5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус скрыл файлы на флешке решение проблемы

Содержание

Вирус скрыл файлы на флешке решение проблемы. Вирус создает ярлыки

Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки — вы должны это понимать что это вирус.

Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.

Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но — при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.

Вирус уникален также тем, что распространяется только при помощи флешок.

Так вот, теперь перейдем к самому главному — как исправить эту ситуацию.

1. Отображаем скрытые папки и файлы с флешки

1.1.Отображение с Total Commander

Незаменимая программа во многих случаях, скачать ее здесь (32бит) и здесь для 64 битных.
Скачали, установили.
Дальше запускаем тотал. Наверху в панели нажимаем: » Конфигурация-Настройка »

Слева переходим: » Содержимое панелей » и ставим галочку на: » Показывать скрытые/системные файлы(только для опытных) «


Потом, в левом или правом окошке (как вам удобней) переходим на флешку, допустим это буква «K » как у меня на примере. Выбираем нужный файл, папку, просто выделив ее, далее наверху, на панели нажимаем: » Файл-Изменить атрибуты. »
Снимаем галочки:
» Архивный, только для чтения, скрытый, системный » :

1.2. Отображение с 7-Zip

Выше уже говорил, что также эти файлы можно увидеть через архиваторы и просто перекинуть себе на компьютер.
Просто открываем 7-Zip, переходим на флешку и мы уже видим наши скрытые файлы, которые можно просто «взять» и переместить на жесткий диск компьютера.

1.3. Отображение с WinRar

Я пользуюсь 7-Zip, но смотрю иногда нужно показывать и на примере стандартного архиватора, который идет вместе с виндой. Значит все так же идем на флешку, на примере у меня опять же это буква «К»

открываем ее и хватаем файлы левой кнопкой мыши и переносим на компьютер.

1.4. Отображение с помощью батника

Про батники я вам немного рассказывал здесь и здесь, где я показывал, как писать маленькие шутки-вирусы, называйте их как хотите.
Этот батник сработает, так же как и в первом примере с Total Commander.
Открываем блокнот. (Стандартный с windows или Notrepad++)
Копируем туда код:

Сохранить как. В конце названия пишем .bat ( пример: antivir.bat ).
Перекидываем наш, только что написанный батник на флэшку. Запускаем прямо там на флешке. Все файлы должны появиться. Появились перекидываем на компьютер.

Хотя этот батник вы можете модернизировать добавив туда несколько строк. Напишем, чтобы батник сделал папки видимыми, потом добавим функцию удаления папки Recycler, где храниться тот самый вирус на флешке, далее удалим файл, который запускает вирус (autorun) и удалим ярлыки. Все это вместиться в четыре маленькие строки.
Открываем блокнот и копируем туда:

attrib -s -h /s /d
rd RECYCLER /s /q
del autorun.* /q
del *.lnk /q

Как видите все по-порядку, сначала отобразить скрытые папки , потом удалить Recycler, далее удалить автозапуск и уничтожить ярлыки. Все.
Сохранили, перекинули батник на флешку и запустили.

1.5. Отображение посредством командной строки (CMD)

Папки можно также отобразить через командную строку.
Запускаем «Выполнить» (Win+R) в строке пишем: CMD и нажимаем «Ок».
В открывшемся окошке командной строки пишем:

Нажимаем «Enter».( X-буква вашей флешки )
Далее пишем:

Снова нажимаем «Enter». Теперь папки должны появиться.

Удаление антивирусом

Стоить проверить компьютер и флешку любым бесплатным или условно бесплатным антивирусом. Например, попробуйте скачать NOD32 (30 дней бесплатно). После пробного периода можно продолжить им пользоваться, но без обновлений. Я сам активно им пользуюсь.

Проведите детальное сканирование компьютера. Все вирусы будут автоматически удаляться при нахождении. После завершения можно просмотреть отчёт.

