Вирус. Папки превратились в ярлыки.
Уже второй раз подряд наступаю на одни и те же грабли. Прихожу в гости к товарищу, включаю в его компьютер свой переносной USB винчестер и наблюдаю странную картину - вместо директорий, которые были в корне жесткого, ярлыки. Но во второй раз я уже был в курсе с чем имею дело, по этому сохранял спокойствие м не закатил истерику. Это вирус, который помещает себя (свой исполняемый файл) в скрытую и системную папку RECYCLER, что на текущем USB устройстве. Все папки, что были в корне диска, делает скрытыми и системными, а вместо них создает ярлыки с такими же названиями. Именно эти ярлыки в будущем могут стать отправной точкой в истории заражения других компьютеров. Всё дело в том что они выполняют две команды: запускают исполняемый файл вируса, а затем открывают папку которую вы хотели просмотреть. Таким образом рядовой неискушенный пользователь и не заметит, что запустил на своем компьютере вирус. Я не разбирался, что именно делает этот вирус, но мне и не особо интересно. Зараза — она и в Африке зараза, а с нечистью надо бороться.
Если вы обнаружили такое чудо на своем носителе информации, ни в коем случае не запускайте эти ярлыки. Их нужно удалить, но предварительно надо посмотреть их свойства, чтобы выявить и уничтожить заразу живущую на флешке. Для этого кликните по ярлыку правой кнопкой мыши, выберите меню свойства и внимательно просмотрите строку «Объект». Там может быть что-то типа %windir%\system32\cmd.exe /c "start %cd%RECYCLER\6dc09d8d.exe && %windir%\explorer.exe %cd%boonya
. Данная команда запускает консоль windows, в которой запускает исполняемый файл вируса и открывает папку boonya. Как видно вирус живет по адресу %cd%RECYCLER\6dc09d8d.exe
, где %cd%
- это адрес (буква) нашего диска. Итак теперь мы знаем где прячется нечисть, по этому просто удаляем её, можно вместе с папкой RECYCLER
.
Теперь можно удалить все такие ярлыки. И на конец сделать ваши папки видимыми. Просто изменением свойств папок это сделать не получится. Для этого можно использовать команду attrib -r -a -s -h G: /s /d
. Если посмотреть хелп страницу этой команды, то можно понять, что эта команда снимает со всех файлов и директорий, что на диске G атрибуты "только чтение", "архивный", "системный" и "скрытый".
P.S. Как написал в одном из комментариев Вася Пупкин, можно использовать bat-скрипт
с вот таким содержимым:
1@echo off
2attrib -r -a -s -h RECYCLER /s /d
3rd /s /q RECYCLER
4attrib -r -a -s -h *.lnk /s /d
5del *.lnk /f /q
6attrib -r -a -s -h *
7del %0 /f /q
8
Просто сохраните как файл с расширением .bat
и запускайте.
Честное слово, сам не пробовал, но люди говорит, помогает. Дело в том, что я на эту заразу больше никогда не натыкался. По этому пробовать не на чем.