Съвременните антивируси вече са се научили да блокират autorun.inf, който стартира вирус при отваряне на флашка.
Нов тип вирус от същото семейство се разхожда из мрежата и от флашка на флашка от доста време, просто още един троянски кон. Инфекцията с тях може да бъде открита веднага с просто око без никакви антивируси, основният признак е това всички папки на флашката се превърнаха в преки пътища.
Ако на флаш устройството има много важни файлове, първото нещо, което ще направите, е да отворите всички папки (преки пътища) една по една, за да сте сигурни, че файловете са налице - Това изобщо не си струва да се прави!
Проблемът е, че тези преки пътища съдържат две команди, първата е за стартиране и инсталиране на вируса на компютъра, втората е за отваряне на вашата ценна папка.
Ще почистим флашката от такива вируси стъпка по стъпка.
Стъпка 1: Показване на скритите файлове и папки.
Ако имате Windows XP, отидете на: „Старт-Моят компютър-Меню Инструменти-Опции на папката-Раздел Изглед“:
В раздела „Преглед“ намерете два параметъра и изпълнете:
- Скриване на защитените системни файлове (препоръчително) - премахнете отметката от квадратчето
- Показване на скрити файлове и папки - изберете превключвателя.
Ако имате Windows 7, трябва да отидете по малко по-различен път: „Старт-Контролен панел-Облик и персонализиране-Опции за папки-Раздел Изглед“. 
Имате нужда от същите опции и трябва да ги активирате по същия начин. Сега вашите папки на флаш устройството ще бъдат видими, но ще бъдат прозрачни.
Стъпка 2. Почистване на флаш устройството от вируси.
Заразеното флаш устройство изглежда като изображението по-долу: 
За да не изтриете всички файлове от флашката, можете да видите какво стартира някой от преките пътища (обикновено стартират един и същ файл на същата флашка). За да направите това, трябва да погледнете свойствата на прекия път, там ще намерите двойно стартиране - първото отваря вашата папка, а второто стартира вируса: 
Интересуваме се от низа „Object“. Доста е дълъг, но в него лесно се намира пътя до вируса, най-често е нещо като 118920.exe в папката Recycle на самата флашка. В моя случай двойната линия изглеждаше така:
%windir%\system32\cmd.exe /c „старт %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support
Ето същия път: RECYCLER\6dc09d8d.exe- папка на флашка и вирус в нея.
Изтриваме го заедно с папката - сега щракването върху прекия път не е опасно ( ако не сте го стартирали преди).
Стъпка 3. Възстановете предишния вид на папките.
1. Изтрийте всички преки пътища към нашите папки - не са необходими.
2. Папките ни са прозрачни - това означава, че вирусът за изтегляне ги е маркирал като системни и скрити. Не можете просто да деактивирате тези атрибути, така че трябва да използвате нулирането на атрибутите чрез командния ред.
Има 2 начина за това:
Отворете "Старт" - "Изпълни" - Въведете командата CMD - натиснете ENTER. Ще се отвори черен прозорец на командния ред, в който трябва да въведете следните команди:
- cd /d f:\натиснете ENTER, където f:\ е буквата на нашата флашка (може да се различава от примера)
- attrib -s -h /d /sнатиснете ENTER - тази команда ще нулира атрибутите и папките ще станат видими.
1. Създайте текстов файл на флашка.
2. Напишете команда attrib -s -h /d /sв него, преименувайте файла на 1.прилепи го стартирайте.
3. Ако не можете да създадете такъв файл, можете да изтеглите моя: .
Ако има много файлове, може да отнеме време за изпълнение на командата, понякога до 10 минути!
4. След това можете да се върнете към първата стъпка и да възстановите предишния вид на папките, тоест да скриете системните скрити файлове.
Как да проверите дали вашият компютър е носител на вируси?
Ако подозирате, че вашият компютър е този, който разпространява този вирус между флаш памети, можете да видите списъка с процеси в диспечера на задачите. За да направите това, натиснете CTRL+ALT+DEL и потърсете процес с име, подобно на FS..USB..., вместо точки - няколко букви или цифри.
Източникът на този процес не се премахва от AviraAntivir, DrWeb CureIT или Kaspersky Removal Tool.
Аз лично го премахнах с F-Secure с пробна версия, но той е скрит под формата на драйвер и можете да го намерите с помощта на помощната програма Автозапускания.
Ако изтриете вирус от флашка, и папките отново станат преки пътища?