Читать еще:  Как очистить айфон от ненужных файлов

Автор: Administrator вкл. 12 декабря 2011 . Опубликовано в Безопасность

Если место на флешь диске занято, а папок как скрытых так и системных нет. Это говорит о том что вся информация спрятана. В папку в имени которой есть недопустимые с

В этом случаи форматировать флешку не стоит .

Все дело в том, что вирус создает директорию в названии которой есть недопустимые символы. Этих символов нет в наборе символов, которые используют для назначения имен папок в формате 8.3. В результате, такая папка не отображается ни в одном из файловых менеджеров в независимости от настроек последнего.

Затем вирус переносит настоящие папки в эту скрытую папку.

Я попытаюсь описать по шагам, как вынуть файлы из скрытой папки на флешке, которой якобы нет.

————————————
ВНИМАНИЕ: если у вас вместо папок ярлыки или файлы *.exe, то читаем статью «Папки на флешке стали ярлыками«.Это сделано потому что способ решения проблемы разный.
————————————

Итак, начнем.
Наша флека/диск это диск с буквой I:

Если поглядеть на картинку то ни каких папок нет. Как тут ни крути =)

Чтобы нам увидеть директорию, обратимся за помощью к командной строке.
Жмем WIN+R вбиваем команду CMD и жмем Enter.
Перед нами приглашение командной строки.

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:Documents and SettingsUser>_

Далее вводим команду
Dir i: /x
где :
i – буква вашей флешки
– ключ для показа всех файлов

Ну вот когда мы знаем название можно на прямую обратиться к ней в менеджере файлов.

Я для простоты использовал Total Commander, просто вбиваете в строку и жмете Enter. Затем переносите Ваши файлы на диск С:, а флешку форматируете.

Советы пользователей присланных мне.

Совет 1: Меняем имя папки

В командной строке набираем
ren g:e2e2

1 111
И переименовываем папку e2e2

1 на флешке в 111 с помощью командной строки (win+r, cmd)

Совет 2: Бат файл для скрытых папок

Также если у Вас на флешке есть скрытые папки то вам поможет БАТ файл:

@echo off
mode con codepage select=1251 > nul
echo Please wait…
attrib -s -h -r -a /s /d

Данный файл снимает все атрибуты со всех папок и файлов, ЗАПУСКАТЬ ТОЛЬКО НА ФЛЕШЬ ДИСКЕ .

Внимание 20-03-2011 был добавлен комментарий о том, что уже существует новая модификация вируса, которая не прячет папки, а удаляет их, будте бдительней.

Совет 3: Простой способ вынимания информации

Пользователем СЕРГЕЙ был прислан самый простой способ решение задачи.
Он открыл флешку в Total Commander 7.0 Podarok Edition как оказалось там есть кнопка 8.3 (Короткие имена в формате DOS 8.3) нажав её имена папок отображаемых изменились и появилась нужная папка е2е2

1 войдя в которую всё ее содержимое можно скопировать в другое место, или можно её переименовать в 111 и она становится видна.

Совет 4: Способ пользователя Muller

Пользователем Muller был предложен оригинальный способ. Для этого нужно запаковать флешку архиватором RAR. Затем открыть архив и вынуть нужные вам файлы =) вот ссылка на комментарий Muller`а .

Решаем проблему со скрытием вирусом файлов на флешке

Скрытие находящихся на флешке файлов — одна из самых безобидных проблем, с которыми сталкиваются жертвы вирусов. Однако в большинстве случаев подобные угрозы продолжают дальше распространяться по ПК в поисках информации, например, платежных данных. Поэтому их требуется как можно скорее обнаружить и удалить. При этом важно сохранить файлы, что мы и попытаемся сделать далее.

