестре(в те разделы что мы знаем типа рун, полиси,шелл) нет ничего напоменаюший вирус.
Он у меня толь через службы запускаеться толь из длл файла вылазиет(чтото типа длл инжекшин).
Как с таким бороться умник?
Я вот специалинно чистый комп инфицирую. При этом запишу все в логах. Все что он копирует меняет на диске в памяти в рестре. Скачал куче прог для мониторинга всего что возможно мониторить на компе. Наиду и удалю эту гадость.
МИК, ну раз мы перешли на ты, то я тебе отвечу — ты видел дату публикации поста, умник?!? Ясен пень с этого времени этот вирус уже не встретишь, многое изменилось и вирусы видоизменились. Наткнусь на описанный тобой вирусняк — опишу как с ним бороться.
Ты мне ещё через лет 5 напиши о том, о каком старье я пишу.
ты это всем подряд говориши. больше ничего не можеши? Я такои вири у друга в 2011 году видел. Тепери и на работе неопытные особы на него попали. Просят помочи. Но я с тех пор помню этого упыря.
Тебе люди и выше писали что нет в рестре и в папках ничего. А ты все этой фразой (Ясен пень с этого времени этот вирус уже не встретишь)отшучивался и писал чтоб искали лучше.
А я скажу раз не находят значит нет его. Ни не выпендриваися большим знатаком.
лучше помоги людям разобраться с этим упырем
Какие способы загрузки вируса бывают?
Рестр,
службы (тоже в рестре наить можно),
драивер, длл библиотеки
…
МИК, я прислушался к вашему совету и больше не выпендриваюсь знатоком….да и к тому же намедни потерял свой хрустальный шар и не могу угадать, что у вас там произошло, какой вирус сидит и, хоть, что он делает.
Как я должен вам помочь не имея никакой от вас информации, а только оскорбления и наезды?
Старая-новая версия той же заразы: Worm.Win32.Ngrbot.airq
Создаёт ярлыки на флэшке при её активации на заражённом компьютере.
Через Usb show можно всё вскрыть, причём проявляется и тело вируса с расширением exe. Но ни ярлыки, ни само тело удалить невозможно — сообщает, будто бы они используются. Если удалять их через безопасный режим, то ярлыки и вирус удаляются, проявленные заранее файлы остаются.
На работе старый Касперыч без обновлений — не ловит, если кто-то в курсе как вирус выселить — огромная благодарность, каждый раз восстанавливать файлы и выходить в безопаску, чтобы не заразить что-то ещё — крайне неудобно.
Mardi, пока не встречался с таким, сказать ничего не могу. Скачайте хотя бы курейт и прогоните весь комп.
Добрый день. У нас в универе этот вирус обрел новую жизнь. Просканировал через Microsoft Security, нашло троян и какую-то лабуду. Естественно все удалил. Из папки roaming тоже удалил все лишние *.ехе. Но проблему это не решило. Вирус и дальше гуляет по ноутбуку 🙁
p.s. сделал себе батник, и когда его запускаю, мне иногда показывает какой-то екзешник и у него даже есть свой значок. Просто так удалить его нельзя(пишет что запущен в процессах), но! В процессах появляется только процесс подключения usb порта(тоесть флеш накопителя), и даже снимаю этот процесс файл я удалить не могу.
можете что-то подсказать?
pit, а этот вирус постоянно видоизменяется) а в свойствах ярлка то он что запускает? Его особо и искать не надо, он прописан в самом ярлыке и расчитан просто на неопытность пользователя. Находите его расположение и удаляете. Если не удаляется из под винды — пишет, что процесс занят, то загрузитесь через Live Cd и удалите ручками. Так же поищите по имени в реестре.
я всё сделал гораздо проще, сначала скачал утилиту Dr web Cureit проверил комп её и обезвредил все найдённые ей угрозы, затем установил удалённый ранее в связи с тем что просто не выполнял своих функций Avast 4.8. professionall edition и задал полное сканирование дисков при загрузке не извлекая «больную» флешку! по факту имею флешку только с моими паками и файлами без посторонних ярлыков и файлов EXE и гораздо шустрее работающий комп!
Дмитрий, для меня все же куда проще руками найти) а для пользователя да — курейт хорошая утилита для очистки. вот только атрибуты папок он менять не умеет. они могут остаться скрытыми как и прежде.
Касперский его не обнаружил, а AVG «вылечил»-именно в кавычках потому что он попросту стер и папки с содержимим и ярлыки
Миха, как то фантастически звучит. Если мы говорим об одном вирусе, то папки антивирусом не должны удалятся, у них просто меняется атрибут на скрытый. Если же у вас в каждой папке все файлы получили разрешение .exe, то такое вполне возможно, но это другой случай. К тому же AVG не удаляет сразу файлы, а перемещает их в карантин, если в настройках не настраивалось на удаление минуя карантин.