Belge ne yapılacağına dair bir etiket oldu. Klasörler etiket haline geldi. Adresleme

İş başında bilgisayarlara ilginç bir virüs girdi. Flash sürücünün kendisinde bir flash sürücü etiketi oluşturur ve bir kişi böyle bir flash sürücüyü bağladığında, bunun zararsız bir aksaklık olduğunu ve bir kısayol başlattığını düşünür. Bir kısayol, sırayla, özelliklerinde yazılmış kötü amaçlı kod yürütür ve sonra sadece dosya klasörünü kullanıcıya açar. Antivirüs programları güçsüzdü, bu talihsizliği kendim ortadan kaldırmaya karar verdim.

Virüs sadece USB flash sürücülerle yayılıyor
  Yani, Google’a bir istek ile giderseniz Virüs USB flash sürücüde bir flash sürücü çubuğu oluşturur  forumlarda özel dallar göreceğiz (insanların bu saçmalıklarını gidermek istediği cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html) konulu bir konu). USB flash sürücüde bir çubuk oluşturan virüsü ortadan kaldırmak için, tarama raporlarını bilgisayara göndermeniz, ardından guru'nun önerilerini takip etmeniz ve işte bu şekilde olması gerekir. Ya bilgisayar ekipmanı parkı enfekte olursa? Her bilgisayara bir rapor göndermek çok pahalıdır çünkü Bütün çalışanlar bunu yapamaz. Evet ve flaş kartlarını istisnasız herkese de uygular, aynı zamanda zaman içinde hemoroid de. Bir seçenek olarak, bu virüsü kendi başıma araştırmaya karar verdim. Bunu yapmak için, VirtualBox'a sanal Windows yükleyin, virüslü bir USB flash sürücü ile virüs bulaştı. Şimdi, flash sürücüde bir flash sürücü çubuğu oluşturan bir virüsten bilgisayarları temizlemenin evrensel ve basit bir yolunu arıyorum ve aynı zamanda sistemi virüslü usb taşıyıcılardan koruyun.

Koruma konuları

Bir USB flash sürücünün içeriğini, kötü amaçlı bir kısayolun başlatılmasını atlayarak açın.  Daha önce de söylediğim gibi, virüs kısayolun özelliklerinden çalıştırılabilir kod başlatarak sadece usb aygıtları ile dağıtılır. Tüm gizli dosyaları açmak için aşağıdaki komut dosyasını kullanabilirsiniz: "*" -s -h -a -r / s / d olarak kaydet run.bat  ve elinizde bulundurun.   USB cihazı otomatik çalıştırmayı devre dışı bırak Autorun USB-stick ya da CD-ROM devre dışı bırakmak için, kayıt defterini düzenlemeniz gerekir: 1. "Başlat" - "Run" ve "regedit" yazın; Microsoft \\ Windows \\ yol HKLM \\ SOFTWARE açmak 2. \\ CurrentVersion Policies 3. bölüm Explorer gidin ve \\ değilse - «Explorer» in «Explorer» yeni bir profil ve adını 4. oluşturmak NoDriveTypeAutoRun anahtarı oluşturmak ve anahtar değeri girin 0x4  tüm çıkarılabilir cihazların otomatik çalıştırmasını devre dışı bırakmak için

Kökte etiketli bir flash sürücü getirdiğinizde, ihtiyacınız olan

  1. flash sürücünün köküne run.bat dosyasını kopyalayın ve çalıştırın;
  2. bundan sonra virüsün tüm dosyaları yüklediği boş adla önceden klasörde dahil birçok gizli dosyaları, açılacaktır;
  3. İşlemin tamamlanması Microsoft Process Explorer ücretsiz bir yardımcı program açılması ve autorun CTRL + F bağlantı yoluyla bulmak;
  4. artık bu klasör dışındaki tüm dosyaların kökünden silinmeye devam ediyor.
  5. klasöre gidin ve içeriğini daha yüksek bir seviyeye taşıyın, örn. bir flash sürücünün kökünde.
  Şimdilik sahip olduğum tek şey bu. Umarım yeni bilgi almak isterim

Virüsün okuyucudan tedavisi (Yöntem çalışmıyor., 02.10.2015 itibarıyla)