Веднага ще кажа, че нямах такава ситуация. Не знам точно как да го лекувам. Виждам три изхода от ситуацията:
- разрушаване на Windows (1,5-2 часа, най-бързият начин);
- инсталирайте F-Security, Kaspersky, Dr.Web (пробни версии) една по една и сканирайте компютъра с „пълни сканирания“, докато открием вирус (обикновено 3-4 часа, в зависимост от мощността на компютъра и броя на файловете );
- запишете DrWeb LiveCD на диск или флаш устройство, заредете от него и проучете компютъра.
- F-Secure Online Scanner (ще ви помоли да стартирате Java модула, трябва да се съгласите)
Можете да изтеглите пробни версии на тези антивируси за 1 месец, да актуализирате техните бази данни и да проверите компютъра си с тях.
Изглежда това е всичко, свържете се с мен - винаги ще отговоря, понякога със закъснение.
„Мога да добавя, че има и вируси като Sality (Sector XX - където XX числа като 05, 15, 11, 12 са модификации, не е ясно кой ги създава) повреждат изпълними exe файлове... с такива вируси имам измислих свой собствен начин за борба с помощта на същия Dr.Web CureIt! имайки под ръка WinXPE система записана на 700 метров CD-R... зареждане на системата от диск и използване не на твърда памет, а на RAM.
Работи чудесно. Дискът вмъкна зареждане от диска, включи се, постави флашка с предварително записан “FRESH” CureIt!... и готово.. Пуснах целия хард диск за наличие на мръсотия. Най-интересното е, че по време на този процес, както и при Life CD от мрежата, вирусите „спят“, т.е. Системата не се зарежда и някак си е по-удобно с операционната система.
Нов тип вирус от същото семейство се разхожда из мрежата и от флашка на флашка от доста време, просто още един троянски кон. Инфекцията с тях може да бъде открита веднага с просто око без антивирусен софтуер, основният признак е, че всички папки на флаш устройството са се превърнали в преки пътища.
Ако на флашката има много важни файлове, първото нещо, което ще направите, е да се втурнете да отворите всички папки (преки пътища), за да сте сигурни, че файловете са там - това изобщо не си струва да правите!Проблемът е, че тези преки пътища съдържа две команди, първата е за стартиране и инсталиране на вируса на компютъра, втората е за отваряне на вашата папка.
Как да почистите флаш устройство от такива вируси:
Стъпка 1: Показване на скритите файлове и папки.
Ако имате Windows XP, изпълнете следните стъпки: " Старт-Моят компютър-Инструменти-Опции за папки-раздел Преглед”:
В раздела „Преглед“ намерете два параметъра и изпълнете: Скриване на защитените системни файлове (препоръчително) – премахнете отметката от Показване на скритите файлове и папки – поставете отметка на превключвателя.
Ако имате Windows 7, трябва да поемете по малко по-различен път: „P usk-Контролен панел-Опции за папки-раздел Преглед”.
Имате нужда от същите опции и трябва да ги активирате по същия начин. Сега вашите папки на флаш устройството ще бъдат видими, но ще бъдат прозрачни.
Стъпка 2. Почистване на флаш устройството от вируси.
Заразеното флаш устройство изглежда като изображението по-долу:
Първо трябва да проверите какво стартира някой от преките пътища (обикновено стартират един и същ файл на една и съща флашка). За да направите това, трябва да погледнете свойствата на прекия път, където ще намерите двойно стартиране - първото отваря вашата папка, а второто стартира вируса:
В реда "Обект" (той е доста дълъг) можете да намерите пътя до вируса, най-често това е нещо като 118920.exe в папката Recycle на самото флаш устройство.В този случай двойният ред за стартиране изглеждаше така:
%windir%\system32\cmd.exe /c "старт %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support
Ето го същия път: RECYCLER\6dc09d8d.exe - папка на флашка и вирус в нея.
Изтриваме го заедно с папката - сега щракването върху прекия път не е опасно (ако не сте успели да го стартирате преди).
Стъпка 3. Възстановете предишния вид на папките.
Нашите папки са прозрачни - това означава, че програмата за зареждане на вируси ги е маркирала като системни и скрити. Не можете просто да деактивирате тези атрибути, така че трябва да използвате нулирането на атрибутите чрез командния ред.
Има 2 начина да направите това:
Отворете „Старт“ - Елемент „Изпълнение“ - Въведете командата CMD - натиснете ENTER.
