Флешка відкривається як ярлик windows 10. Вірус створює ярлик флешки на флешці

  1. Флешка відкривається як ярлик windows 10. Вірус створює ярлик флешки на флешці На роботі закрався в комп'ютери цікавий вірус. Він створює ярлик флешки на самій флешці і коли людина підключає таку флешку, то думає що це нешкідливий глюк і запускає ярлик. А ярлик в свою чергу виконує шкідливий код, записаний у властивостях, а потім тільки відкриває користувачу папку з файлами. антивірусні програми виявилися безсилими, вирішив самостійно спробувати усунути цю біду. Вірус поширюється тільки через USB флеш накопичувачі Отже, якщо зайти в Google із запитом Вірус створює ярлик флешки на флешці ми побачимо спеціальні гілки на форумах (приклад теми на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html )), де люди просять видалити цю дурницю. Для усунення вірусу, що створює ярлик флешки на флешці, потрібно відправити звіти сканування комп'ютера, потім виконати рекомендації гуру і все. А що робити якщо зараженим виявився весь парк комп'ютерної техніки ? Дуже накладно буде відправити звіт по кожному ПК, тому що не всі співробітники зможуть це зробити. Та й перелічити флешки всім без винятку теж гамірно за часом. Як варіант, вирішив спробувати самостійно вивчити цей вірус. Для цього встановити віртуальний Windows в VirtualBox, заразив його інфікованої флешкою. Зараз займаюся пошуком універсального і простого способу очистити комп'ютери від вірусу, що створює ярлик флешки на флешці, а також захистити систему від інфікованих usb носіїв. Міркування щодо захисту
  2. Коли приносять флешку з ярликом в корені, потрібно
  3. Лікування вірусу від читача (Спосіб не працює. Ред. Від 02.10.2015)
  4. Що робити, якщо папки перетворилися в ярлики? Покрокова інструкція.
  5. Видаляємо вірус з автозавантаження
  6. Чому такі віруси рідко помічають антивіруси?

Флешка відкривається як ярлик windows 10. Вірус створює ярлик флешки на флешці

На роботі закрався в комп'ютери цікавий вірус. Він створює ярлик флешки на самій флешці і коли людина підключає таку флешку, то думає що це нешкідливий глюк і запускає ярлик. А ярлик в свою чергу виконує шкідливий код, записаний у властивостях, а потім тільки відкриває користувачу папку з файлами. антивірусні програми виявилися безсилими, вирішив самостійно спробувати усунути цю біду.

Вірус поширюється тільки через USB флеш накопичувачі Отже, якщо зайти в Google із запитом Вірус створює ярлик флешки на флешці ми побачимо спеціальні гілки на форумах (приклад теми на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html )), де люди просять видалити цю дурницю. Для усунення вірусу, що створює ярлик флешки на флешці, потрібно відправити звіти сканування комп'ютера, потім виконати рекомендації гуру і все. А що робити якщо зараженим виявився весь парк комп'ютерної техніки ? Дуже накладно буде відправити звіт по кожному ПК, тому що не всі співробітники зможуть це зробити. Та й перелічити флешки всім без винятку теж гамірно за часом. Як варіант, вирішив спробувати самостійно вивчити цей вірус. Для цього встановити віртуальний Windows в VirtualBox, заразив його інфікованої флешкою. Зараз займаюся пошуком універсального і простого способу очистити комп'ютери від вірусу, що створює ярлик флешки на флешці, а також захистити систему від інфікованих usb носіїв.

Міркування щодо захисту

Відкрити вміст флешки в обхід запуску шкідливого ярлика

Як я говорив раніше, вірус поширюється тільки через usb-пристрої шляхом запуску виконуваного коду з властивостей ярлика. Для того, щоб відкрити всі заховані файли можна використовувати наступний скрипт: attrib "*" -s -h -a -r / s / d Зберігаємо його як run.bat і тримаємо під рукою. Відключити автозапуск USB пристроїв Щоб відключити автозапуск USB-флешки і CD-диска, необхідно правити реєстр 1. «Пуск» - «Виконати» і пишемо «regedit»; 2. відкриваємо шлях HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies 3. Заходимо в розділ Explorer, а якщо його немає - створюємо новий розділ і перейменовуємо в «Explorer» 4. У розділі «Explorer» створюємо ключ NoDriveTypeAutoRun і вводимо значення ключа 0x4 для відключення автозапуску всіх знімних пристроїв.

