A flash meghajtó mappái hivatkozásokká válnak

Tegnap, a kurzusokon, vírust fogtam fel egy USB flash meghajtón, amelyet az antivírus azonnal észlelt és eltávolított az otthoni számítógépemen. Ennek azonban kiderült a flash meghajtó összes mappája hivatkozásokká vált. Néhány évvel ezelőtt már találkoztam egy ilyen problémával, tehát ismerem az első szabályt, amely megakadályozza a számítógép fertőzését: semmiképpen ne próbálja meg megnyitni a mappákhoz hivatkozásokat! (még akkor is, ha a flash meghajtó adatai felbecsülhetetlenek, és azonnal meg akarja győződni arról, hogy sehol sem vesznek el). Miért nem nyitja meg ezeket a hivatkozásokat? A vírus alkotói egy ilyen trükköt követtek el: két parancsot regisztrálnak ezeknek a parancsikonoknak a tulajdonságai:

  1. Az első elindítja és telepíti a vírust a számítógépére
  2. A második megnyitja az érdekli a mappát.

Ie az a felhasználó, akinek a számítógépébe nincs telepítve víruskereső, anélkül, hogy figyelmet fordított volna arra, hogy a flash meghajtón minden könyvtár hivatkozásként jelenik meg, egyszerűen nem tudja, hogy a flash meghajtó fertőzött, mert a flash meghajtó összes mappája megnyílik, és a benne található információk a helyükön vannak. Az ilyen vírus bizonyos módosításainál a mappák akkor is megállnak, ha a parancsikonra kattintanak. Mindenesetre ne essen pánikba, ne siess az USB flash meghajtó formázásához, és figyelmesen olvassa el az alábbi utasításokat. Tudja meg, hogy a katalógusok nem mentek el, mivel a flash meghajtón voltak, és így vannak. A vírus csak elrejtette az USB flash meghajtó összes mappáját, azaz nekik voltak a megfelelő attribútumok (rejtett + archivált). Feladatunk: a vírus megsemmisítése és ezeknek a tulajdonságoknak a eltávolítása.

Tehát az alábbiakban leírást adok arról, hogy mit kell tenni, ha a vaku mappái hivatkozásokká válnak

Tartalom:

  • Törölje a vírusok által végrehajtható fájlokat az USB flash meghajtón
  • A rendszer vírusindítási parancsok ellenőrzése
  • Állítsa vissza a könyvtárak kinézetét és a mappákhoz való hozzáférést
  • A rejtett mappaattribútumok manuális helyreállítása az USB flash meghajtón
  • Szkript a rejtett attribútumok automatikus eltávolítására a forrásmappákból és fájlokból

Törölje a vírusok által végrehajtható fájlokat az USB flash meghajtón

Az első lépés a vírus végrehajtható fájljaitól való megszabadulás. Ezt bármilyen víruskereső használatával meg lehet tenni (nagyon sok ingyenes vagy hordozható verzió van, például a Dr.Web CureIt vagy a Kaspersky Virus eltávolító eszköz), ha nem található meg, megpróbálhatja manuálisan megkeresni és semlegesíteni a vírust. Hogyan lehet megtalálni az USB flash meghajtót megfertőző vírusfájlokat?

  1. A Windows Intézőben engedélyezze a rejtett és a rendszerfájlok megjelenítését.
    • az Windows XP: Start-> Sajátgép-> Eszközök menü-> Mappabeállítások-> Nézet fül. Rajta, törölje a "Védett rendszerfájlok elrejtése (ajánlott)"és"Rejtett fájlok és mappák megjelenítése".
    • az Windows 7 az elérési út kissé különbözik: Start-> Vezérlőpult-> Megjelenés és testreszabás-> Mappa beállítások-> Nézet fül. A paraméterek azonosak..
    • mert Windows 8/10 az utasítás a Windows 8 rejtett mappák megjelenítése című cikkben található.
  2. Nyissa meg a flash meghajtó tartalmát, és rajta rengeteg hivatkozás jelenik meg a mappákban (vigyázzon a mappaikonokon található parancsikonra). Most meg kell nyitnia a mappához tartozó hivatkozások tulajdonságait (RMB -> Tulajdonságok). Valami így néz ki: Érdekelnek a Célmező (Objektum) értékei. A benne jelzett sor meglehetősen hosszú, és így néz ki:
    % windir% \ system32 \ cmd.exe / c "start% cd% RECYCLER \ e3180321.exe &&% windir% \ explorer.exe% cd% backup

Ebben a példában a RECYCLER \ e3180321.exe ugyanaz a vírus. Ie Az e3180321.exe nevű vírusfájl a RECYCLER mappában található. Töröljük ezt a fájlt, vagy törölheti a teljes mappát is (azt javasoljuk, hogy ellenőrizze ennek a mappának a jelenlétét a leginkább fertőzött flash meghajtón és a C: \ windows, C: \ Windows \ system32 rendszerkönyvtárakban és az aktuális felhasználó profiljában (ezekről bővebben lásd alább))..

