Jučer sam na tečajevima uhvatio virus na USB flash disku koji je antivirus odmah otkrio i uklonio na svom kućnom računalu. Međutim, pokazalo se da sve su mape na flash disku postale prečaci. Prije nekog vremena, već sam naišao na takav problem, pa znam prvo pravilo za sprječavanje infekcije vašeg računala: ni u kojem slučaju ne pokušavajte otvoriti prečace do mapa! (čak i ako su podaci na flash disku neprocjenjivi i želite odmah osigurati da se nigdje ne izgube). Zašto ne otvorite ove prečace? Stvoritelji virusa krenuli su u takav trik: u svojstvima ovih prečaca registrirane su dvije naredbe:
- Prvo se pokreće i instalira virus na vaše računalo
- Druga otvara mapu koja vas zanima.
tj korisnik na čijem računalu nije instaliran antivirus, bez obraćanja pažnje na činjenicu da su svi direktoriji na flash disku sada prikazani kao prečaci, jednostavno ne može znati da je flash pogon zaražen, jer sve mape na flash disku se otvaraju i informacije u njima su na mjestu. U nekim se izmjenama takvog virusa mape prestaju otvarati čak i ako kliknete prečac. Ni u kojem slučaju nemojte paničariti, ne žurite s formatiranjem USB bljeskalice i pažljivo pročitajte upute u nastavku. Shvatite da katalozi nisu nestali, kao što su bili na flash disku i tako je. Virus je samo sakrio sve mape na USB fleš pogonu, tj. dodijeljeni su im odgovarajući atributi (skriveni + arhivirani). Naš zadatak: uništiti virus i ukloniti ove atribute.
Dakle, u nastavku ću dati upute koje opisuju što učiniti ako mape na flashu postaju prečaci
sadržaj:
- Izbrišite izvršne datoteke virusa na USB fleš pogonu
- Provjera sustava za pokretanje naredbi virusa
- Vratite izgled direktorija i pristup mapama
- Ručni način vraćanja atributa skrivenih mapa na USB flash pogon
- Skripta za automatsko uklanjanje atributa skrivanja iz izvornih mapa i datoteka
Izbrišite izvršne datoteke virusa na USB fleš pogonu
Prvi korak je da biste dobili osloboditi od izvršnih datoteka virusa. To se može učiniti bilo kojim antivirusom (postoji puno besplatnih ili prijenosnih verzija, poput Dr.Web CureIt ili Kaspersky Virus Alat za uklanjanje), ako ga nema, možete pokušati pronaći i neutralizirati virus ručno. Kako pronaći virusne datoteke koje zarazuju USB flash pogon?
- U programu Windows Explorer omogućite prikaz skrivenih i sistemskih datoteka.
- Windows XP: Start-> Moje računalo-> izbornik Alati-> Opcije mape-> kartica Pregled. Poništite oznaku "Sakrij zaštićene sistemske datoteke (preporučeno)"i postavljeno na"Prikaži skrivene datoteke i mape".
- Windows 7 staza je malo drugačija: Start-> Upravljačka ploča-> Izgled i personalizacija-> Opcije mape-> kartica Pregled. Parametri su isti..
- za Windows 8/10 upute su u članku Prikazivanje skrivenih mapa u sustavu Windows 8.
- Otvorite sadržaj flash pogona i na njemu vidimo puno prečaca do mapa (obratite pažnju na ikonu prečaca u ikonama mape). Sada morate otvoriti svojstva bilo kojeg prečaca do mape (RMB -> Properties). Oni će izgledati ovako: Zanimaju nas vrijednosti polja Cilja (Objekt). Linija naznačena na njemu je prilično dugačka i mogla bi izgledati ovako:
% windir% \ system32 \ cmd.exe / c "start% cd% RECYCLER \ e3180321.exe &&% windir% \ explorer.exe% cd% sigurnosna kopija
U ovom primjeru RECYCLER \ e3180321.exe ovo je isti virus. tj Datoteka s imenom e3180321.exe nalazi se u mapi RECYCLER. Mi brišemo ovu datoteku ili možete izbrisati i cijelu mapu (preporučujem provjeru prisutnosti ove mape kako na najobraženijem flash uređaju, tako i u sistemskim mapama C: \ windows, C: \ windows \ system32 i u profilu trenutnog korisnika (više o njima u nastavku)).
