Флешка вирус

Содержание

Как удалить вирус, создающий ярлыки файлов и папок на флешке, карте памяти или USB диске

Флешка вирус

Читайте, как удалить вирус преобразующий файлы и папки в ярлыки. Как восстановить данные, которые утеряны в результате деятельности такого вируса.

Ваши файлы и папки на USB флешке или карте памяти стали ярлыками? USB флешка или карта памяти после подключения к компьютеру отображается как ярлык? Ищете как восстановить данные и удалить вирус, преобразовывающий файлы и папки в ярлыки? Вы используете антивирус, но компьютер все равно был инфицирован? К сожалению не все антивирусы могут защитить вас такого заражения.

Однако в отличие от вирусов шифровальщиков, этот тип вирусов достаточно безобидный и вы легко сможете восстановить данные и удалить сам вирус.

Разновидности вирусов ярлыков

На сегодня наиболее распространены 2 типа вирусов, создающих ярлыки: первые создают ярлыки вместо файлов и папок на флешке или карте памяти, другие создают ярлыки съемных дисков вместо самих флешек, внешних USB дисков и карт памяти.

Названия наиболее распространенных вирусов:

  • Bundpil.Shortcu;
  • Mal/Bundpil-LNK;
  • Ramnit.CPL;
  • Serviks.Shortcut;
  • Troj/Agent-NXIMal/FakeAV-BW;
  • Trojan.Generic.7206697 (B);
  • Trojan.VBS.TTE (B);
  • Trojan.VBS.TTE;
  • VBS.Agent-35;
  • VBS.Serviks;
  • VBS/Autorun.EY worm;
  • VBS/Autorun.worm.k virus;
  • VBS/Canteix.AK;
  • VBS/Worm.BH;
  • W32.Exploit.CVE-2010_2568-1;
  • W32.Trojan.Starter-2;
  • W32/Sality.AB.2;
  • Win32/Ramnit.A virus;
  • Worm:VBS/Cantix.A;

Вирус, преобразующий файлы и папки в ярлыки

Этот вирус дублирует ваши файлы и папки, затем прячет и заменяет их. Вирус представляет комбинацию вирусов трояна и червя.

Опасность заключается в том, что вы запускаете вирус каждый раз, когда хотите открыть ваш файл или папку.

После запуска вирус распространяет себя заражая все большее количество файлов и часто устанавливает дополнительно вредоносное ПО которое может украсть данные о паролях и кредитных картах, сохраненных у вас на компьютере.

Вирус, преобразующий флешки и карты памяти в ярлыки

Это чистокровный троянский вирус, который скрывает любые съемные устройства, подключенные к компьютеру и заменяет их ярлыками этих устройств. Каждый раз кликая по ярлыку вы снова запускаете вирус, который ищет на вашем компьютере финансовую информацию и отправляет ее мошенникам, создавшим вирус.

Что делать в случае заражения

К сожалению не все антивирусы могут вовремя обнаружить опасность и защитить вас от инфицирования.

Поэтому наилучшей защитой будет не использовать автоматический запуск съемных устройств и не кликать по ярлыкам файлов, папок или дисков. Будьте внимательны и не кликайте по ярлыкам, которые вы не создавали сами.

Вместо двойного клика для открытия диска, кликните по нему правой кнопкой мышки и выберите Развернуть в Проводнике.

Восстановление данных удаленных вирусом

Для надежного восстановления данных удаленных таким типом вирусов используйте Hetman Partition Recovery. Поскольку программа использует низкоуровневые функции по работе с диском, она обойдет вирусную блокировку и прочитает все ваши файлы.

Загрузите и установите программу, затем проанализируйте зараженную флешку или карту памяти. Проведите восстановление информации до очистки носителя от вируса. Наиболее надежным вариантом лечения будет очистка флешки с помощью команды DiskPart, это удалит всю информацию на ней.

Удаление вируса с карты памяти или USB флешки

После восстановления данных с флешки вы можете её полностью очистить с помощью утилиты DiskPart. Удаление всех файлов и форматирование устройства может оставить вирус, который спрячется в загрузочном секторе, таблице разделов или на неразмеченной области диска. Как правильно очистить флешку смотрите в видео.

Удаление вируса с флешки с помощью командной строки

Данный способ не позволяет гарантированно очистить флешку от всех видов вирусов, но сможет удалить вирус, который создает ярлыки вместо файлов. Вам не нужно будет скачивать и устанавливать сторонние утилиты, удаление производится с помощью встроенного в любую версию Windows инструмента.

  • Кликните правой кнопкой мышки по меню Пуск и запустите командную строку от имени администратора.
  • Введите команду f: и нажмите Enter (где f – это буква флешки зараженной вирусом).
  • Введите команду: attrib f:*.* /d /s -h -r –s и нажмите Enter:
  • –h: показывает все скрытые файлы на флешке;
  • –r: убирает параметр только для чтения;
  • –s: убирает параметр системный со всех файлов.

Удаление вируса с компьютера

Наиболее простым и надежным способом очистки компьютера от вируса будет полная переустановка Windows с удалением системного раздела.

Но если вы являетесь опытным пользователем, вы можете опробовать следующий способ:

Отключите запуск вируса при старте Windows в реестре. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Перейдите к ключу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.