Azt is javaslom, hogy nézd meg a vírus végrehajtható fájljait a következő könyvtárakban:

  • -ban Windows 7, 8 és 10 - C: \ felhasználók \ felhasználónév \ appdata \ roaming \
  • -ban Windows XP - C: \ Dokumentumok és beállítások \ felhasználónév \ Helyi beállítások \ Alkalmazási adatok \

Ha ezek a könyvtárak a ".exe", akkor valószínűleg ez a vírus végrehajtható fájlja, és törölhető (a nem fertőzött számítógép könyvtárában nem szabad .exe fájlok lennie).

Egyes esetekben az antivírusok nem észlelik ezeket a vírusokat, például létrehozhatók .bat / .cmd / .vbs szkript fájlok formájában, amelyek elvileg semmilyen romboló műveletet nem hajtanak végre a számítógépen. Javasoljuk, hogy manuálisan ellenőrizze az USB flash meghajtót, hogy vannak-e ilyen engedélyekkel rendelkező fájlok (kóduk bármilyen szövegszerkesztővel megnézhető).

A parancsikonra kattintás nem veszélyes!

A rendszer vírusindítási parancsok ellenőrzése

Egyes esetekben a vírusok regisztrálják magukat az autorun rendszerben. Kézzel ellenőrizze a következő regisztrációs ágakat (regedit.exe) gyanús bejegyzések szempontjából:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run - ezek a programok akkor indulnak el, amikor a számítógép elindul
  • HKEY_AKTUÁLIS_USER\szoftver\Microsoft\A windows\CurrentVersion\futás - olyan programok, amelyek automatikusan elindulnak, amikor az aktuális felhasználó bejelentkezik

Töröljön minden gyanús bejegyzést és ismeretlen programot (nem csinál semmi rosszat, és még ha kikapcsolja egy szükséges program indítását is, manuálisan is elindíthatja, miután belépett a rendszerbe).

A programok automatikus elindításának más módjait a rendszer az Autostart programok kezelése a Windows 8-ban című cikkben írja le.

Állítsa vissza a könyvtárak kinézetét és a mappákhoz való hozzáférést

Miután a flash meghajtót és a számítógépet megtisztították a vírusoktól, vissza kell állítania a mappák és fájlok normál megjelenését a flash meghajtón. A vírus módosulásától (és a „fejlesztők” képzeletétől függően) a „rejtett” és a „rendszer” rendszermappák hozzárendelhetők az eredeti mappákhoz, vagy átvihetők egy bizonyos rejtett mappába, amelyet a vírus kifejezetten létrehozott. Csak azt, hogy ezeket az attribútumokat nem lehet eltávolítani, ezért az attribútum visszaállítása parancsokat kell használni a parancssoron keresztül. Ez manuálisan vagy kötegelt fájl használatával is megtehető. Ezután a mappák fennmaradó parancsikonjai törölhetők - nincs rá szükség

A rejtett mappaattribútumok manuális helyreállítása az USB flash meghajtón

  1. Nyissa meg a parancssort a rendszergazdai jogosultságokkal
  2. A megjelenő fekete ablakban minden egyes gépelés után írja be a parancsot
    cd / d f: \
    , ahol f: \ - Ez az USB flash meghajtóhoz rendelt meghajtó betűjele (az adott esetben változhat)
    attrib -s -h / d / s
    , a parancs visszaállítja az S (“Rendszer”), H (“Rejtett”) attribútumokat az aktuális könyvtár összes fájljára és mappájára, valamint az összes almappába.

Ennek eredményeként a meghajtón lévő összes adat láthatóvá válik..

Szkript a rejtett attribútumok automatikus eltávolítására a forrásmappákból és fájlokból

Használhat kész szkripteket, amelyek az összes műveletet elvégzik a fájlattribútumok automatikus visszaállításához.

Ebből a webhelyről töltse le a clear_attrib.bat fájlt (263 byte) (közvetlen link), és futtassa rendszergazdai jogokkal. A fájl a következő kódot tartalmazza:

: lbl
CLS
set / p disk_flash = "Írja be a flash meghajtót:"
cd / D% disk_flash%:
ha% errorlevel% == 1 goto lbl
CLS
cd / D% disk_flash%:
del * .lnk / q / f
attrib -s -h -r autorun. *
del autorun. * / F
attrib -h -r -s -a / D / S
második RECYCLER / q / s
explorer.exe% disk_flash%:

A program indításakor a program kéri, hogy adja meg a flash meghajtó nevét (például, F:), majd törli az összes hivatkozást, az automatikus futtatású * fájlokat, eltávolítja a rejtett attribútumokat a könyvtárakból, törli a RECYCLER vírus mappát, és végül megmutatja az USB flash meghajtó tartalmát az Explorerben.

Remélem, hogy ez a bejegyzés hasznos. Ha olyan vírus olyan módosításait tapasztalja, amelyek az USB flash meghajtón lévő mappákat hivatkozásokká változtatják - írja le a megjegyzésekben a tüneteket, próbálja meg együtt kezelni a problémát!

Kategória