Шаг 1: Использование антивируса

Всегда в первую очередь рекомендуется использовать специальное антивирусное программное обеспечение, которое не только найдет вирус на компьютере или USB-накопителе, но и удалит его. Такое действие необходимо для того чтобы можно было сделать файлы снова видимыми и избавиться от дальнейших трудностей при работе с ними. Рекомендуется задействовать несколько инструментов, поскольку иногда новые вирусы еще отсутствуют в базе защитного ПО. В другой нашей статье по следующей ссылке вы найдете пять различных способов осуществления поставленной задачи.

Шаг 2: Удаление остаточных записей в реестре

Не всегда после полного удаления вируса с ПК программным методом стираются абсолютно все файлы, связанные с ним. Некоторые приложения и утилиты умело маскируются под дружелюбный софт и запускаются каждый раз, как происходит старт операционной системы. Обычно такие записи остаются в реестре, поэтому их нужно удалить, а сделать это можно так:

    Вызовите функцию «Выполнить», зажав комбинацию клавиш Win + R. Затем введите там выражение regedit , нажмите на клавишу Enter или кнопку «ОК».

В ней присутствуют ключи программ, которые запускаются автоматически. Найдите там подозрительные или незнакомые записи, кликните по ним ПКМ и выберите «Удалить».

  • После этого рекомендуется перезагрузить компьютер, чтобы изменения вступили в силу.
  • Обычно подобные записи, генерируемые вредоносным программным обеспечением, имеют случайное название, состоящее из набора символов, поэтому отыскать его не составит труда. Помимо этого, каждый пользователь знает, что установлено у него на ПК — это тоже поможет найти лишнюю запись.

    Шаг 3: Отключение подозрительных служб

    Некоторые угрозы оставляют после себя небольшие скрипты, называемые службами. Обычно их обнаруживает антивирус и удачно удаляет, но самые изощренные вирусы могут оставаться на ПК незамеченными. Из-за этого юзеру рекомендуется самостоятельно просмотреть список текущих служб и отыскать там подозрительную утилиту. Удалить ее, скорее всего, не получится, но после отключения она перестанет наносить вред устройству.

    1. Откройте утилиту «Выполнить» (Win + R). Впишите там msconfig и кликните на «ОК».

    Переместитесь во вкладку «Службы».

    Просмотрите список всех служб, выделите галочками те, которые связаны с вредоносными данными, и отключите их. После этого примените изменения и перезагрузите ПК.

    Читать еще:  DNS probe finished nxdomain что делать

    Если вы не уверены в какой-либо из служб, всегда можно найти информацию о ней в интернете, чтобы убедиться в ее причастности к вирусам или безопасности.

    Шаг 4: Изменение атрибутов файлов

    Если объекты на съемном носителе были поражены вирусом, сейчас они либо удалены, либо имеют присвоенный атрибут, делающий их скрытыми, системными и недоступными для изменения. Поэтому юзеру придется вручную удалить все эти атрибуты, чтобы получить оставшиеся на флешке файлы.

      Откройте «Пуск» и запустите «Командную строку» от имени администратора. Сделать это можно и через «Выполнить», введя там cmd .

    В разделе «Этот компьютер» узнайте букву, которая присвоена USB-накопителю. Она пригодится для выполнения дальнейших действий.

    В консоли введите attrib H:*.* /d /s -h -r –s , где H — название флешки. Подтвердите выполнение команды, нажав Enter.

    После этого остается только подождать завершения операции, об этом свидетельствует появившаяся строка ввода. Теперь важно описать действие каждого аргумента, чтобы у вас не осталось вопросов по использованию рассмотренной команды:

    • H — буква накопителя, всегда выставляется индивидуально, в соответствии с подключенным устройством;
    • *.* — указывает формат всех файлов. По аналогии можно установить, например, *.txt* ;
    • /d — отвечает за обработку всех файлов и каталогов;
    • /s — обрабатывает все файлы с указанным разрешением; Получается, что /d и /s, установленные вместе, позволяют применить атрибуты ко всем объектам сразу.
    • + или — — добавление или отмена атрибутов;
    • h — атрибут для скрытия файлов;
    • r — только чтение;
    • s — атрибут для присвоения статуса «Системный».

