Текучка - советы сисадмина на каждый день Текучка - советы сисадмина на каждый день
Menu
Search
На флешке ярлыки вместо папок

троянская программа Если при подключении USB флешки к компьютеру вы обнаружили ярлыки вместо папок, значит у вас есть «шанс» подхватить вирус или вы уже «заразились» троянской программой.

В данной ситуации самое главное не суетиться и тем более не пытаться запустить эти ярлыки, так как тем самым перенесете троянца на Ваш компьютер. В этих ярлыках записаны по две команды, первая — запускает и устанавливает вирус на ваш компьютер, вторая — открывает папки:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\9bc12g8d.exe &&%windir%\explorer.exe %cd%папка, где

9bc12g8d.exe — тот самый файл, который при запуске переносит вирус на ваш компьютер;
    папка — ваша папка на флешке; 

Переносчика вируса на флешке найти довольно легко. Для этого проанализируем нашу строку «объект» в свойствах любого ярлыка (обычно все они запускают один и тот же файл) и видим, что вирус находится в скрытой папке RECYCLER.

Для отображения скрытых файлов на вкладке «Вид» по пути Пуск\Мой компьютер\Меню\Сервис\Свойства папки у параметра «Скрывать защищенные системные файлы (рекомендуется)» снимаем галочку и устанавливаем переключатель для параметра «Показывать скрытые файлы и папки».

Далее находим и удаляем на флешке папку RECYCLER и все ярлыки наших папок — они не нужны.

Вирус — загрузчик сделал папки системными и скрытыми и просто так эти атрибуты Вам не отключить. Сбросить атрибуты папок можно через командную строку:

cd /d буква флешки:\ <- нажимаем ENTER
    attrib -s -h /d /s <- нажимаем ENTER

Так же можно создать или загрузить с виртуальной флешки системного администратора bat файл с содержанием «attrib -s -h /d /s» и запустить этот файл с флешки.

После этого, можно восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Следующим шагом проверим наш компьютер на наличие зловредных вирусов. Для этого загружаемся с LiveCD, в нашем случае это — SonyaPE, и запускаем антивирус. Для проверки я использую хорошо зарекомендовавший себя Dr Web CureIt 6.00.

Антивирус поймал вирус BackDoor.Butter.23, симптомами которого может быть нестабильная работа компьютера, то есть он «ужасно тормозит и виснет», периодически перестаёт откликаться и выключается с «синим экраном смерти». Кроме того троянская прграмма ворует конфиденциальную информацию: логины-пароли к сайтам, кредитным картам и т.д.

Антивирус Касперского определяет этот вирус как троян Backdoor.win32.ruskill, который создает exe файлы в папке: C:\Documents and Settings\имя пользователя\Local Settings\Application Data\

Кстати, если вы пользуетесь программой Total Commander, атрибут «скрытый» сбрасывется в окне «Изменение атрибутов» по пути Файлы\Изменить атрибуты

Популярность: 48%

arrow44 комментария

  1. имя
    68 mos, 2 wks ago

    Хорошая статья, но достаточно непопулярная, поскольку у ламеров часто стоит антивирь, а юзеры уже встречались с этой проблемой и знают, что значат «ярлыки вместо папок» или, например, «папка» «Новая папка.exe»

  2. Aysan
    68 mos, 2 wks ago

    Может и не популярная, но, как говорится, все посты «из жизни». То есть, с чем сталкиваюсь, то и описываю. Надеюсь, кому -нибудь поможет. Спасибо за комментарий.

  3. валера
    68 mos, 2 wks ago

    спасибо за информацию!