Просмотрите все ключи, которые находятся в этом разделе. Если вы видите необычное название или расположение программы – удалите запись. Часто вирусы прячутся под автоматически сгенерированными названиями, например – sfdWQD234dcfF.

Любые ключи, которые запускают VBS, INI, LINK или EXE файлы потенциально опасны. Однако только вы знаете какие программы установлены на компьютере и должны загружаться при старте Windows, поэтому вы должны сами принять решение об удалении того или иного ключа.

Для удаления выделите ключ левой кнопкой мышки и удалите его кнопкой Del.

Отключите запуск вируса через службы Windows. Нажмите клавиши Win + R, в появившемся окне введите msconfig и нажмите Enter. В открывшемся окне перейдите на вкладку Службы. Просмотрите их и отключите все подозрительные.

Отключите приложения, запускаемые автоматически через диспетчер задач (для Windows 8и старше). Нажмите Ctrl + Shift + Escи перейдите на вкладку Автозагрузка. Для отключения подозрительного приложения по нему нужно кликнуть правой кнопкой мышки и выбрать Отключить.

Источник: https://hetmanrecovery.com/ru/recovery_news/how-to-remove-virus-creating-shortcuts-to-files-and-folders.htm.

Источник: https://zen.yandex.ru/media/hetmansoftware/kak-udalit-virus-sozdaiuscii-iarlyki-failov-i-papok-na-fleshke-karte-pamiati-ili-usb-diske--5be15beff7a35000aa01d6f1

Проникновение через USB

Флешка вирус

Как правило, большинство пентестов проводятся по довольно простой схеме. Сначала при помощи социальной инженерии обеспечивается доступ к целевой среде или ее отдельному звену, а затем производится ее заражение техническими средствами.

Вариации проведения атаки могут быть разными, однако обычно классический пентест — это сплав технической части и социальной инженерии в самых различных пропорциях. Недостаток классического пентеста заключается в том, что надо «нащупать» того самого сотрудника и после этого переходить к следующему этапу.

Если бы можно было автоматизировать процесс поиска слабого звена и его дальнейшую эксплуатацию, то это могло бы ускорить процесс пентестинга и значительно повысить конечные шансы на успех.

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Согласно известной статистике, приведенной антивирусными компаниями, около 30% пользователей не пользуются антивирусами, попросту отключают их или не обновляют базы.

Отталкиваясь от этого, можно утверждать, что в любой среднестатистической компании найдется определенная группа людей, которая очень пренебрежительно относится к информационной безопасности, и, в свою очередь, именно этих людей целесообразно использовать для проведения атаки.

Кроме того, любая функционирующая система может быть подвержена влиянию целого ряда случайных факторов, которые также могут временно парализовать систему безопасности:

  • слетели настройки прокси-сервера, из-за чего антивирусные базы не были обновлены;
  • закончился срок лицензии антивируса, а о ее продлении руководство вовремя не позаботилось;
  • сбой работы сети сделал невозможным удаленную распечатку файлов, из-за чего все сотрудники были вынуждены скопировать документы на флешку и распечатать их в другом отделе.

Достаточно только включить воображение, и можно добавить еще десяток вариантов развития событий.

Резюмируя сказанное, можно утверждать, что в любой среднестатистической организации есть потенциально ненадежные сотрудники и иногда возникают обстоятельства, которые могут нарушить привычную работу и парализовать защиту. Поэтому если ударить в нужном месте в нужное время, то атака будет успешна.

Процентное соотношения компьютеров на наличие real-time защитыДругие статьи в выпуске:

  • выпуска
  • Подписка на «Хакер»

На деле задача сводится к следующему: определить, что в данный момент произошло одно из случайных событий, которое привело к снижению безопасности, а после этого воспользоваться данной ситуацией в качестве маскировки и незаметно осуществить атаку.

Фактически задача сводится к тому, чтобы найти человека, который забивает на безопасность, и почему бы не использовать для этого флешки?

Многие вирусописатели очень полюбили флеш-носители, так как они позволяют легко и быстро заражать компьютеры и даже самый элементарный USB-вирус имеет неплохие шансы на успех. Бум autorun-вирусов, который пришелся на 2008 год, спустя пять лет не сбавляет оборотов, более того, USB-вирусы стали еще наглее и порой даже не скрывают своего присутствия.

И в то же время зараженная флешка — это универсальный индикатор грамотности ее владельца в вопросе элементарной ИБ. К примеру, если собрать десять флешек у различных людей, то наверняка у троих-четверых из них будут на флешках вирусы. Если спустя неделю повторно взять у этих людей флешки, то у двоих-троих вирусы останутся.

Исходя из этого, можно утверждать, что на компьютерах, с которыми работают с данной флешки, не стоит даже самая элементарная защита или она по каким-то причинам отключена или не работает вовсе.

Таким образом, даже если распространять самый заурядный вирус, который успешно детектится всеми антивирусами, только среди данной группы людей, то он сможет заразить большое количество компьютеров, прежде чем будет обнаружен. А раз эти компьютеры не имеют защиты, то также он долго сможет оставаться работоспособным.