Helped UsbFix (SSYLKA_UDALENA) yazılımı en son sürümünü ve amansız bir pres «Temiz» indirin. Dikkatle, başlangıçtan gereksiz tüm ovalayın.
   Çok teşekkür ederim! Bilgilerin ziyaretçilerle alakalı olacağını düşünüyorum! Yaklaşık. 2 Ekim 2015'ten itibaren: programın bağlantısı silindi. Şimdi orada indiremezsiniz, ancak bir siteden diğerine sonsuz bir yönlendirme vardır. Bu arada, bu virüs bir şekilde yavaş yavaş öldü. Herkes, her defasında temizlendikten ve kontrol edildikten sonra flash sürücüyü kontrol etmek için yukarıda yazılan bir komut dosyası kopyaladı. Ve her zaman enfekte cihazları getiren insanlar - onları almayı reddetti. Ve böylece bu enfeksiyonu fethettiler.

İlk grup geleceğe dikkat etmeli. USB çubuğunu sağa veya sola çevirmeyin. Şu anda bilgisayarınız virüslerden temizlenmiş, bu yüzden malzemenin geri kalanını okumak sizin için gerekli değildir. İkinci grup - Eğer etiketlerde sopa içeriğini döndü virüsü, kaldırmak istiyorsanız, okumaya devam edin.

Virüs temizleme, iki saldırı yönünden oluşacaktır:

  • Virüsün bilgisayarınızdan kaldırılması.
  • Virüs USB flash sürücüden kaldırılıyor.

Bu virüslerden biri aktif, diğeri değil. Birincisi, aktif olanı ile çözeceğiz, çünkü sürekli olarak tekerleklere yapışacak. Bununla ilgili makalemi okuyabilirsin, virüsler nasıl kaldırılır  Bu durumda kullanılan ve kullanılması gereken virüs temizleme işleminin oldukça erişilebilir bir açıklaması vardır. Ayrıca, virüsten sekmede de arama yapabilirsiniz.   süreçler  pencereler Görev yöneticisiBu virüsün işleminin oldukça karmaşık bir ismi vardır. İçinde mantık yoktur, basit bir anlamsızdır. Bu dosyanın yerini öğrenebilirsiniz. Sonra bunu yapmanın iki yolu vardır:

  • Bunun bir virüs olduğuna emin misin? Bu durumda, bu işlemi durdurun ve virüsü silin.
  • Bunun bir virüs olduğundan emin değilsiniz. Bu durumda işlemi durdurun.

Daha sonra, içeriği bir etikete dönüştürülen bir flash sürücü, yukarıda tartışılan şekilde temizlenmelidir. Ve yine, lütfen herhangi bir etikete dokunmayın, aksi halde tüm işlem yanlış olur. Bundan sonra, USB flash sürücüyü çıkarın ve yeniden takın. Etiketleri görmüyorsanız ve her şey açık görünüyorsa, doğru yapın.

Virüsü başlangıçtan kaldır

Ama rahatlamak için çok erken. İşlemi sadece durduranlar virüsün bulunduğu klasöre gitmeli ve siler. Otomatik Yedekleme'yi de temizlemeniz gerekir. Bunun nasıl yapılacağı, bununla ilgili aynı makaleden öğrenilebilir. bir virüs nasıl kaldırılır  . İlk ve ikinci grup için bilgisayarın başlatılmasını temizlemek gerekir.

Bunu yaptıktan sonra genellikle bilgisayarı yeniden başlattım. Sonra tekrar flash sürücüyü kontrol ettim - kısayollar olup olmayacağı. Ben de aynısını yapmanı öneririm.

Neden böyle virüsler antivirüsleri nadiren fark eder?

Birçok kişi, bu tür kısayolları gördükten sonra, bir antivirüs kullanarak bir bilgisayarı ve flash sürücüyü taramaya çalışın. Ancak, temel olarak, etkisizdir. Neden? Klasörleri kısayollara dönüştüren virüsün gövdesi, kullanıcının hem GUI'de hem de konsolda çalıştırabileceği komutları içeren normal bir yarasa dosyasıdır. Ve antivirüs, kullanıcının çalışmasını engellememelidir. Ve yarasa-virüsleri sadece aynı ve bu kuralın altına düşer. Yarasa dosyasında ne olduğunu belirleyin - istenmeyen kod veya zararsız komutlar - oldukça zordur. Denerseniz, kendi deneyimlerinizden emin olabilirsiniz. düzenli bir yarasa virüsü yaratmak.

