Что делать если на флешке все папки стали ярлыками

Если в один прекрасный момент вы обнаружили, что вместо папок на вашей флешке остались одни ярлыки – знайте вы подхватили вирус.

Скорее всего у вас завелся вирус Backdoor.win32.ruskill или его модификацию.

Действия его таковы.

Он заменяет оригинальные папки на флешке ярлыками. А оригинальные папки делает скрытыми.

И если неопытный пользователь нажмет на этот ярлык, откроется не только папка, но и сам вирус загрузится в память и попытается проникнуть в вашу систему.

Как увидеть скрытые папки на флешке описано тут. Почему антивирусы упорно игнорируют флеш-накопители и не пытаются их лечить – для меня до сих пор остается загадкой.

Так как модификаций даже у одного вируса предостаточно, конкретно говорить названия фалов с вирусом и где они находятся не имеет смысла.

Именно этот вирус создает на флеш-накопителе скрытую папку RECYCLER под каким-нибудь цифровым именем с расширением .exe.

Например с таким – e5e88а22.exe.

У каждой модификации вируса могут разные названия файла.

Советую сразу удалить эту папку с флешки со всем ее содержимым. Также обязательно удалите файл в корне флешки с именем autorun.inf.

Также стоит проверить реестр Windows на наличие там автозапуска для вируса.

Внимание! Будьте осторожны с изменениями в системном реестре Windows – неосторожные действия могут привести к неработоспособности системы. Если вы не имеете опыта в редактирования реестра Windows, советую вам вызвать специалиста.

В редактор реестра попадаем таким образом – “выполнить – regedit”
Обратите внимание на ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Run – там будут следы вируса.

Еще раз хочу заметить, что нужно смотреть в этой ветке, и удалить только автозапуск вируса, а остальные записи в ветке должны остаться.

Запись в реестре будет следующего содержания:
“имя-вируса”=”%Documents and Settings%\%Current User%\
Application Data\имя-вируса.exe”

Так же вирус прописывает себя по следующему адресу:
%Documents and Settings%\%Current User%\Application Data\имя-вируса.exe

%Current User%\ – имя вашего юзера в системе

Для WinXp это будет примерно такой путь:

C:\Documents and Settings\имя-вашего-юзера\Local Settings\Application Data\имя-вируса.exe

Для Win 7 это будет примерно такой путь:

C:\users\имя-вашего-юзера\appdata\roaming\имя-вируса.exe

Как убить всю эту заразу?

Идеальным вариантом будет загрузиться с любого Linux LiveCD (например с загрузочного диска Ubuntu) и убить все без мучений, как на флешке, так и на жестком диске.

Либо убить все это из-под Windows, но тогда останется шанс того, что вирус сохранится в памяти и пропишет себя заново.

Если вы не хотите возиться с загрузочными дисками Linux, опишу способ как сделать это из-под Windows, но он намного длиннее.

  • Если у вас нет антивируса на компьютере, или если он есть и при включении флешки никак на нее не среагировал (считайте антивируса у вас нет как такового), то заражение памяти уже произошло и вирус прописался по всем адресам, описанным выше.
  • Если антивирус среагировал и заблокировал действия вируса (внимательно читайте его логи), то вам остается проверить еще раз им оперативную память и заняться флешкой. Если нет антивируса – качаем DRwebCureIt и заводим его на полное сканирование компьютера. В этой операции самый важный момент – это очистка оперативной памяти.
  • Далее заходим на флешку и удаляем все левые папки и файлы, которые там появились мимо корзины зажимая клавишу Shift(папку RECYCLER и autorun.inf – обязательно).
  • Смотрим в реестре – если есть следы, убираем.
  • Вычищаем его с диска С (пути написаны выше).
  • На флешке должны остаться только скрытые папки с вашими файлами. Проверяем еще раз антивирусом эти файлы и копируем на жесткий диск
  • Флешку форматируем

Во время лечения – обязательно выключаем интернет. Вирус обновляется через интернет, отправляет данные, пытается разослать себя вашим друзьям через клиенты мгновенных сообщений и много чего еще делает. Полный список его “дел” читаем тут.

От себя хочу добавить, что если файлы на флешке не так уж важны, лучше сразу ее отформатировать.
Иногда, некоторые модификации вируса могут зашифровать ваши файлы на флешке.

Попробуйте открыть файл, находящийся в скрытой папке. Если он без ярлыка не открывается, тогда один путь – формат флешки.

Если ничего из вышеописанного не помогло, есть самый последний и радикальный способ избавиться от заразы – форматирование жесткого диска и форматирование флешки.

P.S. Если вы хотите взять у друга небольшой файл – не используйте флешку. Загрузите этот файл, например на Яндекс диск. Там есть проверка на вирусы. Используйте хороший антивирус на своем компьютере.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *