Včera jsem v kurzech chytil virus na USB flash disku, který byl okamžitě detekován a odstraněn antivirem z mého domácího počítače. Ukázalo se však, že všechny složky na jednotce Flash se staly zkratkami. Před nějakým časem jsem již narazil na takový problém, takže vím, že první pravidlo, aby se zabránilo infekci vašeho počítače: v žádném případě se nesnažte otevírat zástupce do složek! (i když data na jednotce Flash jsou k nezaplacení a chcete se okamžitě ujistit, že se nikde neztratí). Proč tyto zkratky neotevřít? Tvůrci viru se dostali k takovým trikům: ve vlastnostech těchto zkratek jsou registrovány dva příkazy:
- První spustí a nainstaluje virus do počítače
- Druhý otevře složku, o kterou máte zájem.
I.e. uživatel, jehož počítač nemá nainstalován antivirový program, aniž by věnoval pozornost skutečnosti, že všechny adresáře na jednotce Flash jsou nyní zobrazeny jako zkratky, nemusí jednoduše vědět, že je jednotka flash infikována, protože všechny složky na jednotce Flash jsou otevřeny a informace v nich jsou na místě. V některých modifikacích takového viru se složky přestanou otevírat, i když kliknete na zástupce. V žádném případě nepropadejte panice, nepokoušejte se naformátovat jednotku USB Flash a pečlivě si přečtěte níže uvedené pokyny. Pochopte, že katalogy neodešly, protože byly na flash disku a jsou tak. Virus právě skryl všechny složky na USB flash disku, tj. byly jim přiřazeny příslušné atributy (skryté + archivované). Náš úkol: zničit virus a odstranit tyto atributy.
Níže tedy uvedu pokyny, které popisují, jak postupovat, pokud se složky na blesku stanou zkratkami
Obsah:
- Odstraňte virové spustitelné soubory na USB flash disku
- Kontrola příkazů pro spuštění viru v systému
- Obnovte vzhled adresářů a přístup ke složkám
- Ruční způsob obnovení atributů skrytých složek na USB flash disku
- Skript pro automatické odstranění skrytých atributů ze zdrojových složek a souborů
Odstraňte virové spustitelné soubory na USB flash disku
Prvním krokem je zbavit se spustitelných souborů viru. To lze provést pomocí jakéhokoli antiviru (existuje mnoho bezplatných nebo přenosných verzí, jako je Dr.Web CureIt nebo Kaspersky Virus Removal Tool), pokud tam není, můžete se pokusit virus najít a neutralizovat ručně. Jak najít virové soubory, které infikují USB flash disk?
- V Průzkumníkovi Windows povolte zobrazení skrytých a systémových souborů.
- V Windows XP: Start-> Tento počítač-> nabídka Nástroje-> Možnosti složky-> karta Zobrazit. Zrušte zaškrtnutí políčka „Skrýt chráněné systémové soubory (doporučeno)"a nastavit na"Zobrazit skryté soubory a složky".
- V Windows 7 cesta je mírně odlišná: Start-> Ovládací panely-> Vzhled a přizpůsobení-> Možnosti složky-> karta Zobrazit. Parametry jsou stejné..
- Pro Windows 8/10 instrukce je v článku Zobrazit skryté složky v systému Windows 8.
- Otevřete obsah jednotky flash a vidíme na něm mnoho zkratek ke složkám (věnujte pozornost ikoně zástupce v ikonách složek). Nyní musíte otevřít vlastnosti libovolné zástupce složky (RMB -> Vlastnosti). Vypadají něco takového: Zajímají nás hodnoty pole Cíl (Objekt). Řádek v něm je poměrně dlouhý a může vypadat asi takto:
% windir% \ system32 \ cmd.exe / c "start% cd% RECYCLER \ e3180321.exe &&% windir% \ explorer.exe% cd% backup
V tomto příkladu RECYCLER \ e3180321.exe je to stejný virus. I.e. Virový soubor s názvem e3180321.exe je umístěn ve složce RECYCLER. Tento soubor smažeme, nebo můžete také smazat celou složku (doporučuji zkontrolovat přítomnost této složky na nejvíce infikovaném flash disku i v systémových adresářích C: \ windows, C: \ windows \ system32 a v profilu aktuálního uživatele (více o nich níže)).