Подверженность компьютерным угрозам исходя из наличия real-time защиты

Реализация

На определенный компьютер, к которому периодически подключают флешки, устанавливаем специальную программу, работающую по следующему алгоритму. При подключении очередной флешки программа пытается определить, заражена ли она. Так как нельзя учесть все многообразие USB-вирусов, то имеет смысл использовать эвристический подход определения заражения на основе следующих критериев:

  • наличие файла autorun.inf;
  • атрибуты файлов RHS;
  • малый размер подозрительного файла;
  • файловая система не NTFS;
  • отсутствие папки c именем autorun.inf;
  • наличие файлов ярлыков.

Если данная флешка заражена, то программа записывает ее в базу с указанием серийного номера и хеша подозрительного файла.

Если спустя несколько дней флешка повторно подключается к этому компьютеру (а такое происходит почти всегда) и на ней все так же остаются подозрительные файлы, то производится ее заражение нашим «вирусом»; если же подозрительного файла не осталось, то программа удаляет из базы серийный номер этой флешки.

Когда же заражается новый компьютер, вирус запоминает серийный номер материнской флешки и никогда ее не заражает и не анализирует, чтобы спустя время не выдать себя, если владелец флешки «поумнеет».

Для получения серийного номера напишем следующую функцию на основе API GetVolumeInformation:

String GetFlashSerial(AnsiString DriveLetter){ DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo[MAX_PATH]; DWORD VolumeSerialNumber; GetVolumeInformation( AnsiString(DriveLetter + “:\\”).c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, NULL, 0); String S; return S.sprintf(“%X”, VolumeSerialNumber);}

Надо отметить, что функция GetFlashSerial получает не статичный уникальный кодификатор устройства, а лишь серийный номер тома.

Этот номер задается случайным числом и, как правило, меняется каждый раз при форматировании устройства.

В наших же целях достаточно только серийного номера флешки, так как задача жесткой привязки не стоит, а форматирование подразумевает полное уничтожение информации, фактически приравнивая отформатированную флешку к новой.

Теперь приступим к реализации самой эвристики.

bool IsItABadFlash(AnsiString DriveLetter){ DWORD NotUsed; char drive_fat[30]; DWORD VolumeFlags; char VolumeInfo[MAX_PATH]; DWORD VolumeSerialNumber; GetVolumeInformation( AnsiString(DriveLetter + “:\\”).c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false; if ((String(drive_fat)!=”NTFS”) && (FileExists(DriveLetter + “:\\autorun.inf”))) { DWORD dwAttrs; dwAttrs = GetFileAttributes(AnsiString(DriveLetter + “:\ \autorun.inf”).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE_READONLY)) { badflash = true; } } if (!badflash) { TSearchRec sr; FindFirst(DriveLetter+”:\\*.lnk”, faAnyFile, sr); int filep=sr.Name.LastDelimiter(“.”); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+”:\\”+filebez)) { DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+”:\\”+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) { badflash = true; } }} return badflash;}

Алгоритм эвристической функции достаточно прост. Сначала мы отсеиваем все устройства с файловой системой NTFS и те, которые не содержат файл autorun.inf.

Как правило, все флешки по умолчанию идут с файловой системой FAT32 (реже FAT и еще реже exFAT), однако иногда системные администраторы или другие сотрудники IT-отдела форматируют их в систему NTFS для своих нужд. «Умники» нам не нужны, их мы сразу исключаем. Следующим этапом проверяем файл autorun.inf на атрибуты «скрытый» и «системный».

Файл autorun.inf может принадлежать и совершенно законной программе, но если в нем присутствуют данные атрибуты, то можно с очень большой вероятностью утверждать, что флешка заражена вирусом.

Сейчас многие вирусописатели стали реже использовать файл autorun.inf для заражения машин.

Причин сразу несколько: во-первых, почти все антивирусы или пользователи отключают опцию автозапуска; во-вторых, на компьютере может быть несколько вирусов, использующих одинаковый способ распространения, и каждый из них перезаписывает файл на свой лад.

Поэтому все чаще начал использоваться способ заражения через создание ярлыков и скрытие оригинальных папок. Чтобы не оставить и эти флешки без внимания, мы проверяем наличие файла ярлыка и наличие папки с таким же именем в корне тома. Если при этом папка также имеет атрибуты «скрытый» и «системный», то помечаем эту флешку как зараженную.

Конечно, эвристика имеет свои погрешности и нюансы, поэтому есть смысл ее тщательно проработать к конкретной задаче, однако в нашем случае можно со 100%-й вероятностью утверждать ее корректность.

Если с эвристическим анализом флешки все в целом ясно, то с «заражением» возможны нюансы. Например, можно попросту перезаписать старый вирус нашим без каких-либо поправок в файл autorun.inf, файлы, ярлыки и прочее.

Таким образом, наш «вирус» получит управление на новом компьютере, но предварительно лучше также сделать старую копию вируса и сохранить в том же каталоге с чуть отличающимся именем.

Если по каким-то причинам на другом компьютере будет работать антивирус, то он обнаружит старый вирус, удалит его, выдаст пользователю предупреждение об успешном уничтожении угрозы — и тем самым обеспечит ложное чувство безопасности у пользователя, а наш «вирус» останется незамеченным.

Кроме этого, в декабрьском выпуске «Хакера» мы также писали об уязвимостях DLL hijacking в различном ПО и о его эффективном применении.

