boonya.info

Вирус. Папки превратились в ярлыки.

Уже второй раз подряд наступаю на одни и те же грабли. Прихожу в гости к товарищу, включаю в его компьютер свой переносной USB винчестер и наблюдаю странную картину - вместо директорий, которые были в корне жесткого, ярлыки. Но во второй раз я уже был в курсе с чем имею дело, по этому сохранял спокойствие м не закатил истерику. Это вирус, который помещает себя (свой исполняемый файл) в скрытую и системную папку RECYCLER, что на текущем USB устройстве. Все папки, что были в корне диска, делает скрытыми и системными, а вместо них создает ярлыки с такими же названиями. Именно эти ярлыки в будущем могут стать отправной точкой в истории заражения других компьютеров. Всё дело в том что они выполняют две команды: запускают исполняемый файл вируса, а затем открывают папку которую вы хотели просмотреть. Таким образом рядовой неискушенный пользователь и не заметит, что запустил на своем компьютере вирус. Я не разбирался, что именно делает этот вирус, но мне и не особо интересно. Зараза — она и в Африке зараза, а с нечистью надо бороться. Если вы обнаружили такое чудо на своем носителе информации, ни в коем случае не запускайте эти ярлыки. Их нужно удалить, но предварительно надо посмотреть их свойства, чтобы выявить и уничтожить заразу живущую на флешке. Для этого кликните по ярлыку правой кнопкой мыши, выберите меню свойства и внимательно просмотрите строку «Объект». Там может быть что-то типа %windir%\system32\cmd.exe /c "start %cd%RECYCLER\6dc09d8d.exe && %windir%\explorer.exe %cd%boonya. Данная команда запускает консоль windows, в которой запускает исполняемый файл вируса и открывает папку boonya. Как видно вирус живет по адресу %cd%RECYCLER\6dc09d8d.exe, где %cd% - это адрес (буква) нашего диска. Итак теперь мы знаем где прячется нечисть, по этому просто удаляем её, можно вместе с папкой RECYCLER.

Теперь можно удалить все такие ярлыки. И на конец сделать ваши папки видимыми. Просто изменением свойств папок это сделать не получится. Для этого можно использовать команду attrib -r -a -s -h G: /s /d. Если посмотреть хелп страницу этой команды, то можно понять, что эта команда снимает со всех файлов и директорий, что на диске G атрибуты “только чтение”, “архивный”, “системный” и “скрытый”.

P.S. Как написал в одном из комментариев Вася Пупкин, можно использовать bat-скрипт с вот таким содержимым:

@echo off
attrib -r -a -s -h RECYCLER /s /d
rd /s /q RECYCLER
attrib -r -a -s -h *.lnk /s /d
del *.lnk /f /q
attrib -r -a -s -h *
del %0 /f /q

Или вот ссылка на то же содержимое. Просто сохраните как файл с расширением .bat и запускайте.

Честное слово, сам не пробовал, но люди говорит, помогает. Дело в том, что я на эту заразу больше никогда не натыкался. По этому пробовать не на чем.

25.02.2012