Главная › Новости

Вирус скрыл папки на флешке? Что делать?

Опубликовано: 25.10.2017

На флешке ярлык самой флешки

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду. Вирус распространяется только через USB флеш накопители Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду. Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени. Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей. Соображения по защите Открыть содержимое флешки в обход запуска вредоносного ярлыка Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт: attrib "*" -s -h -a -r /s /d Сохраняем его как run.bat и держим под рукой. Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр 1. «Пуск» - «Выполнить» и пишем «regedit»; 2. открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer» 4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств. Когда приносят флешку с ярлыком в корне, нужно скопировать run.bat в корень флешки и запустить; после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы; открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс; теперь осталось удалить с корня все файлы, кроме этой папки. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки. Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015) Помогла программа UsbFix (ССЫЛКА_УДАЛЕНА) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Осторожно, вычищает всё ненужное из автозагрузки. Спасибо Вам огромное! Думаю информация будет актуальна для посетителей! Прим. от 02 октября 2015 года: ссылку на программу удалил. Сейчас там нельзя её скачать, а идёт вечное перенаправление с одного сайта на другой. Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.