Поэтому если предполагается, что на флешках могут находиться такие программы, как менеджеры паролей или портативные версии различного ПО, то имеет смысл использовать данную уязвимость и тем самым расширить спектр пораженных машин и ценность полученных данных для пентеста.

Кстати, не всегда имеет смысл прибегать к заражению флешек. К примеру, если у ИБ-отдела стоит задача просто периодического мониторинга сотрудников на наличие «ненадежных людей», то разумнее установить данную программу на несколько машин и просто записывать серийные номера флешек и время создания вредоносного файла для сбора статистики.

Тем самым не требуется буквальным образом обыскивать всех сотрудников, и при этом сохраняется конфиденциальность данных на флешках, а на основе полученных данных можно судить также о возможном заражении домашних компьютеров пользователей и состояния ИБ в целом.

Ведь, как мы уже писали ранее, любая система подвержена случайным факторам и не исключен риск появления угроз.

Значения самых популярных угроз

Тестирование

Развернув программу в относительно средней по масштабу сети, уже через неделю мы получили достаточно красноречивые данные.

Более 20% всех подключенных флешек были инфицированы каким-либо вирусом или трояном, и более 15% по-прежнему оставались инфицированными при повторном подключении спустя пару дней.

Надо также отметить, что на многих компьютерах стояла антивирусная защита, которая периодически исполняла свои обязанности.

Однако то привычное равнодушие к выскакивающему предупреждению антивируса, к которому уже давно привыкли пользователи при подключении флешки, не позволяла им предположить, что они имеют дело с совершенно иной угрозой. Ложное чувство безопасности позволяло пользователям без смущения подключать флешку к различным компьютерам, а нашей программе успешно делать свое дело.

Графическое сравнение самых популярных угроз

Коротко об алгоритме

  • Устанавливаем нашу программу на компьютеры в компании.
  • Сканируем подключаемые флешки на наличие признаков зараженности.
  • «Заражаем» флешки пользователей нашим тестовым «вирусом» или переписываем их номера для статистики.
  • Докладываем начальству, наказываем пользователей-раздолбаев, держим, не пущаем и запрещаем.

Подводя черту, можно сказать, что главный недостаток этого метода — его неопределенность.

Никто не знает, когда именно к компьютеру будет подключена та самая «подходящая» флешка, поскольку это сильно зависит от среды, в которой развернута программа. Однако этот недостаток не умаляет главного преимущества метода.

Можно очень долго оставаться незамеченными и, растворяясь среди других угроз, поражать все новые и новые машины полностью в автоматическом режиме. Несложно заметить, что такая методика имеет определенный эффект масштаба.

Чем больше сотрудников работает в организации и чем разнообразнее внутренние коммуникации, тем больший будет результат. Хотя этот подход будет отлично работать в структуре совершенно любого масштаба, ведь его основная задача сводится не к массовому поражению системы, а к целевому удару по самому слабому звену — человеку. ][

Источник: https://xakep.ru/2014/07/07/usb-penetration-testing/

Как удалить вирус на флешке – только рабочие методики

Флешка вирус

Иногда во время открытия содержимого USB накопителя Вы замечаете, что все папки превратились в ярлыки (запуск которых ни к чему хорошему не приводит), а файлы просто исчезли. Ужасная картина! Очевидно, Вы подхватили «заразу». Как удалить вирус на флешке? Сейчас я раскрою Вам несколько полезных способов.

Первое, что нужно сделать, это прекратить паниковать. Ничего страшного не произошло. Вся информация никуда не исчезла, просто вредоносный код модифицировал её: сделал скрытой, присвоил системный статус (чтобы Вы не могли ничего сделать). Кроме того, при двойном клике по ярлыку, вирус заражает Ваш ПК, и любой подключенный внешний носитель также будет заражен.

Вот как это выглядит на практике:

Методы устранения проблемы

Существует много разных способов, которые подробно расписаны на компьютерных форумах и прочих тематических ресурсах. Я выбрал самые эффективные из них.

Выполняем антивирусную проверку

Это самый первый вариант, который должен прийти в голову. Если на ПК уже установлена хорошая программа для сканирования, то запускаем полную проверку съёмного носителя. Что делать, если Вы успели кликнуть по вредоносным ярлыкам? В таком случае стоит выполнить поиск «заразы» на всех дисках ПК.

Хорошим методом является проверка с помощью бесплатной утилиты CureIt! (от лаборатории Доктора Веба). Нет необходимости в её установке. Достаточно просто скачать и запустить. Софт работает безопасно, не удаляя файлы личного назначения. В объектах выставить все галочки, затем кликнуть по кнопке выбора файлов и папок. Укажите Ваш USB диск, который предварительно стоит подсоединить к ПК.

Запускаем проверку. Процесс этот не быстрый. Придется немного подождать. В это время можно попить чай, посмотреть новый эпизод любимого сериала или заняться любыми другими делами.

Удаляем вирус

Когда сканирование закончится, перед Вами появится следующее окно:

Очевидно, что следует нажать кнопку «Обезвредить». Затем перезапустить систему и попробовать снова открыть содержимое флешки.

Есть еще один метод восстановить данные после ручного удаления вируса. Этот путь подойдет для пользователей, которые хотя бы немного разбираются в базовых настройках Windows.