Bu virüsten etkilendiyseniz ve bilgisayara daha fazla flash kartın bağlanmasını istemiyorsanız, şunları yapabilirsiniz:

Durum böyle görünüyor: flash sürücüde klasörler vardı, ancak mucizevi bir şekilde kısayollara dönüştüler, yani. lnk uzantılı dosyalarda. Böyle bir dosyayı açmaya çalıştığınızda bir mesaj alırsınız:


Bu durumda, "Q" çıkarılabilir bir diskin adıdır (flash sürücü), farklı olabilir. Kısayol bizi bir virüs olan yürütülebilir dosya (exe) ile klasöre yönlendirir.

Tam olarak ne oldu: virüsün bir sonucu olarak, tüm klasörlere "sistem" ve "gizli" öznitelikleri atanmıştır, yani. flash sürücüde kaldılar, ancak Windows GUI'yi kullanarak onları göremiyoruz. Klasörler yerine, virüsün bulunduğu dosyaya giden aynı ada sahip kısayollar çıktı.

Klasörler kısayollara dönüştüğünde ne olur? Adım adım talimat.

İnternette, komut satırını kullanarak klasörlerin niteliklerini (aslında, klasör bir dosyadır) değiştirerek problemin çözümünü buldum. Komut satırıyla arkadaş olmayan kullanıcılar için alternatif bir yöntem öneririm - bu amaçla dosya yöneticisi FAR Manager'ı kullandım. Bu yönetici her zaman elinizin altında olması için elverişlidir ve ana makine dosyasını düzenlerken zaten kullandık (Video Sınıf arkadaşlarına gidemem. Adresleme).

1. adım  USB flash sürücüyü virüsler için kontrol ediyoruz. AVAST 4.8 Professionl antivirüs kullanarak kontrol ettim. Kaldırılanlardan gelen tüm "sol" kısayollar, bunun bir trojan LNK olduğunu söylüyor.

Avast, tüm "sol" kısayolları sildim

Virüsten koruma programınız klasör kısayollarını yerinde bırakırsa, bunları kendiniz kaldırın, gerekli değildir.

2. adım FAR Yöneticisini İndirin  , arşivi açın ve Far.exe dosyasını çalıştırın;

3. adım  Çıkarılabilir diske (flash sürücü) geçiyoruz. Bir disk seçmek için tuşlarını kullanın Alt + F1;

Tüm gizli sistem dosyaları (sol panel) koyu mavi ile vurgulanır - bu bizim "kaybolmuş" klasörümüzdür.


Tüm gizli sistem dosyaları (sol panel) koyu mavi renkte vurgulanır - bu bizim "kayıp" klasörümüzdür

4. Adım  Her bir klasörün niteliklerini tek tek değiştirmemek için hepsini bir kerede söyleyin: önce listeden ilk dosyayı seçin ve ardından tuşuna basın.   Ekle  Klavyede ve bizi ilgilendiren tüm dosyaların isimleri sarı renkte vurgulanana kadar basılı tutun.


FAR Yöneticisi'nde bir grup dosya seçmek

5. adım  Klavyedeki F4 tuşuna (veya FAR'daki Düzenle düğmesine) basın. Açılan menüde, aşağıdaki noktalardaki işaretleri (soru işareti, çarpı) kaldırın:



Her şeyi doğru yaptıysanız, dosya adlarının rengi koyu maviden beyaza dönüşecektir.


Nitelikler değiştirildikten sonra klasör adları rengi beyaz oldu

Artık Windows'tan USB flash sürücüye gidebilir ve her şeyin sorunsuz bir şekilde görüntülendiğinden emin olabilirsiniz.


Nitelikler değiştirildikten sonra, tüm klasörler tekrar kullanılabilir hale gelir

Dosya yöneticisi FAR Manager'ı her zaman elinizde bulundurmanızı öneriyorum, bu yüzden gerekirse Windows'ta dosyaların sınırlarını aşacak.

Anladığınız kadarıyla, FAR Manager'ın yardımıyla, ters prosedürü yapmak mümkündür, örn. Dosyalarınızı flash sürücüde deneyimsiz kullanıcılardan gizleyin.

Sonuç olarak, FAR Manager ve tanınmış RAR ve WinRAR arşivlerini yaratan programcı Eugene Roshal'a teşekkür etmek istiyorum.

Evgeny Mukhutdinov