Ответы Mail
Компьютеры, Связь
Железо
Интернет
Мобильная связь
Мобильные устройства
Офисная техника
Программное обеспечение
Прочее компьютерное
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Вирус: ярлык флешки в флешке
Юра Кіт
(303),
закрыт
11 лет назад
Дополнен 11 лет назад
Главное! Сначала дочитайте всё до конца, а потом давайте советы типа: "форматируй и всё будет норм"
Дополнен 11 лет назад
Вирус гдето на КОМПЕ, а не на флешке, так как после форматирования флешка чистая! И только при перезапуке флехи (с любыми файлами) опять появляется вирус
Дополнен 11 лет назад
Спасибо Касперский нашол вирус, вот кстати он: .../system32/ole32.dll
Саша очень помог, спасибо тебе!
Саша очень помог, спасибо тебе!
Лучший ответ
Вячеслав Власов
(3630)
11 лет назад
Этот ярлык открывает вредоносный файл, содержащийся в свойствах, а потом уже папку с файлами.
Принцип его действия заключается в том, что зараженная флешка создает ярлык самой себя (указывая при этом, что место расположения файлов - rundll32.exe), куда помещает все файлы. Причем, с первого взгляда может показаться, что это обычный глюк, и можно просто извлечь файлы из "ярлыка", сам ярлык удалить, и проблемы закончатся.. .
хотя файлы никуда не деваются, и особых трудностей в работе с флешкой не возникает.. .Но, при подключении к компьютеру скрипт вируса записывается в систему, и создает опасную среду для заражения других флешек, попутно "создавая" пару-тройку backdoor'ов.
P.S. Интересно, но вирус распространяется только (!) через флеш-накопители.
Лечение:
Подключите флешку в USB-выход, и откройте командную строку. Далее следует прописать следующие команды:
cd /d X: (где X: - буква каталога, которой обозначается подключенная флешка) ;
attrib -s -h -a -r /s /d *.* (да-да *.* тоже нужно прописывать) .
Теперь, открыв флешку Вы можете лицезреть все скрытые файлы:
Удалите все файлы, за исключением файла autorun.inf.
Теперь открываем программу Process Explorer (если у Вас ее нет - можете скачать тут).У некоторых могут возникнуть проблемы с правами, поэтому сразу выполнить операцию "File - Show Details for All Processes".
Теперь зажмите комбинацию клавиш Ctrl+L (откроется окошко внизу, где показываются все процессы) . Теперь нужно найти файл autorun.inf (можно вручную - процесс находится в ветке svchost, а можно через Ctrl+F).
Теперь кликаем правой кнопкой мыши по процессу, и выбираем функцию Close handle (процесс должен быть закрыт без всяких возражений) . Затем нужно удалить файл autorun.inf на самой флешке.
Далее идем в папку Temp (находится по адресу C:\users\%username%\AppData\Local\Temp), и ищем странный файл. Он имеет расширение .pif, и его можно найти с помощью поиска или вручную; его, также, нужно удалить (хотя проще удалить все из папки Temp - все-равно вреда не будет) .
Все. Теперь, если Вы все верно сделали (по идее) - Ваш ПК очищен от этой гадости.
P.S. Лично я после очистки перезагрузил ноутбук, и проверил двумя флешками - вроде-бы все нормально.
P.P.S. Можно, также, после очистки сделать проверку системы CureIT'ом - так, на всякий случай.
Upd 1. Вирус может глубоко засесть в реестре, и "терроризировать" Вас даже после проведенной процедуры лечения.
Что-бы избавится от него раз и навсегда проведите следующую операцию:
в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load реестра найдите и удалите ссылку на данный файл.
Например, у меня параметр со ссылкой имел вид:
ОБЯЗАТЕЛЬНО AVIRA и CUREIT СКАНИРУЙТЕ!