  • Открываем «Панель управления» и переходим в раздел «Параметры папок».
  • Переходим во вкладку «Вид», пролистываем её содержимое и снизу ставим отметку «Показывать скрытые файлы…». Это позволит увидеть элементы, которые скрывает вредоносное ПО.
  • Теперь в проводнике открываем «поврежденный» внешний накопитель и вызываем контекстное меню на любой папке-ярлыке. Выбираем пункт «Свойства»:
  • В поле «Target» (Объект) видим длинный путь, из которого становится ясно, что один из вирусов засел в exe-файле папки
  • Удаляем указанную выше директорию с внешнего диска. Рекомендую проверить еще один путь на предмет появления данной папки: C:\users\имя_вашего_пользователя\appdata\roaming.

После этих действий часть проблемы будет устранена. Но нам еще предстоит вернуть данные, которые стали скрытыми.

Восстановление информации

Казалось бы, что сложного в том, чтобы зайти в свойства и снять атрибут «скрытый». Данный случай немного нестандартный и простым путем решить задачу не получится. Ведь вирус «Autorun» присваивает системное значение поврежденным элементам, чтобы пользователь не смог внести изменения.

Но для нас нет ничего невозможного, не так ли?

Проще всего скачать готовый скрипт, запустить его и в окне консоли, указать букву Вашего съемного диска. Потом жмете Enter и после нескольких секунд все ненужные атрибуты будут сняты автоматически.

Скачать

Кроме того, данная мини-утилита способна самостоятельно удалять RECYCLER об этом я писал в одной из своих статей.

Но если не доверяете мне, то вот Вам более сложный способ.

  • Запускаете с админ правами командную строку. Для этого в строке поиска Windows напишите «cmd» (без кавычек). Когда отобразится результат, то кликните по нему правой кнопкой мышки и выберите «Запуск от имени админа».
  • Или же вызовите окно «Выполнить» ( Win + R ) и выполните команду cmd.
  • Когда запустится черное окно, следует ввести следующий код:

cd /d f:\

Вместо f:\ следует указать соответствующую букву Вашей флешки. Узнать её можно в папке «Компьютер».

  • Теперь выполняем следующий «кусок» кода:

attrib -s -h /d /s

  • Ура! Теперь все данные восстановлены. Можете танцевать от радости!

Чтобы больше не оказываться в подобной неприятной ситуации, рекомендую прочесть еще парочку полезных советов.

Защита от вирусов

Иногда вредоносные программы способны сильно усугублять проблему, вплоть до того, что ПК не видит Вашу флешку вообще. Или же вирус создает множество файлов, которые потребляют свободное пространство.

  1. Не подключайте носитель к сомнительным компьютерам, на которых не установлен хороший антивирусный софт.
  2. Инсталлируйте на своем ПК бесплатный Avast, который хорошо справляется со сканированием любых подключенных устройств.
  3. Используйте USB Disk Security, Утилита будет автоматически проверять флешки, которые вставляются в USB.

С уважением, Виктор

Источник: https://it-tehnik.ru/virus/delete-virus-usb-flash.html

Как удалить вирус создающий ярлыки на флешке? 6 методов удаления вирусов

Флешка вирус

Добрый день, друзья.

Как удалить вирус создающий ярлыки на флешке? Как можно провести восстановление информации, которая была потеряна из-за функционирования данного вредителя? Все ваши элементы, в том числе и папочки стали на флешь карте ярлыками? Вы применяете антивирусное ПО, но ПК всё-таки умудрился заразиться. Сожалею, но не каждый антивирус сможет сберечь ваш компьютер от подобного вредоносного ПО.

Но, данный вредитель не такой коварный, как, к примеру, вирус шифровальщик. Этот вариант вируса можно назвать более безобидным, и вы без особых усилий сумеете произвести восстановление информации и деинсталлировать данного вредителя.

Также, хочу добавить, если вы не можете сразу отличить обычную папочку, от папки ярлыка то сделать это довольно просто. У ярлыков имеется небольшая скруглённая стрелка в нижнем левом углу. У обычных папочек подобной стрелки нет.

Поэтому, если вы вставили флешку и заметили, что все папки на ней имеют скруглённые стрелки внизу, то скорее всего это зараженные ярлыки и кликать по ним нельзя.

Виды вредительского ПО ярлыков

На данный момент более других распространились два типа вредоносных ПО, которые могут создать ярлыки: одни занимаются созданием ярлыков, заменяя файлы и папки на флешь карте, иные делают ярлыки внешних дисков и прочих съёмных накопителей.

Подобные вирусы носят следующие названия:

Удаляем вирусы с помощью программы Malwarebytes

Данное вредительское ПО, копирует папочки с файлами и после этого, прячет их. Далее, своими клонами подменяет папки оригиналы. Вредитель является комбинацией вируса трояна с червём. Угроза находится в том, что пользователь производит запуск данного трояна всякий раз, как только кликнул по зараженному файлу с папочкой.

Когда вы запустите данный троян, он начинает копировать себя, тем самым всё больше распространяясь по вашему компьютеру. Кроме этого, частенько устанавливает вредоносную программу шпион, которая ищет ваши данные о пластиковых карточках, паролях и прочей личной информации, которая сохранена на вашем ПК.