  4. Alexx
    68 mos ago

    Лучше так attrib -h -r -s -a /D /S а еще можно так создать bat файл (ATTRIB_flash_all.bat) в него вставить и сохранить:

    :lable

    cls

    set /p disk_flash="Vvesti buky flash drive:"

    cd /D %disk_flash%:

    if %errorlevel%==1 goto lable

    cls

    cd /D %disk_flash%:

    del *.lnk /q /f

    attrib -s -h -r autorun.*

    del autorun.* /F

    attrib -h -r -s -a /D /S

    rd RECYCLER /q /s

    explorer.exe %disk_flash%:

    При запуске попросит ввести букву флэшки(это что бы можно было запускать откуда угодно, а не копировать в корень флэшки для запуска) если буква диска введена не правильно, то еще раз попросит ввести

    После чего скрипт удалит все ярлыки *.lnk (думаю можно все удалять) если есть файл автозапуска то он его тоже удалит, после снимет со всех папок атрибут «скрытый» (нужно подождать), удалит папку RECYCLER с флэшки(обычно вирус её тоже создает, и записывает туда вирус) и после всего этого, откроет флэшку через проводник, показать, что получилось

  5. Alexx
    68 mos ago

    что то не правильно отображает сообщение

    www_blog.webitdesign.ru/virus-folder.html

  6. abikon
    68 mos ago

    Спасибо. Супер! Только вчера я тоже на своем сайте написал про это на казахском языке. :)

  7. валера
    68 mos ago

    спасибо за информацию!

  8. Aysan
    68 mos ago

    ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [диск:][путь][имя_файла] [/S [/D] [/L]]

    + - Установка атрибута.

    — — Снятие атрибута.

    R — Атрибут «Только чтение».

    A — Атрибут «Архивный».

    S — Атрибут «Системный».

    H — Атрибут «Скрытый».

    I — Атрибут «Неиндексированное содержимое».

    [диск:][путь][имя файла] — Указание файла или набора файлов для обработки.

    /S — Обработка файлов с указанными именами в текущем каталоге и во всех его подкаталогах.

    /D — Обработка файлов и каталогов.

    /L — Работать с атрибутами самой символической ссылки, а не целевого объекта этой символической ссылки.

  9. Aysan
    68 mos ago

    Исправил

  10. Aysan
    68 mos ago

    Всегда рад помочь

  11. Aysan
    68 mos ago

    Пожалуйста

  12. kira
    67 mos ago

    Может быть кому-то эта тема уже известна, а я читаю впервые. Чайники тоже должны перерастать в юзеров. А это в том числе с помощью таких статей. СПАСИБО.

  13. валера
    67 mos ago

    спасибо!

  14. Антон
    65 mos, 3 wks ago

    С помощью вот этой программы удобно удалять этот вирус: code.google.com/p/flash-helper/

  15. валера
    65 mos, 2 wks ago

    с новым годом! спасибо за информацию.

  16. Андрей
    65 mos, 1 wk ago

    Всё получилось !!! Спасибо!

  17. валера
    65 mos, 1 wk ago

    хорошие советы спасибо!http://aysan.ru/wp-includes/images/smilies/icon_smile.gif

  18. Татьяна
    65 mos ago

    Есть прекрасная программа «Зоркий глаз» специально убирать с флешек ярлыки. Установить ее ( с автозапуском) и можно навсегда забыть про ярлыки. Я поставила себе и дома и на работе и всем знакомым. :twisted:

  19. валера
    65 mos ago

    спасибо!http://aysan.ru/wp-includes/images/smilies/icon_sad.gif

  20. Priboy
    64 mos, 3 wks ago

    Спасибо за статью,не раз сталкивался с такой проблемой «ярлыки вместо папок»

  21. валера
    64 mos, 3 wks ago

    спасибо!

  22. serikoff
    64 mos, 1 wk ago

    alexgrru.ru/yarlyiki-vmesto-papok-na-fleshke/ все проще и работает!!

  23. ihar
    64 mos, 1 wk ago

    здорово , но информация запоздала месяцев на 10.Поэтому 3 вместо 5

  24. Hummann
    64 mos ago

    что то как то нет доступа пишет ДОС при изменении аттрибутов :cry:

  25. Hummann
    64 mos ago

    хотя папки появились! сэнкью :smile:

  26. Miles
    63 mos, 4 wks ago

    Эх!Поздно, я уже запускал ярлычок, но файлы он создал не в

    C:\Documents and Settings\имя пользователя\Local Settings\Application Data\,

    а в

    C:\Documents and Settings\имя пользователя\Application Data\

    Создавались 1.exe 2.exe 7.exe 8.exe и т.д.