Ще се отвори черен прозорец на командния ред, в който трябва да въведете следните команди:
cd /d f:\ натиснете ENTER, където f:\ е буквата на нашето флаш устройство (може да се различава от примера) attrib -s -h /d /s натиснете ENTER - тази команда ще нулира атрибутите и папките ще станат видими .
Вторият вариант е да създадете текстов файл в корена на флашката. Напишете команда attrib -s -h /d /sв него, преименувайте файла на 1.bat, поставете го в корена на флашката и го стартирайте. След като го стартирате ще се появи черен прозорец, не го затваряйте, но изчакайте и всичко няма да се възстанови. След това можете да премахнете преките пътища на папките.
Ако не можете да създадете такъв файл, можете да изтеглите: Bat файл за промяна на атрибути (.zip). Ако има много файлове, може да отнеме време за изпълнение на командата.
След това можете да се върнете към първата стъпка и да възстановите предишния вид на папките, тоест да скриете системните скрити файлове.
Друга опция за .bat файла:
| :лепка клас set /p disk_flash="Vvesti buky флаш устройство: " cd /D %disk_flash%: if %errorlevel%==1 goto етикет клас cd /D %disk_flash%: дел *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd РЕЦИКЛИРАЩ /q /s explorer.exe %disk_flash%: |
Прочети, как да премахнете вирус, който преобразува файлове и папки в преки пътища. Как да възстановите данни, които са били изгубени в резултат на такъв вирус. Вашите файлове и папки на USB флаш устройство или карта с памет са се превърнали в преки пътища? USB флаш устройство или карта с памет се появяват като пряк път след свързване към компютър? Търсите ли как да възстановите данни и да премахнете вирус, който преобразува файлове и папки в преки пътища? Използвате ли антивирусна програма, но компютърът ви все още е заразен? За съжаление, не всички антивирусни програми могат да ви предпазят от подобни инфекции.
Видове бързи вируси
Днес има два най-често срещани вида вируси, които създават преки пътища: първите създават преки пътища вместо файлове и папки на флаш устройство или карта с памет, други създават преки пътища към сменяеми устройства вместо самите флаш устройства, външни USB устройства и карти с памет .
Имената на най-често срещаните вируси:
- Bundpil.Shortcu;
- Mal/Bundpil-LNK;
- Ramnit.CPL;
- Serviks.Shortcut;
- Troj/Agent-NXIMal/FakeAV-BW;
- Trojan.Generic.7206697 (B);
- Trojan.VBS.TTE(B);
- Trojan.VBS.TTE;
- VBS.Агент-35;
- VBS.Serviks;
- VBS/Autorun.EY червей;
- VBS/Autorun.worm.k вирус;
- VBS/Canteix.AK;
- VBS/Worm.BH;
- W32.Exploit.CVE-2010_2568-1;
- W32.Trojan.Starter-2;
- W32/Sality.AB.2;
- Win32/Ramnit.A вирус;
- Червей:VBS/Cantix.A;
Вирус, който преобразува файлове и папки в преки пътища
Този вирус дублира вашите файлове и папки, след което ги скрива и заменя. Вирусът е комбинация от троянски кон и червей. Опасността е, че стартирате вирус всеки път, когато искате да отворите вашия файл или папка. Веднъж стартиран, вирусът се разпространява, за да заразява все повече и повече файлове и често инсталира допълнителен зловреден софтуер, който може да открадне пароли и информация за кредитни карти, съхранени на вашия компютър.
Вирус, който преобразува флашките и картите с памет в преки пътища
Това е чистокръвен троянски вирус, който скрива всички преносими устройства, свързани към компютъра, и ги замества с преки пътища за тези устройства. Всеки път, когато щракнете върху прекия път, вие отново стартирате вируса, който търси финансова информация на вашия компютър и я изпраща на измамниците, създали вируса.
Какво да направите, ако сте заразени
За съжаление, не всички антивируси могат да открият опасността навреме и да ви предпазят от инфекция. Следователно най-добрата защита би била да не се използва автоматично стартиране на сменяеми устройства и да не се кликва върху преки пътища към файлове, папки или дискове. Внимавайте да не щракнете върху преки пътища, които не сте създали сами. Вместо да щракнете двукратно, за да отворите диска, щракнете върху него десен бутон на мишкатаи изберете Разширяванев Explorer.
Възстановяване на данни, изтрити от вирус
За надеждно възстановяване на данни, изтрити от този тип вирус, използвайте Hetman Partition Recovery. Тъй като програмата използва дискови функции на ниско ниво, тя ще заобиколи блокирането на вируси и ще прочете всичките ви файлове.