Вредитель, который преобразует флешки со съёмными носителями в ярлыки

Данный вредитель является чистым трояном, скрывающим почти все внешние накопители, которые подключены к ПК и подменяет их на ярлыки данных приборов. Всякий раз, как только вы нажмёте на данный ярлык, вы вновь произведёте запуск данного трояна. После этого, вирус начнет поиск на этом ПК данные о финансах и отошлет эту информацию злоумышленникам.

Что можно сделать, если флешка заражена?

Я уже упоминал, что не каждый из антивирусов сможет оперативно найти угрозу и произвести защиту компьютера или съёмного диска.

Отсюда, лучшей защитой является не производить запуск внешних накопителей и не нажимать на ярлыки, диски, или файлы с папками, внизу которых стоит стрелка.

Стоит быть осторожным и не нажимать на ярлык, если вы его не сделали сами. Лучше нажать на него правой клавишей мышки и выбрать «Развернуть».

Если вы желаете произвести восстановление информации, которую удалил данный вредитель, нужно применить программу Hetman Partition Recovery. Так как данный софт применяет низкоуровневую опцию в работе с накопителем, данный софт обогнёт блок трояна и сможет прочитать вашу информацию.

Скачиваем и устанавливаем софт. Затем, нужно проанализировать съёмный носитель, который подвергся заражению.

Важно: нужно восстановить данные перед очисткой флешки от вредителя.

Также, отличным вариантом удаления вируса с внешнего носителя является команда DiskPart. Она позволит деинсталлировать все данные с носителя.

Удаляем вирус с флешь карты или внешнего диска

Когда вы восстановили информацию с флешь карты, то теперь настала очередь с данного накопителя удалить всю информацию, используя программу DiskPart. Деинсталляция каждого элемента с форматированием накопителя не сможет полностью убрать троян. Этот вредитель может спрятаться в секторе загрузки, может скрыться в таблицу разделов и незамеченную часть диска.

Удаляем вирус со съёмного накопителя используя командную строку

Этот метод не может с гарантией произвести очистку съёмного накопителя от каждого вируса. Но, он удалит трояна, создавшего ярлык из простого файла. Производить данную операцию мы будем с использованием командной строки:

В поисковую строку введём cmd. По открывшемуся файлу кликнем правой клавишей мышки и в ниспадающем меню выбираем «Запуск от имени администратора»;

Затем, в командной строке нужно ввести букву f: и нажать «Ввод» (f – обозначает букву имя флешь карты, которая заражена вредоносным ПО);

Далее, вводим в командную строку следующее сочетание: attrib f:*.* /d /s -h -r –s и нажимаем «Ввод»:

  • — h: поможет нам увидеть скрытые элементы съёмного носителя;
  • — r: поможет убрать настройку «только чтение»;
  • — s: уберёт настройку «Системный» с каждого файла.

Самым лучшим методом является новая установка Виндовс на диск С, с форматированием перед этим (форматирование перед установкой необходимо делать в любом случае, чтобы у вас не добавлялась старая система old к новой). Но, при этом способе вам придётся заново устанавливать все программы и прочее.

Также, если вы до этого создавали резервную копию, я бы порекомендовал провести бекап. Самый удобный метод создания резервной копии ОС с помощью программы AOMEI. Но, я подозреваю, что вы копию системы не создавали. Поэтому, мы пойдём другим путём.

Если вы немного разбираетесь в Windows, тогда мы применим другой метод.

Удаляем вирус через реестр

Мы выключим запуск трояна во время загрузки ОС через реестр. Итак, кликнем по кнопочкам Win+R и в возникшее окошко нужно вставить следующее сочетание regedit и кликнуть по кнопочке «Ввод». Вот наш адрес в реестре к искомому элементу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.

Затем, нужно внимательно просмотреть все данные ключи, находящиеся в этой вкладке. Если вы заметите имя ключа, состоящее из абракадабры, вроде OqTCNHcNjlf или что-то в этом роде, нужно удалить данную строку. Для этого, кликнем по ключу правой клавишей мышки и в ниспадающем меню выбираем «Удалить»;

Все ключи, запускающие форматы VBS, INI, LINK или EXE являются потенциально опасными. Но, лишь сам пользователь в курсе, какой софт он устанавливал на ПК и он должен знать, какая программа должна запускаться вместе с ОС. Отсюда, сам пользователь решает, удалять ключ или нет.

Удаляем вредителя через службы конфигурации системы

  • Для этого, кликнем по клавишам Win+R и в возникшем окошке вводим сочетание msconfig и кликнем по кнопочке ОК;
  • У нас открывается окошко, где нам нужно выбрать меню «Службы». Далее, нам необходимо все их просмотреть, и выключить каждую подозрительную. Для этого кликнем по подозрительной строке правой клавишей мышки и выберем «Отключить».

Удаление вируса через «Диспетчер задач»

Для этого, нужно отключить программы, которые запускаются, автоматически используя «Диспетчер задач». Нажмем сразу на 3 клавиши Ctrl + Shift + Esc. После этого, переходим в данное окно. В меню нужно выбрать «Автозагрузка». Для этого, нажмём на подозрительную строку и внизу окна выберем «Отключить».