Doporučuji také podívat se na spustitelné soubory viru v následujících adresářích:
- v Windows 7, 8 a 10 -
C: \ users \ username \ appdata \ roaming \
- v Windows XP -
C: \ Documents and Settings \ username \ Local Settings \ Application Data \
Pokud tyto adresáře obsahují soubory s příponou „.exe", pak s největší pravděpodobností se jedná o spustitelný soubor viru a lze jej smazat (v neinfikovaném počítači by v tomto adresáři neměly být žádné soubory .exe)".
V některých případech takové viry nejsou detekovány antiviry, jako mohou být vytvořeny ve formě skriptových souborů .bat / .cmd / .vbs, které v zásadě v počítači nevykonávají ničivé akce. Doporučujeme ručně zkontrolovat na USB flash disku soubory s takovými oprávněními (jejich kód lze zobrazit pomocí libovolného textového editoru).
Nyní klepnutí na zkratku není nebezpečné!
Kontrola příkazů pro spuštění viru v systému
V některých případech se viry registrují v systému autorun. Ručně zkontrolujte následující větev registru (regedit.exe), zda neobsahují podezřelé položky:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run - tyto programy se spustí po spuštění počítače
- Hkey_Aktuální_UŽIVATEL\Software\Microsoft\Windows\CurrentVersion\Běh - programy, které se automaticky spustí, když se aktuální uživatel přihlásí
Smažte všechny podezřelé položky a neznámé programy (neděláte nic špatného ai když vypnete spouštění nějakého potřebného programu, můžete jej vždy spustit ručně po vstupu do systému).
Další způsoby automatického spuštění programů v systému jsou popsány v článku Správa programů automatického spuštění v systému Windows 8.
Obnovte vzhled adresářů a přístup ke složkám
Po vyčištění jednotky flash a počítače od virů je třeba obnovit normální vzhled složek a souborů na jednotce Flash. V závislosti na úpravě viru (a představivosti „vývojářů“) lze systémové složky „skrytý“ a „systém“ přiřadit k původním složkám nebo je lze přenést do určité skryté složky vytvořené speciálně virem. Tyto atributy nemůžete odstranit, takže musíte použít příkazy pro resetování atributů prostřednictvím příkazového řádku. To lze také provést ručně nebo pomocí dávkového souboru. Poté lze zbývající zkratky ke složkám smazat - nepotřebujeme je
Ruční způsob obnovení atributů skrytých složek na USB flash disku
- Otevřete příkazový řádek s oprávněními správce
- V černém okně, které se objeví, zadejte příkaz a po zadání každého stiskněte klávesu Enter
cd / d f: \
, kdef: \
- Toto je písmeno jednotky přiřazené USB flash disku (v konkrétním případě se může lišit)attrib -s -h / d / s
, příkaz resetuje atributy S („Systém“), H („Skrytý“) pro všechny soubory a složky v aktuálním adresáři a ve všech podsložkách.
V důsledku toho budou všechna data na jednotce viditelná..
Skript pro automatické odstranění skrytých atributů ze zdrojových složek a souborů
Můžete použít připravené skripty, které provádějí všechny operace k automatickému obnovení atributů souborů.
Z tohoto webu stáhněte soubor clear_attrib.bat (263 bajtů) (přímý odkaz) a spusťte jej s právy správce. Soubor obsahuje následující kód:
: lbl
cls
set / p disk_flash = "Zadejte flash disk:"
cd / D% disk_flash%:
pokud% errorlevel% == 1 goto lbl
cls
cd / D% disk_flash%:
del * .lnk / q / f
attrib -s -h -r autorun. *
del autorun. * / F
atribut -h -r -s -a / D / S
rd RECYCLER / q / s
explorer.exe% disk_flash%:
Při spuštění programu se zobrazí výzva k zadání názvu jednotky flash (například, F:) a poté odstraní všechny zkratky, automatické spouštění * souborů, odstraní atributy skrýt z adresářů, odstraní virovou složku RECYCLER a nakonec zobrazí obsah jednotky USB Flash v Průzkumníku.
Doufám, že tento příspěvek je užitečný. Pokud narazíte na jiné modifikace viru, které mění složky na USB flash disku na zkratky - popište příznaky v komentářích, zkuste problém vyřešit společně.!