Вірус флешка створила ярлик самої себе, і помістила туди всі файли - форум про microsoft windows
Вірус: флешка створила ярлик самої себе, і помістила туди всі файли 12.04.13
Сьогодні зіткнувся з дуже цікавим вірусом (підхопив через заражену флешку, яка побувала в комп'ютері на кафедрі університету). Принцип його дії полягає в тому, що заражена флешка створює ярлик самої себе (вказуючи при цьому, що місце розташування файлів - rundll32.exe), куди поміщає всі файли. Причому, з першого погляду може здатися, що це звичайний глюк, і можна просто витягти файли з "ярлика", сам ярлик видалити, і проблеми закінчаться.
І хоча файли нікуди не діваються, і особливих труднощів у роботі з флешкою не виникає. Але, при підключенні до комп'ютера скрипт вірусу записується в систему, і створює небезпечну середу для зараження інших флешок, попутно "створюючи" пару-трійку backdoor'ов.
P.S. Цікаво, але вірус поширюється тільки (!) Через флеш-накопичувачі.
Підключіть флешку в USB-вихід, і відкрийте командний рядок. Далі слід прописати наступні команди:
cd / d X: (де X: - буква каталогу, якої позначається підключена флешка);
attrib -s -h -a -r / s / d *. * (так-так *. * теж потрібно прописувати).
Тепер, відкривши флешку Ви можете побачити всі приховані файли:
Видаліть всі файли, за винятком файлу autorun.inf.
Тепер відкриваємо програму Process Explorer (якщо у Вас її немає - можете скачати тут). Відразу хочу сказати, що у деяких можуть виникнути проблеми з правами, тому рекомендую відразу виконати операцію "File - Show Details for All Processes".
Тепер затисніть комбінацію клавіш Ctrl + L (відкриється віконце внизу, де показуються всі процеси). Тепер потрібно знайти файл autorun.inf (можна вручну - процес знаходиться в гілці svchost, а можна через Ctrl + F).
Тепер натискаємо правою кнопкою миші по процесу, і вибираємо функцію Close handle (процес повинен бути закритий без всяких заперечень). Потім потрібно видалити файл autorun.inf на самій флешці.
Усе. Тепер, якщо Ви все вірно зробили (по ідеї) - Ваш ПК очищений від цієї гидоти.
P.S. Особисто я після очищення перезавантажив ноутбук, і перевірив двома флешками - ніби-то все нормально.
P.P.S. Можна, також, після очищення зробити перевірку системи CureIT'ом - так, про всяк випадок.
Upd 1. Вірус може глибоко засісти в реєстрі, і "тероризувати" Вас навіть після проведеної процедури лікування.
Що-б позбавиться від нього раз і назавжди проведіть наступну операцію:
в гілці HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ Load реєстру знайдіть і видаліть посилання на даний файл.
Наприклад, у мене параметр з посиланням мав вигляд:
де msyufiyia.pif - назва файлу, який був раніше видалений з папки Temp.