Вывод: я показал несколько методов, как удалить вирус создающий ярлыки на флешке? Выбираем понравившийся и используем его. Главное, во время очистки диска, не перепутайте его, иначе вы найдёте себе новую проблему в виде восстановления данных с диска. Успехов!

С уважением,    Андрей Зимин      29.03.2020

Источник: https://info-kibersant.ru/udalit-virus-sozdayuschiy-yarlyki-na-fleshke.html

Вирус ярлык на флешке лечение

Флешка вирус
Подробности Категория: Безопасность Создано 31.01.2020 08:53 4195

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.

Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.

Убеждаемся, что папки и файлы целые

Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:

  • Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  • Показывать скрытые файлы и папки — устанавливаем переключатель.

Теперь ваши папки на флешке будут видны, но они будут прозрачными.

Находим и удаляем вирус через свойства ярлыка

Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:

  • «%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»

Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы.  Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.

Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
  • Расшифровка атрибутов R – разрешает или запрещает атрибут «Только для чтения», S – превращает файл или папку в системный, H – скрываем или показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk

Автономный метод удаления вируса

В блокноте создаем файл и копируем туда ниже перечисленный текс после сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени администратора. После запуска компьютер попросит ввести букву, соответствующую вашей флешке, что нужно сделать. После этого он удалить папку RECYCLER, файл автозапуска autorun.

inf и вернёт атрибуты папкам, которые стали ярлыками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=”Vvedite bukvu vashei fleshki: “
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.

* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Удаление вируса через реестр

В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программы

Удаление вируса вручную

  • Во временной папке Temp C:\users\%username%\AppData\Local\Temp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
  • Проверяем также папку C:\Users\\Appdata\Roaming\. в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.

Восстановление системы

Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.

exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы.

После восстановления должно появится окошко о удачно окончании процесса.

На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.

Источник: https://www.compinf.ru/programmnaya-chast/programmnoe-obespechenie/bezopasnost/virus-yarlyk-na-fleshke-lechenie.html

Как почистить флешку от вирусов сохраняя данные. Проверяем и полностью очищаем флешку от вирусов

Флешка вирус

В этой статье мы расскажем, как просто и быстро удалить вирус с флешки

. Одним из самых распространенных семейств вирусов являются трояны, которые записываются в загрузочный системный файл
autorun.inf
.

Признаком их присутствия на флешке могут быть файлы типа autorun.exe, autorun.~ex, autorun.inf_ *** и другие производные с еще более сомнительными раcширениями после точки.

Вирус копирует себя на флешку, как только флеш накопитель будет вставлен в разъем USB.

Принцип действия вируса следующий. Попав в систему, он ищет все локальные диски и флэшки. После этого, на каждый найденный источник, копируются два файла — autorun.inf и autorun.exe. В свою очередь, autoran.inf содержит следующие строки:

А файл autorun.exe является исполняемым и служит для размножения вируса по возможным носителям. В реальности, исполняемый файл.exe может называться совершенно по-разному, например cyvvefew.exe, то есть с непонятным именем.

Основные признаки заражения

Практически самой распространенной вредоносной программой является троянская. Она обычно записывается в загрузочный файл системы autorun.inf. О присутствии вируса подобного типа может свидетельствовать наличие на флешке таких файлов, как autorun.exe и т. п.

Кроме того, о заражении USB-накопителя могут говорить следующие признаки:

  • Файлы, которые есть на флешке, куда-то сами по себе исчезают,
  • Флешка не открывается,
  • При нажатии на левую кнопку мыши ничего не происходит,
  • Появилась папка Recycler, возможно, скрытая,
  • Не получается безопасно извлечь устройство, постоянно появляется надпись о том, что оно занято,
  • При начале работы открывается окно об ошибке и т. п.

Появиться вирусы могут по разным причинам. Обычно это ее использование в зараженном компьютере. Кроме того возможно, что вредоносная программа “атаковала” ваш USB-накопитель от того, что вы не пользуетесь антивирусами. Сейчас на рынке ПО представлен огромный выбор разных .

Подготовка

Для реализации задуманного нам понадобится отформатировать флэшку в NTFS, для этого есть несколько, известных мне способов. Для меня самым простым является использование Acronis Disk Director .

После запуска Disk Director»а, вы увидите список дисков подключенных к вашей системе. В этом списке находим свою флэшку, жмем правой кнопкой мыши и выбираем «Удалить раздел», в новом окошке оставляем все как есть(Особой разницы там нет).

Далее опять правый клик по нашему диску и выбираем «Создать раздел». В окне «Создать раздел» выбираем:

  • Файловая система: NTFS
    .
  • Создать как: Основной раздел
    .

Теперь жмем на иконке «Флажка» и в появившемся окне нажимаем «Приступить». После сделанных изменений перезагрузите компьютер.

Флэшку также можно отформатировать и более простым способом, указанным ув. :

Пуск → Выполнить → cmd →
Convert f: /FS:NTFS

Format f: /FS:NTFS

Способы удаления вирусов

Теперь посмотрим, как же исправить подобную ситуацию. Для того, чтобы избавиться от вируса, зараженную флешку понадобится подключить к компьютеру с хорошим антивирусом. Далее есть несколько вариантов развития событий.