Коли приносять флешку з ярликом в корені, потрібно

  1. скопіювати run.bat в корінь флешки і запустити;
  2. після чого нам відкриються багато невидимі файли, в тому числі і папка з порожнім ім'ям, куди вірус завантажив всі файли;
  3. відкриваємо безкоштовну утиліту від майкрософт Process Explorer і знаходимо через CTRL + F посилання на autorun, завершуємо цей процес;
  4. тепер залишилося видалити з кореня всі файли, крім цієї папки.
  5. заходимо в папку і переміщаємо її вміст на рівень вище, тобто в корінь флешки.

Ось поки і все, що у мене є. Сподіваюся скоро порадувати свіжою інформацією

Лікування вірусу від читача (Спосіб не працює. Ред. Від 02.10.2015)

Допомогла програма UsbFix (ССИЛКА_УДАЛЕНА) Завантажуйте останню версію і натискайте нещадну «Clean». Обережно, вичищає все непотрібне з автозавантаження. Щире вам дякую! Думаю інформація буде актуальна для відвідувачів! Прим. вiд 02 жовтня 2015 року: посилання на програму видалив. Зараз там не можна її скачати, а йде вічне перенаправлення з одного сайту на інший. До речі, у нас цей вірус якось поступово і помер. Все перекопіювати собі скрипт, що писав вище для перевірки флешки, кожен раз їх чистили і перевіряли. А у людей, які вічно приносити заражені пристрої - відмовилися їх брати. І так перемогли цю заразу.

Ситуація виглядає так: на флешці були папки, але вони дивним чином перетворилися в ярлики, тобто в файли з розширенням lnk. При спробі відкрити такий файл з'являється повідомлення:


При спробі відкрити такий файл з'являється повідомлення:

В даному випадку «Q» - це ім'я знімного диска (флешки), у вас воно може бути інше. Ярлик направляє нас в папку з виконуваним файлом (розширення exe), які є вірусом.

Що саме сталося: в результаті дії вірусу, всіх папок були привласнені атрибути «системний» і «прихований», тобто вони залишилися на флешці, але ми їх не можемо побачити використовуючи графічний інтерфейс Windows. Замість папок з'явилися ярлики з назвами провідними на файл з вірусом.

Що робити, якщо папки перетворилися в ярлики? Покрокова інструкція.

В Інтернеті мені попався варіант вирішення проблеми шляхом зміни атрибутів папок (по суті справи папка - це файл) за допомогою командного рядка. Для тих користувачів, які не дружать з командним рядком , пропоную альтернативний спосіб - скористався для цих цілей файловим менеджером FAR Manager. Цей менеджер завжди зручно мати під рукою і ми його вже використовували при редагуванні файлу hosts (Відео Не можу зайти в однокласники. Рішення проблеми).

Крок 1. Перевіряємо флешку на наявність вірусів. Я перевіряв за допомогою антивіруса AVAST 4.8 Professionl. Всі «ліві» ярлики від видалив, повідомивши, що це троян LNK.

Всі «ліві» ярлики від видалив, повідомивши, що це троян LNK

Avast видалив все «ліві» ярлики

Якщо ваш антивірус залишити ярлики папок на місці - видаліть їх самостійно, вони не потрібні.

Крок 2. Завантажуємо FAR Manager, розпаковуємо архів і запускаємо файл Far.exe;

Крок 3. Переходимо на знімний диск (флешку). Для вибору диска скористайтеся клавішами Alt + F1;

всі приховані системні файли (Ліва панель) виділені темно-синім кольором - це і є наші «зниклі» папки.


всі приховані   системні файли   (Ліва панель) виділені темно-синім кольором - це і є наші «зниклі» папки

Всі приховані системні файли (ліва панель) виділені темно-синім кольором - це і є наші «втрачені» папки

Крок 4. Щоб не міняти атрибути у кожної папки окремо, кажіть їх все відразу: виділіть спершу перший файл зі списку, а потім натисніть клавішу Insert на клавіатурі і тримайте до тих пір, поки не виділяться імена всіх цікавлять нас файлів жовтим кольором.


Виділення групи файлів в FAR Manager

Крок 5. Натисніть на клавіатурі клавішу F4 (або кнопку Edit в FAR). У меню, приберіть знаки (знак питання, хрестик) у пунктах:


Якщо ви все зробили правильно, колір імен файлів зміниться з темно-синього на білий.


Після зміни атрибутів, колір імен папок став білим

Тепер можна зайти на флешку з під Windows і переконатися, що все відображається без проблем.


Тепер можна зайти на флешку з під Windows і переконатися, що все відображається без проблем

Після зміни атрибутів, всі папки стали знову доступні

раджу тримати файловий менеджер FAR Manager завжди під рукою, так він дозволить, в разі необхідності, обійти обмеження Windows на зміну файлів.

Як ви розумієте, за допомогою FAR Manager можна виконати і зворотну процедуру, тобто приховати свої файли на флешці від недосвідчених користувачів.

На закінчення хочу сказати спасибі програмісту Євгену Рошалю, який створив FAR Manager і добре всім відомий архіватори RAR і WinRAR.

Євген Мухутдінов

Перша група будьте уважні в майбутньому. Чи не розкидайте флешку направо і наліво. На даний момент Ваш комп'ютер чистий від вірусу, тому читання решти матеріалу для Вас необов'язково. Друга група - читаємо далі, якщо хочемо видалити вірус, який перетворив вміст флешки в ярлики.

Видалення вірусу буде складатися з двох напрямків атаки:

  • Видалення вірусу з комп'ютера.
  • Видалення вірусу з флешки.

Один з цих вірусів активний, інший немає. Для початку розберемося з активним, тому що він постійно буде встромляти палиці в колеса. Можете почитати мою статтю про те, як видалити віруси, там досить доступно пояснюється процес видалення вірусів, який можна і потрібно застосовувати в даному випадку. Так само, Ви можете пошукати вірус у вкладці Процеси вікна Диспетчер завдань. процес даного вірусу носить досить незрозуміле назва. У ній немає логіки, це проста абракадабра. Можете дізнатися місце розташування даного файлу . Далі так само є два способи дії:

  • Ви впевнені в тому, що це вірус. В такому випадку зупиніть даний процес і видаліть вірус.
  • Ви не впевнені в тому, що це вірус. В такому випадку зупиніть процес.

Далі флешку, вміст якого перетворилося в одні ярлики, необхідно почистити способом, який обговорювався вище. І ще раз прошу, не чіпайте жоден ярлик, інакше вся операція піде нанівець. Після цього вийміть і заново підключіть флешку. Якщо Ви не бачите в ній ярликів і все начебто чітко, значить Ви зробили все правильно.

Видаляємо вірус з автозавантаження

Але розслаблятися рано. Ті, хто просто зупинив процес, повинні перейти в папку, де знаходиться вірус і видалити його. Так само потрібно зачистити автозагрузку. Як це потрібно зробити можна дізнатися з тієї ж статті про те, як видалити вірус. Почистити автозагрузку комп'ютера необхідно і для першої, і для другої групи.

Проробивши це, я зазвичай перезавантажувати комп'ютер. Потім знову перевіряв флешку - чи з'являться ярлики чи ні. Рекомендую Вам чинити так само.

Чому такі віруси рідко помічають антивіруси?

Багато, побачивши такі ярлики, намагаються просканувати комп'ютер і флешку за допомогою антивірусу. Але, в основному, це безрезультатно. Чому? Тому що тіло вірусу, який перетворює папки в ярлики - це звичайний bat-файл, який містить в собі команди, які користувач може виконати як в графічному інтерфейсі, так і в консолі. А антивірус не повинен заважати користувачеві працювати. І bat-віруси як раз-таки і підпадають під це правило. Визначити що всередині bat-файлу - небажаний код або нешкідливі команди - досить важко. Переконатися в цьому можна на власному досвіді, якщо спробувати створити звичайний bat-вірус.

Якщо Ви постраждали від даного вірусу і хочете, щоб ніяку більше флеш-карту можна було б підключити до комп'ютера, можна