    Теперь вы знаете все об основных аргументах команды attrib, что позволит изменять атрибуты файлов и папок напрямую через консоль, экономя свое время и силы.

    Шаг 5: Восстановление удаленных данных

    Нередки такие случаи, когда после снятия атрибутов пользователь не получает доступ к некоторым файлам, что хранились на флешке до момента действия вируса. Возникновение подобной ситуации означает, что эта информация была удалена антивирусом или самой угрозой. Выходит, что без дополнительного ПО здесь не обойтись — придется применять средство по восстановлению удаленных файлов. При этом каждый такой инструмент работает по своему алгоритму, из-за чего не всегда восстанавливаются все элементы. Детальное руководство по трем способам возвращения файлов ищите в нашем материале, перейдя по указанной далее ссылке.

    Хронология событий

    Мне передали две флешку, на которой, чудесным образом, в самый неподходящий момент, исчезли практически все файлы и папки. После подключения к моему компьютеру, Kaspersky Internet Security (KIS), обнаружил на флешке сетевого червя, который занесен в антивирусную базу Лаборатории Касперского как Worm.Win32.Debris.b.

    На флешке обнаружен сетевой червь Worm.Win32.Debris.b

    На флешке были скрыты все файлы кроме двух. О том, как удалось восстановить видимость файлов, смотрите в видео.

    Похожие статьи

    Как удалить вирус с флешки

    Флешка — очень удобное устройство, но зачастую, она становиться источником распространения вирусов. Современные вирусы, стремятся заразить флешку, сразу после подключения к инфицированному компьютеру. После того, как вирус появляется на флешке, она становится опасной для других […]

    Рейтинг бесплатных антивирусов 2014

    Мы уже неоднократно предупреждали, что нельзя использовать свой компьютер или ноутбук без антивирусной программы. Особенно актуально использовать антивирусные программы, если вы пользуетесь электронными платежными системами типа Яндекс.Деньги и WebMoney. Много случаев фишинга связано с использованием […]

    5 Комментариев

    Здравствуйте.
    У меня возникла следующая проблема. Сестра в Интернет искала редкую книгу, случайно зашла на какой-то неизвестный сайт (адрес сайта точно не помнит, но в начале вроде было слово «boot»), где предлагалось скачать данную книгу, но там вообще никаких книг не было, а пошла какая-то непонятная загрузка, и сестра сразу же сайт закрыла. После еще некоторое время работала на ноутбуке, затем его выключила, а на следующий день компьютер не включался. Появилась надпись: » no bootable device — insert boot disk and press any key». Вызвали специалиста по ремонту компьютеров, он сказал, что компьютер не видит жесткий диск. Разобрал ноутбук, посмотрел жесткий диск, оказалось, считывающая головка не работает (я — не специалист, могу неточно объяснить). Специалист считает, что это чисто физическое повреждение, вирус вряд ли мог быть причиной поломки. Но компьютер стоит на одном месте, его не переносят, вообще не трогают, бережно обращаются. Пожалуйста, ответьте, мог ли вирус быть причиной вышеуказанной поломки жесткого диска. И можно ли при этом восстановить данные с жесткого диска?

    Здравствуйте, у меня такая проблема, перестал обновлятся Защитник Windows на Windows 8.1, выскакивает ошибка, насчёт отсутствия интернета, хотя с ним всё в порядке, пытался с официального сайта в ручную обновить, не принимает обновления, подскажите пожалуйста как это исправить?

    Асхат, затрудняюсь ответить на Ваш вопрос. Может попробовать откатить систему до того времени, когда обновления проходили без проблем?

    Подскажите пожалуйста, какую вы порекомендуете программу, для съемки видео с экрана компьютера и записи звука с микрафона. Бесплатную.