Принцип его действия заключается в том, что зараженная флешка создает ярлык самой себя (указывая при этом, что место расположения файлов - rundll32.exe), куда помещает все файлы. Причем, с первого взгляда может показаться, что это обычный глюк, и можно просто извлечь файлы из "ярлыка", сам ярлык удалить, и проблемы закончатся.. .
хотя файлы никуда не деваются, и особых трудностей в работе с флешкой не возникает.. .Но, при подключении к компьютеру скрипт вируса записывается в систему, и создает опасную среду для заражения других флешек, попутно "создавая" пару-тройку backdoor'ов.
P.S. Интересно, но вирус распространяется только (!) через флеш-накопители.
Лечение:
Подключите флешку в USB-выход, и откройте командную строку. Далее следует прописать следующие команды:
cd /d X: (где X: - буква каталога, которой обозначается подключенная флешка) ;
attrib -s -h -a -r /s /d *.* (да-да *.* тоже нужно прописывать) .
Теперь, открыв флешку Вы можете лицезреть все скрытые файлы:
Удалите все файлы, за исключением файла autorun.inf.
Теперь открываем программу Process Explorer (если у Вас ее нет - можете скачать тут).У некоторых могут возникнуть проблемы с правами, поэтому сразу выполнить операцию "File - Show Details for All Processes".
Теперь зажмите комбинацию клавиш Ctrl+L (откроется окошко внизу, где показываются все процессы) . Теперь нужно найти файл autorun.inf (можно вручную - процесс находится в ветке svchost, а можно через Ctrl+F).
Теперь кликаем правой кнопкой мыши по процессу, и выбираем функцию Close handle (процесс должен быть закрыт без всяких возражений) . Затем нужно удалить файл autorun.inf на самой флешке.
Далее идем в папку Temp (находится по адресу C:\users\%username%\AppData\Local\Temp), и ищем странный файл. Он имеет расширение .pif, и его можно найти с помощью поиска или вручную; его, также, нужно удалить (хотя проще удалить все из папки Temp - все-равно вреда не будет) .
Все. Теперь, если Вы все верно сделали (по идее) - Ваш ПК очищен от этой гадости.
P.S. Лично я после очистки перезагрузил ноутбук, и проверил двумя флешками - вроде-бы все нормально.
P.P.S. Можно, также, после очистки сделать проверку системы CureIT'ом - так, на всякий случай.
Upd 1. Вирус может глубоко засесть в реестре, и "терроризировать" Вас даже после проведенной процедуры лечения.
Что-бы избавится от него раз и навсегда проведите следующую операцию:
в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load реестра найдите и удалите ссылку на данный файл.
Например, у меня параметр со ссылкой имел вид:
ОБЯЗАТЕЛЬНО AVIRA и CUREIT СКАНИРУЙТЕ!
Остальные ответы
Саша Донец
(7792)
11 лет назад
Попробуйте поменять АНТИВИРУС, раз такая ситуация. Например:
Антивирус Касперского Скачать Яндекс-версию бесплатно на 6 месяцев
Антивирус Касперского Скачать Яндекс-версию бесплатно на 6 месяцев
Стас Райт
(419)
7 лет назад
Вот тут kingslon.ru/virus-sozdal-yarlyk-fleshki-na-fleshke/ все хорошо расписано + есть батник который копируете на флешку и восстанавливаете файлы
Александр Черныш
(173)
6 лет назад
такая же фигня. Походу их несколько вариантов. Так как у меня другие файлы.
Шипперс
(124)
9 месяцев назад
удаление непонятных записей в реестре снимает проблему.
Антивирус зря кряки побил на компе ))
Антивирус зря кряки побил на компе ))
Похожие вопросы
Что делать?
Назва ярлыка всегда Removable Disk (8GB), ну или Removable Disk (2GB)
Форматирование не помогает но аваст ругается на флешку, после форматирования вроде все норм, но когда закинуть любые файлы на неё и вытащить и потом запхать назад в комп то аваст опять находит вирус, вирус всегда с новой назвой но есть закономерность в имени: " _W*****.nil "