Изтеглете и инсталирайте програмата, след което анализирайте заразената флашка или карта с памет. Извършете възстановяване на данни, преди да почистите носителя от вируса. Най-надеждната опция за лечение е да почистите флаш устройството с помощта на командата DiskPart; това ще изтрие цялата информация в него.
Премахване на вирус от карта с памет или USB флашка
След като възстановите данни от флаш устройство, можете да го изчистите напълно с помощта на помощната програма DiskPart. Изтриването на всички файлове и форматирането на устройството може да остави след себе си вирус, който ще се скрие в сектора за зареждане, таблицата на дяловете или неразпределената област на диска. Гледайте видеоклипа, за да видите как правилно да почистите флашка.
Премахване на вирус от флаш устройство с помощта на командния ред
Този метод не гарантира почистване на флаш устройството от всички видове вируси, но може да премахне вирус, който създава преки пътища вместо файлове. Няма да е необходимо да изтегляте и инсталирате помощни програми на трети страни; премахването се извършва с помощта на инструмента, вграден във всяка версия на Windows.
Премахване на вирус от компютър
Най-простият и най-надежден начин да почистите компютъра си от вируси е да преинсталирате напълно Windows и да изтриете системния дял.
Но ако сте напреднал потребител, можете да опитате следния метод:
Изобретателността на разработчиците на вирусен софтуер няма граници и никой няма да бъде изненадан от обикновените троянски коне, които крадат данни или рекламни банери, за затварянето на които измамниците изискват да им изпратите платен SMS. Оригиналът е вирус, който прониква във външно устройство (флаш устройство или твърд диск) и превръща всички папки в преки пътища или по-скоро потребителят мисли така.
Всъщност вирусното приложение скрива реални папки с данни и ги заменя с преки пътища със същото име. Чрез щракване върху преките пътища за вируси се инсталират злонамерени програми от флашката на компютъра. Ако компютърен потребител няма инсталиран антивирусен софтуер, той рискува сериозно да зарази компютъра си със зловреден софтуер, което по-късно може да доведе до загуба на лични данни, важни файлове и други проблеми.
Важно:Ако папките на флаш устройството са заменени с преки пътища, не щракайте върху тях, дори ако имат имена като „Как да решим проблем“, „Прочетете ме“, „Прочетете ме“ и други. По подобен начин нападателите принуждават потребителя да активира своя вирусен софтуер.
Какво да направите, ако папките на флашка станат преки пътища
Както бе споменато по-горе, основното нещо в такава ситуация е да не се поддавате на триковете на вируса и да не кликвате върху файловете, които създава. За да се отървете от вирусните преки пътища и да не навредите на вашите файлове, трябва да направите следното:
В Windows 8, 10 и XP:(Системен твърд диск):\Потребители\(потребителско име)\AppData\Roaming В Windows 7:(Системен твърд диск):\Documents and Settings\(Username)\Local Settings\Application Data\ Моля, обърнете внимание: За да видите папката AppData, както и някои други, ще трябва първоначално да активирате показването на скрити файлове и папки в контролния панел.
За това:
След като се отървете от вируса, можете да преминете към премахване на проблемите, възникнали в резултат на неговите действия.
Как да направите скритите папки видими след вирусна атака
Злонамереното приложение, както беше отбелязано по-горе, скрива папки и вместо това създава преки пътища. След премахване на вируса, папките остават скрити. Обикновено те могат да бъдат направени видими, като щракнете с десния бутон върху тях, изберете „Properties“ и в раздела „General“ премахнете отметката от опцията „Hidden“.
Проблемът с този вирус, който превръща папките на флашка в преки пътища, обаче е, че вече не е възможно да премахнете отметката от скритата опция, тъй като атрибутът става неактивен.
За да промените това свойство и да направите папката отново видима, трябва да създадете документ на Notepad в корена на флаш устройството. Когато се създаде, отворете го и напишете командата в него:
Attrib -s -h -r -a /s /d
След това изберете „Файл“ - „Запазване като“. Дайте произволно име на файла, но пишете в края .bat– разширение за него. След като бележникът в посоченото разширение бъде записан в главната папка на флаш устройството, трябва да щракнете с десния бутон върху него и да го стартирате като администратор. След това ще бъде изпълнена команда, в резултат на която потребителят ще има възможност отново да направи скритите папки видими.