    Нод 32 сёк их как win32\generik очистка невозможна, снимал проц анлокером у мочил файлы+5раз форматнул флэху , результатов ещё не созерцал

  27. валера
    63 mos, 3 wks ago

    всё хорошо спасибо

  28. Елена
    63 mos, 2 wks ago

    Большое спасибо!!!

    Все получилось!

  29. Мишаня
    63 mos, 2 wks ago

    Спасибо, дружище, помогло!!

  30. Aysan
    63 mos, 2 wks ago

    Рад за Вас!

  31. валера
    63 mos, 1 wk ago

    всё понятно спасибо!

  32. Василий
    62 mos ago

    Еще один из вариантов как открыть скрытые файлы. Всего за пару щелчков — подойдет для обычных пользователей, которым и не обязательно знать файловые менеджеры и тд. Просто выбрать папку или флешку, и нажать начать. 5 сек и готово! Если кому интересно вот — ow.ly/ar88K — надеюсь поможет многим.

    P.S. программа абсолютно бесплатна, без регистрации и смс. скачивайте и обменивайтесь на здоровье.(только на операционные системы Windows, необходима платформа NET 2й версии — обычно в ходит в комплект операционной системы, если не урезанная версия)

  33. rick_ardodiaz
    61 mos, 2 wks ago

    Вы меня просто спасли, спасибо!

  34. света
    61 mos, 1 wk ago

    у меня нет такой папки и я не очень поняла что нужно сделать :sad: :sad: :sad:

  35. Наташа
    61 mos ago

    Спасибо огромное,у меня муж три дня сидел,не мог ничего сделать,а я благодаря вашим подсказкам за час разобралась!

  36. OLOLOSHA
    60 mos, 3 wks ago

    Пойду вирус такой пилить, только он будет доступ к компу давать :evil: :evil: :???:

  37. Дмитрий
    59 mos, 2 wks ago

    Спасибо, очень выручили

  38. Татьяна
    56 mos ago

    Спасибо за статью. У знакомых как раз такая проблема. Высылаю им ссылку на вашу страницу, пусть читают и действуют!

  39. Dimon
    55 mos, 2 wks ago

    Спасибо за подробную инструкцию.

    Попробовал — работает

    Респект автору!!!!!!!!!

  40. еж
    49 mos ago

    а если у меня нет ни папки(с вирусом),ни самого файла на флешке,что тогда делать??(

  41. Programmer
    48 mos, 4 wks ago

    Избавиться просто — надо просто себе установить программу — Зоркий Глаз — Anti-autorun. Лучшая на сегодняшний день комплексная защита от autorun вирусов! Программа представляет из себя антивирус — детектор, который сканирует съёмные диски (флешки, плееры, телефоны...) Рекомендую как дополнение к основному ативирусу, т.к. «Зоркий Глаз» находит все файлы, автоматически запускаемые при вставке флешек. При этом конфликтов между антивирусами не будет!

  42. ybreyt
    48 mos, 3 wks ago

    Раз зашёл разговор про папки, то может быть кто-нибудь подскажет: после подсоединению к компьютеру видеокамеры при попытке создать папку создаётся портфель (Briefcase), а переключить обратно не могу. И в интернете ничего не нашёл. Помогите, пожалуйста.

  43. Ирик Адгамович
    27 mos, 3 wks ago

    К слову «ярлык» пришлось. В одно из моих блужданий по И-нету пропали иконки на рисунках. Теперь чтобы узнать что за рисунок скрывается за ярлыком, каждому нужно «кланяться». Как быть.

  44. Игорь
    27 mos, 3 wks ago

    Ирик Адгамович -ассоциировать эти типы файлов через свойства папки (типы зарегистрированных в системе файлов) пробовали? —

    попробуйте через программу Tweak UI -> Repair -> Rebuild Icons

Leave A Comment