    Cema, я не знаю о наличии бесплатных программа для записи видео с экрана. Сам же использую программу Camtasia Studio. Если Вы планируете делать видео-уроки, то я рекомендую именно эту программу, так как она наилучшим образом подходит для этих целей.

    Вирус, создающий ярлыки на флешке

    #1 LassusFaultier

  • Posters
  • 4 Сообщений:
  • В одном из копицентров универа моя флешка подхватила одного неприятного друга. Смысл в том, что на ней осел вирус и обычного форматирования и даже проверки кюритом не достаточно, чтобы его удалить. В Интернете не нашел действенного решения конкретно для моей флешки, а флешка-то новая, и ещё так хочется ею пользоваться.

    Читать еще:  Установка apache php mysql Windows 10

    В чем собственно проблема? На флешке есть файл drive.bat, который после удаления возникает снова. Этот файл запускает вирус js/Bondat:15 в скрытом в недрах флешки файле расширения .js. Вирус в свою очередь подменяет все до единого файлы на флешке на ярлыки. Запускать их опасно, другие копицентры отказываются печатать с моей флешки.

    В конце концов, полностью проверил комп с флешкой антивирусом и Др.Веб Кюритом, почистил комп от всякой нечисти и заодно удалил этого самого негодяя. Но вскоре он вернулся, точнее он только притворялся, что исчез. Проверил ещё раз хайджеком и сисинфо, логи и архив предоставил,надеюсь поможете мне, а то флешку жалко(

    Прикрепленные файлы:

    • СТЕПАН-ПК_Степан_221216_171922.zip1,81Мб 9 Скачано раз
    • cureit.rar683,08К 10 Скачано раз
    • hijackthis.log6,11К 14 Скачано раз
    • Наверх

    #2 Dr.Robot

  • Helpers
  • 2 770 Сообщений:
  • 1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

    Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

    2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

    — попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
    — детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
    — дождаться ответа аналитика или хелпера;

    3. Если у Вас зашифрованы файлы,

    Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

    Что НЕ нужно делать:
    — лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
    — переустанавливать операционную систему;
    — менять расширение у зашифрованных файлов;
    — очищать папки с временными файлами, а также историю браузера;
    — использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
    — использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

    Что необходимо сделать:
    — прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

    4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

    Для этого проделайте следующее:

    Если у вас пропали (исчезли) файлы и папки с флешки, а объём памяти остался прежним. Решение №1! (не всегда помогает) .

    Жмем Пуск —> далее Панель управления —> далее Параметры папок (в XP «Свойства папок») . В открывшемся окошке переходим во вторую вкладку «Вид». Здесь в самом конце переставляем кнопку с «не показывать скрытые файлы, папки и диски» на «показывать скрытые файлы, папки и диски».

    И все. Все скрытые файлы будут видны на компьютере. Далее переходим во флешку, и если на ней видны все папки, которые ранее Вами считались удаленными , то выделяем их все и нажав на них правой кнопкой мыши выбираем «свойства».

    В открывшемся окошечке снимаем галочку с атрибута «скрытый» и жмем применить. Дальше в параметрах папок можете вернуть настройки в «не показывать скрытые файлы, папки и диски». Данный способ не всегда помогает. Не помогает в сложных случаях, когда вирусы меняют атрибуты файлов и папок на «системный». Поменять этот атрибут выше описанным способом невозможно. Для таких случаев есть другой вариант.

    Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов

    Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.

    С этого сайта скачайте файл clear_attrib.bat (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:

    :lbl
    cls
    set /p disk_flash=»Enter flash drive: «
    cd /D %disk_flash%:
    if %errorlevel%==1 goto lbl
    cls
    cd /D %disk_flash%:
    del *.lnk /q /f
    attrib -s -h -r autorun.*
    del autorun.* /F
    attrib -h -r -s -a /D /S
    rd RECYCLER /q /s
    explorer.exe %disk_flash%:

    При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.

    Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!

    Ссылка на основную публикацию
    Статьи c упоминанием слов:

    Adblock
    detector