Također preporučujem da pogledate izvršne datoteke virusa u sljedećim direktorijima:
- u Windows 7, 8 i 10 -
C: \ korisnici \ korisničko ime \ appdata \ roaming \
- u Windows XP -
C: \ Dokumenti i postavke \ korisničko ime \ Lokalne postavke \ Podaci aplikacije \
Ako ove mape sadrže datoteke s nastavkom ".eXE", tada je to najvjerojatnije izvršna datoteka virusa i može se izbrisati (u tom direktoriju na neinficiranom računalu ne bi trebalo biti .exe datoteka).
U nekim slučajevima antivirusni virusi ne otkriju takve viruse kao mogu se stvoriti u obliku skripte .bat / .cmd / .vbs, koje u principu ne izvode nikakve destruktivne radnje na računalu. Preporučujemo da ručno provjerite USB flash pogon za datoteke s takvim dopuštenjima (njihov se kôd može vidjeti pomoću bilo kojeg uređivača teksta).
Sada klikanje na prečac nije opasno!
Provjera sustava za pokretanje naredbi virusa
U nekim se slučajevima virusi registriraju u sustavu za automatsko pokretanje. Ručno provjerite sljedeće grane registra (regedit.exe) na sumnjive unose:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run - ti se programi pokreću kada se računalo pokrene
- HKEY_TRENUTNI_KORISNIKA\softver\Microsoft\Windows\CurrentVersion\trčanje - programi koji se automatski pokreću kad se trenutni korisnik prijavi
Izbrišite sve sumnjive unose i nepoznate programe (nećete učiniti ništa pogrešno, čak i ako isključite pokretanje nekog potrebnog programa, uvijek ga možete pokrenuti ručno nakon ulaska u sustav).
Ostali načini automatskog pokretanja programa u sustavu opisani su u članku Upravljanje programima automatskog pokretanja u sustavu Windows 8.
Vratite izgled direktorija i pristup mapama
Nakon što su flash pogon i računalo očišćeni od virusa, morate vratiti normalan izgled mapa i datoteka na flash disku. Ovisno o modifikaciji virusa (i mašti „programera“), izvornim mapama mogu se dodijeliti atributi sustava „skriveni“ i „sustav“, ili se mogu prenijeti u određenu skrivenu mapu posebno stvorenu od virusa. Samo ne možete ukloniti te atribute, pa morate upotrijebiti naredbe za resetiranje atributa kroz naredbeni redak. To se također može učiniti ručno ili pomoću batch datoteke. Tada se mogu izbrisati preostali prečaci do mapa - ne trebaju nam
Ručni način vraćanja atributa skrivenih mapa na USB flash pogon
- Otvorite naredbeni redak s povlasticama administratora
- U crni prozor koji se pojavi unesite naredbu nakon što upišete svaki pritisak Enter
cd / d f: \
, gdjef: \
- Ovo je slovo pogona dodijeljeno USB flash pogonu (može se razlikovati ovisno o slučaju)attrib -s -h / d / s
, naredba resetira atribute S ("System"), H ("Hidden") za sve datoteke i mape u trenutnoj mapi i u svim podmapama..
Kao rezultat toga, svi podaci na pogonu postaju vidljivi..
Skripta za automatsko uklanjanje atributa skrivanja iz izvornih mapa i datoteka
Možete koristiti gotove skripte koje izvode sve operacije za automatsko vraćanje atributa datoteke.
S ove web lokacije preuzmite datoteku clear_attrib.bat (263 bajta) (izravna veza) i pokrenite je s administratorskim pravima. Datoteka sadrži sljedeći kod:
: lbl
CLS
set / p disk_flash = "Unesite flash pogon:"
cd / D% disk_flash%:
ako je% errorlevel% == 1 gobl
CLS
cd / D% disk_flash%:
del * .lnk / q / f
attrib -s -h -r autorun. *
del autorun. * / F
attrib -h -r -s -a / D / S
rd RECYCLER / q / s
Explor.exe% disk_flash%:
Kada pokrenete program traži od vas da navedete naziv flash pogona (na primjer, F:), a zatim briše sve prečace, datoteke automatskog pokretanja. *, uklanja atribute skrivanja iz direktorija, briše mapu virusa RECYCLER i na kraju prikazuje sadržaj USB flash pogona u Exploreru.
Nadam se da je ovaj post koristan. Ako naiđete na druge modifikacije virusa koji mape na USB fleš pogonu pretvaraju u prečace - opišite simptome u komentarima, pokušajte zajedno riješiti problem!