Вирус: ярлык флешки в флешке
Я вставляю флешку (любую даже через кардридер-микро СД пробивал) и я в флешке ярлык самой флешки, а уже в нём всё содержание флешки
Что делать?
Назва ярлыка всегда Removable Disk (8GB), ну или Removable Disk (2GB)
Форматирование не помогает но аваст ругается на флешку, после форматирования вроде все норм, но когда закинуть любые файлы на неё и вытащить и потом запхать назад в комп то аваст опять находит вирус, вирус всегда с новой назвой но есть закономерность в имени: " _W*****.nil "
Главное! Сначала дочитайте всё до конца, а потом давайте советы типа: "форматируй и всё будет норм"
Вирус гдето на КОМПЕ, а не на флешке, так как после форматирования флешка чистая! И только при перезапуке флехи (с любыми файлами) опять появляется вирус
Спасибо Касперский нашол вирус, вот кстати он: .../system32/ole32.dll
Саша очень помог, спасибо тебе!
Этот ярлык открывает вредоносный файл, содержащийся в свойствах, а потом уже папку с файлами.
Принцип его действия заключается в том, что зараженная флешка создает ярлык самой себя (указывая при этом, что место расположения файлов - rundll32.exe), куда помещает все файлы. Причем, с первого взгляда может показаться, что это обычный глюк, и можно просто извлечь файлы из "ярлыка", сам ярлык удалить, и проблемы закончатся.. .
хотя файлы никуда не деваются, и особых трудностей в работе с флешкой не возникает.. .Но, при подключении к компьютеру скрипт вируса записывается в систему, и создает опасную среду для заражения других флешек, попутно "создавая" пару-тройку backdoor'ов.
P.S. Интересно, но вирус распространяется только (!) через флеш-накопители.
Лечение:
Подключите флешку в USB-выход, и откройте командную строку. Далее следует прописать следующие команды:
cd /d X: (где X: - буква каталога, которой обозначается подключенная флешка) ;
attrib -s -h -a -r /s /d *.* (да-да *.* тоже нужно прописывать) .
Теперь, открыв флешку Вы можете лицезреть все скрытые файлы:
Удалите все файлы, за исключением файла autorun.inf.
Теперь открываем программу Process Explorer (если у Вас ее нет - можете скачать тут).У некоторых могут возникнуть проблемы с правами, поэтому сразу выполнить операцию "File - Show Details for All Processes".
Теперь зажмите комбинацию клавиш Ctrl+L (откроется окошко внизу, где показываются все процессы) . Теперь нужно найти файл autorun.inf (можно вручную - процесс находится в ветке svchost, а можно через Ctrl+F).
Теперь кликаем правой кнопкой мыши по процессу, и выбираем функцию Close handle (процесс должен быть закрыт без всяких возражений) . Затем нужно удалить файл autorun.inf на самой флешке.
Далее идем в папку Temp (находится по адресу C:\users\%username%\AppData\Local\Temp), и ищем странный файл. Он имеет расширение .pif, и его можно найти с помощью поиска или вручную; его, также, нужно удалить (хотя проще удалить все из папки Temp - все-равно вреда не будет) .
Все. Теперь, если Вы все верно сделали (по идее) - Ваш ПК очищен от этой гадости.
P.S. Лично я после очистки перезагрузил ноутбук, и проверил двумя флешками - вроде-бы все нормально.
P.P.S. Можно, также, после очистки сделать проверку системы CureIT'ом - так, на всякий случай.
Upd 1. Вирус может глубоко засесть в реестре, и "терроризировать" Вас даже после проведенной процедуры лечения.
Что-бы избавится от него раз и навсегда проведите следующую операцию:
в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load реестра найдите и удалите ссылку на данный файл.
Например, у меня параметр со ссылкой имел вид:
ОБЯЗАТЕЛЬНО AVIRA и CUREIT СКАНИРУЙТЕ!
вышеуказанный способ не работает
не работает ваш способ
такая же фигня. Походу их несколько вариантов. Так как у меня другие файлы.
Вот тут kingslon.ru/virus-sozdal-yarlyk-fleshki-na-fleshke/ все хорошо расписано + есть батник который копируете на флешку и восстанавливаете файлы