Yarlykova вирус - програмист сайт и блог
Всички съвременни антивирусен софтуер отдавна са се научили да блокира започването на autorun.inf файлове от преносими носители и нападателите излезе с нови начини да заразят компютрите на потребителите.
Един от тези видове инфекции, ние разглеждаме днес, а именно, ръчно премахване на вируса от системата.
Е, сега да преминем към разглеждането на самия вирус.
Описание вирус
Първите признаци на инфекция с вируса е наличието на преносим носител, т.е. за флаш карти, етикети за всички папки, които са във флаш-паметта по време на инфекция. Свойствата на тези етикети укажете пътя до изпълнимия файл на вируса:
% Windir% \ system32 \ cmd.exe / в "започнете% CD% RECYCLER \ 1b37f31f.exe % Windir% \ explorer.exe% CD% RECYCLER
Нищо неподозиращите потребителят кликне върху етикета и го приел за нормално папка, и по този начин, вирусът започва да се изпълни. Едновременно с пускането на вируса и да отворите желаната папка и всичко изглежда съвсем нормално, което всъщност не е вярно.
По този начин, самия вирус е в RECYCLER папка. който се намира на сменяем носител. Вътре в тази папка са два файла: 1b37f31f.exe и Desktop.ini. Първият файл - е самия вирус, втората е отговорен за показване на икона на папка под формата на редовен кошница.
Добре е да припомним, че на флаш устройство трябва да бъде не Корзин, т.е. папката с име RECYCLER. Тези папки могат да бъдат само настоящите върху твърдия диск на компютъра, но не и на флаш памет. Ако намерите тази папка във флаш-паметта - това е абсолютно вируса.
При стартиране на вируса прави скриете всички папки на сменяеми носители, и да се създаде преки пътища към имената на папките. Така че без усложнения начин, там е стартирането на вируса.
Технически данни на вируса
Много антивирусен вирусът се открива като троянски и въпреки, че много време мина от създаването на вируса, в интернет е много малко информация за този вирус.
Така че, малко техническа информация:
Име на файла: 1b37f31f.exe
Размер на файла: 246.8 KB (252,731 байта)
Тип на файла: Win32 EXE
Премахването на вируса
Да започнем с това, че е необходимо, за да видите скритите файлове и папки на вашия компютър. За да направите това, отворете Windows Explorer и изберете елемент от менюто "Инструменти" след това "Опции за папките", ще видите прозорец "Опции за папките". Кликнете върху раздела "Изглед" и сложи ключа на опцията "Покажи скритите файлове и папки", а след това, малко по-горе, махнете отметката от "Скрий защитените файлове на операционната система (препоръчително)", ще бъде предупредителен прозорец, че ще бъдат показани защитени на операционната система файлове "Explorer". Кликнете върху бутона "Да", а след това в "Опции за папките", щракнете върху "Apply" и "ОК".
След това, в допълнение към етикетите, ще видите същите тези папки, които са скрити от вируси.
Сега, след като започна да се предлага скрити файлове и папки, извадете папката USB диск RECYCLER, заедно с цялото му съдържание. След това премахнете всички комбинации, създадени от вируса.
Един важен момент: всички дялове на твърдия диск, можете също така да изтриете RECYCLER папка, защото често в тези папки е работа копие на вируса.
Премахване на последиците от вируса
Когато сте премахнали папката RECYCLER и създаване на преки пътища към тях, ще трябва да се върне на атрибутите на скрити папки, които са им дали вируса. Тук се намира един трик: Чрез File Explorer няма да може да се премахне "Hidden" атрибут към скритата папки вирус. Работата е там, че в допълнение към атрибут "скрит", вирусът е присвоила друг атрибут: - "System". Ето защо, Explorer не позволява да се премахне Hidden атрибут "до желаната папка.
Въпреки това, всички тези атрибути са лесно отстранени всякакви файлов мениджър като Total Commander или двойна Commander.
В Total Commander атрибути са отстранени, както следва:
1. Отворете Total Commander (по-рано, включително в Total Commander дисплей системни файлове), а след това в един от Total Commander панели корен на вашата пръчка;
2. Изберете менюто "Файлове", след това "Промяна на атрибутите на ...";
3. В прозореца, който се появява, извадете от квадратчетата до архива, само за четене Скрити и система, и след това кликнете върху «OK» бутона.
атрибути се отстраняват по начин, подобен на програмата Двойна командващия:
1. Отворете Double Commander (по-рано включва Double Commander дисплей системни файлове), а след това в един от панелите Double Commander основата на вашия стик;
2. Изберете менюто "Файлове", след това "Edit атрибутите";
3. В прозореца, който се появява, извадете от квадратчетата до архива, само за четене Скрити и система, и след това кликнете върху «OK» бутона.
След това, вирусни скрити папки вече няма да са толкова.
алтернативен начин
Има и друг начин да се премахне приписани папки, вирус преди нас. Този алтернативен метод е да стартирате само един «приписвам» команда, която ви позволява да зададете или премахване на атрибути на файлове и папки.
ние няма сега да разгледат целия синтаксиса на тази команда, тъй като това е тема за друга статия - ние просто се създаде прост скрипт, или по-скоро един прилеп-файл със следното съдържание:
Напишете или копирайте следния ред в Notepad и го запишете под всяко име, но с разширение .bat. Трябва да се отбележи, че е необходимо да се запази файла на флаш-памет, на която искате да премахнете атрибутите "Hidden" и "система". Името на файла може да става дума за «NoHidden.bat», но винаги с разширение .bat.
Уверете се, че сте създали файла е в основата на вашия USB диск, и след това да го изпълните. След стартирането на нашия «NoHidden.bat» папка с файлове ще стане видим отново.
Тук такива прости манипулации ние отстранени досадния вирус не само за преносими носители, но и на флаш памет. В допълнение, ние сме се научили как да премахнете атрибутите "Hidden" и "система" от папката.