На флешке ярлыки вместо папок

Если при подключении USB флешки к компьютеру вы обнаружили ярлыки вместо папок, значит у вас есть «шанс» подхватить вирус или вы уже «заразились» троянской программой.

В данной ситуации самое главное не суетиться и тем более не пытаться запустить эти ярлыки, так как тем самым перенесете троянца на Ваш компьютер. В этих ярлыках записаны по две команды, первая — запускает и устанавливает вирус на ваш компьютер, вторая — открывает папки:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\9bc12g8d.exe &&%windir%\explorer.exe %cd%папка, где

9bc12g8d.exe — тот самый файл, который при запуске переносит вирус на ваш компьютер;
    папка — ваша папка на флешке; 

Переносчика вируса на флешке найти довольно легко. Для этого проанализируем нашу строку «объект» в свойствах любого ярлыка (обычно все они запускают один и тот же файл) и видим, что вирус находится в скрытой папке RECYCLER.

Для отображения скрытых файлов на вкладке «Вид» по пути Пуск\Мой компьютер\Меню\Сервис\Свойства папки у параметра «Скрывать защищенные системные файлы (рекомендуется)» снимаем галочку и устанавливаем переключатель для параметра «Показывать скрытые файлы и папки».

Далее находим и удаляем на флешке папку RECYCLER и все ярлыки наших папок — они не нужны.

Вирус — загрузчик сделал папки системными и скрытыми и просто так эти атрибуты Вам не отключить. Сбросить атрибуты папок можно через командную строку:

cd /d буква флешки:\ <- нажимаем ENTER
    attrib -s -h /d /s <- нажимаем ENTER

Так же можно создать или загрузить с виртуальной флешки системного администратора bat файл с содержанием «attrib -s -h /d /s» и запустить этот файл с флешки.

После этого, можно восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Следующим шагом проверим наш компьютер на наличие зловредных вирусов. Для этого загружаемся с LiveCD, в нашем случае это — SonyaPE, и запускаем антивирус. Для проверки я использую хорошо зарекомендовавший себя Dr Web CureIt 6.00.

Антивирус поймал вирус BackDoor.Butter.23, симптомами которого может быть нестабильная работа компьютера, то есть он «ужасно тормозит и виснет», периодически перестаёт откликаться и выключается с «синим экраном смерти». Кроме того троянская прграмма ворует конфиденциальную информацию: логины-пароли к сайтам, кредитным картам и т.д.

Антивирус Касперского определяет этот вирус как троян Backdoor.win32.ruskill, который создает exe файлы в папке: C:\Documents and Settings\имя пользователя\Local Settings\Application Data\

Кстати, если вы пользуетесь программой Total Commander, атрибут «скрытый» сбрасывется в окне «Изменение атрибутов» по пути Файлы\Изменить атрибуты

Популярность: 41%