Вирус, попавший на флешку, записывает на нее определенный файл, который активируется при ее запуске. Как правило, антивирусные программы его нейтрализуют, в результате чего флешка не открывается. Из этого следует, что лечить нужно USB-накопитель, не открывая его на компьютере.

Пожалуй, самый простой из них – это отформатировать устройство. Однако, сделать подобную процедуру понадобится до того, как флеш-карта откроется, иначе есть риск заражения всего компьютера. Для этого нужно вначале отключить Автозапуск. После мы нажимаем Мой компьютер и правой кнопкой мыши щелкаем по названию устройства.

В появившемся меню нажимаем Форматировать. Но стоит помнить, что в таком случае с накопителя пропадет вся информация, что не всегда желательно. В таком случае можно применить другие способы. Также вы должны понимать после форматирования не всегда есть возможность восстановить полностью все данные, но все-таки это возможно.

Как восстановить данные после форматирования читайте в этой .

К примеру, с помощью антивирусного программного обеспечения. После того, как вы подключите флешку к компьютеру, то, в зависимости от настроек, антивирус может самостоятельно найти новое оборудование и предложить его проверку.

Если подобного не произошло, то вам придется начать сканирование вручную. Для этого зайдите в Мой компьютер. Здесь на значке флеш-карты кликнете правой кнопкой мыши.

В выпавшем меню нужно выбрать Проверить выбранные файлы с помощью…, далее нажимаете название своей антивирусной программы.

Имеются некоторые утилиты, которые позволяют очистить флешку от вирусов онлайн. Обычно они не заменяют основную антивирусную программу, а лишь дополняют ее. При проверке имеется два варианта развития действий. Программа либо сразу удаляет вирусы, либо каждый раз запрашивает у пользователя, какую команду выполнить “Лечить” или “Удалить”.

Избавляться от вредоносных программ можно с помощью антивирусов. Однако, лучшим вариантом является сведение к минимуму возможности попадания на флешку вируса. Для этого следует реже использовать USB-накопитель в незнакомых компьютерах, которые могут быть заражены или не имеют установленной антивирусной программы.

Флешка — очень удобное устройство, но зачастую, она становиться источником распространения вирусов. Современные вирусы, стремятся заразить флешку, сразу после подключения к инфицированному компьютеру.

После того, как вирус появляется на флешке, она становится опасной для других компьютеров. Степень опасности зависит от того, какой антивирус установлен на компьютере.

Некоторые пользователи вообще не устанавливают на компьютеры и ноутбуки антивирусную защиту, тем самым подвергая свои данные и программы опасности.

Антивирусные программы

Если после онлайн очистки на экране компьютера снова появляется сообщение об угрозе, вопрос, как проверить флешку на вирусы, остается актуальным.

В этом случае рекомендуем скачать и установить антивирусную программу, которая «умеет» распознавать больше различных видов вирусов и сможет защитить систему и внешние накопители.

Выбор конкретного антивируса – вопрос индивидуальный, поскольку каждый из них имеет свои преимущества и недостатки. Опытные мастера советуют пользоваться, как минимум, двумя антивирусами для максимальной безопасности.

Кроме стандартных программ, для борьбы с вирусами на флешке существуют специальные утилиты. Особого внимания заслуживают две из них:

AVZ

Скачать программу можно по ссылке https://www.z-oleg.com/secur/avz/download.php.

Ее главная особенность заключается в возможности настраивать Windows и закрывать так называемые «дыры», через которые происходит заражение. Утилита помогает восстановить заблокированный реестр, файл HOST и многое другое. Если вы ищите антивирус на флешку для проверки компьютера, AVZ – хороший выбор.

Malwarebytes Anti-Malware

Программа доступна по ссылке https://ru.malwarebytes.com/. Одна из самых эффективных утилит для проверки флешки на вирусы и восстановления поврежденных файлов. Распознает рекламные и вредоносные ПО, не занимает много места, имеет простой и удобный интерфейс.

Выводы

Не так страшен чёрт, как его малюют. Обладая определенными знаниями, во многих случаях, можно справиться с вирусами не потеряв своих данных. Главное — не суетиться и не делать резких движений.

Не забывайте о том, что на компьютере или ноутбуке обязательно должна быть установлена антивирусная программа.

Читайте, как удалить вирус преобразующий файлы и папки в ярлыки

. Как восстановить данные, которые утеряны в результате деятельности такого вируса.

Ваши файлы и папки на USB флешке или карте памяти стали ярлыками? USB флешка или карта памяти после подключения к компьютеру отображается как ярлык? Ищете как восстановить данные и удалить вирус, преобразовывающий файлы и папки в ярлыки? Вы используете антивирус, но компьютер все равно был инфицирован? К сожалению не все антивирусы могут защитить вас такого заражения.

Форматирование флешки

Если проверка флешки на вирусы не смогла выявить и удалить вредоносные программы, пользователю остается подключать так называемую тяжелую артиллерию. Речь идет о форматировании – наиболее радикальном способе очистки накопителя.

Обратите внимание! После форматирования флешки на ней не остается не только ни одного вируса, но и никаких файлов и документов. При этом сохранение информации перед ее удалением может быть опасным для компьютера, поскольку грозит заражением всей системы.

Источник: https://brit03.ru/ustrojstva/kak-ochistit-fleshku-ot-virusov.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.