Папки с расширением exe как лечить

Содержание

Папки на флешке стали ярлыками

Папки с расширением exe как лечить

Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками.

Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали).

Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

  1. Первая запускает и устанавливает вирус на Ваш ПК
  2. Вторая открывает интересующую Вас папку

Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте.

В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е.

им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.

Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?

  1. В проводнике Windows включаем отображение скрытых и системных фалов.
    • В Windows XP: Пуск-> Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки».
    • В Windows 7 путь немного другой:  Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые.
    • Для Windows 8/10 инструкция есть в статье Показать скрытые папки в Windows 8.
  2. Открываем содержимое флешки, и видим на нем множество ярлыков на папки (обратите внимание на значок ярлыка у иконок папок). Теперь нужно открыть свойства любого ярлыка на папку (ПКМ -> Свойства). Они будут выглядеть примерно так: Нас интересует значения поля Target (Объект). Строка, указанная в нем довольно длинная, и может выглядит примерно так:
    %windir%\system32\cmd.exe /c “start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backup

В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:\windows, C:\windows\system32 и в профиле текущего пользователя (о них чуть ниже)).

Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:

  • в Windows 7, 8 и 10 — C:\users\имя_пользователя\appdata\roaming\
  • в Windows XP — C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\

Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде .bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Проверка системы на наличие команд автозапуска вируса

В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе  текущего пользователя

Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).

Другие способы автозапуска программ в системе описаны в статье Управление автозапуском программ в Windows 8.

Восстанавливаем вид каталогов и доступ к папкам

После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке.

В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом.

Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Ручной способ восстановления атрибутов скрытых папок на флешке

  1. Открываем командную строку с правами администратора
  2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
    cd /d f:\
    , где f:\ — это буква диска, назначенная флешке (в конкретном случае может отличаться)
    attrib -s -h /d /s
    , команда сбрасывает атрибуты  S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.

В результате все данные на накопителе становятся видимыми.

Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов

Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.

С этого сайта скачайте файл clear_attrib.bat (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:

:lblclsset /p disk_flash=”Enter flash drive: “cd /D %disk_flash%:if %errorlevel%==1 goto lblclscd /D %disk_flash%:del *.lnk /q /fattrib -s -h -r autorun.*del autorun.* /Fattrib -h -r -s -a /D /Srd RECYCLER /q /s

explorer.exe %disk_flash%:

При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.

Источник: https://winitpro.ru/index.php/2012/07/19/papki-na-fleshke-stali-yarlykami/

Как удалить вирус, создающий ярлыки файлов и папок на флешке, карте памяти или USB диске

Папки с расширением exe как лечить

Читайте, как удалить вирус преобразующий файлы и папки в ярлыки. Как восстановить данные, которые утеряны в результате деятельности такого вируса.

Ваши файлы и папки на USB флешке или карте памяти стали ярлыками? USB флешка или карта памяти после подключения к компьютеру отображается как ярлык? Ищете как восстановить данные и удалить вирус, преобразовывающий файлы и папки в ярлыки? Вы используете антивирус, но компьютер все равно был инфицирован? К сожалению не все антивирусы могут защитить вас такого заражения.

Однако в отличие от вирусов шифровальщиков, этот тип вирусов достаточно безобидный и вы легко сможете восстановить данные и удалить сам вирус.

Разновидности вирусов ярлыков

На сегодня наиболее распространены 2 типа вирусов, создающих ярлыки: первые создают ярлыки вместо файлов и папок на флешке или карте памяти, другие создают ярлыки съемных дисков вместо самих флешек, внешних USB дисков и карт памяти.

Названия наиболее распространенных вирусов:

  • Bundpil.Shortcu;
  • Mal/Bundpil-LNK;
  • Ramnit.CPL;
  • Serviks.Shortcut;
  • Troj/Agent-NXIMal/FakeAV-BW;
  • Trojan.Generic.7206697 (B);
  • Trojan.VBS.TTE (B);
  • Trojan.VBS.TTE;
  • VBS.Agent-35;
  • VBS.Serviks;
  • VBS/Autorun.EY worm;
  • VBS/Autorun.worm.k virus;
  • VBS/Canteix.AK;
  • VBS/Worm.BH;
  • W32.Exploit.CVE-2010_2568-1;
  • W32.Trojan.Starter-2;
  • W32/Sality.AB.2;
  • Win32/Ramnit.A virus;
  • Worm:VBS/Cantix.A;

Вирус, преобразующий файлы и папки в ярлыки

Этот вирус дублирует ваши файлы и папки, затем прячет и заменяет их. Вирус представляет комбинацию вирусов трояна и червя.

Опасность заключается в том, что вы запускаете вирус каждый раз, когда хотите открыть ваш файл или папку.

После запуска вирус распространяет себя заражая все большее количество файлов и часто устанавливает дополнительно вредоносное ПО которое может украсть данные о паролях и кредитных картах, сохраненных у вас на компьютере.

Вирус, преобразующий флешки и карты памяти в ярлыки

Это чистокровный троянский вирус, который скрывает любые съемные устройства, подключенные к компьютеру и заменяет их ярлыками этих устройств. Каждый раз кликая по ярлыку вы снова запускаете вирус, который ищет на вашем компьютере финансовую информацию и отправляет ее мошенникам, создавшим вирус.

Что делать в случае заражения

К сожалению не все антивирусы могут вовремя обнаружить опасность и защитить вас от инфицирования.

Поэтому наилучшей защитой будет не использовать автоматический запуск съемных устройств и не кликать по ярлыкам файлов, папок или дисков. Будьте внимательны и не кликайте по ярлыкам, которые вы не создавали сами.

Вместо двойного клика для открытия диска, кликните по нему правой кнопкой мышки и выберите Развернуть в Проводнике.

Восстановление данных удаленных вирусом

Для надежного восстановления данных удаленных таким типом вирусов используйте Hetman Partition Recovery. Поскольку программа использует низкоуровневые функции по работе с диском, она обойдет вирусную блокировку и прочитает все ваши файлы.

Загрузите и установите программу, затем проанализируйте зараженную флешку или карту памяти. Проведите восстановление информации до очистки носителя от вируса. Наиболее надежным вариантом лечения будет очистка флешки с помощью команды DiskPart, это удалит всю информацию на ней.

Удаление вируса с карты памяти или USB флешки

После восстановления данных с флешки вы можете её полностью очистить с помощью утилиты DiskPart. Удаление всех файлов и форматирование устройства может оставить вирус, который спрячется в загрузочном секторе, таблице разделов или на неразмеченной области диска. Как правильно очистить флешку смотрите в видео.

Удаление вируса с флешки с помощью командной строки

Данный способ не позволяет гарантированно очистить флешку от всех видов вирусов, но сможет удалить вирус, который создает ярлыки вместо файлов. Вам не нужно будет скачивать и устанавливать сторонние утилиты, удаление производится с помощью встроенного в любую версию Windows инструмента.

  • Кликните правой кнопкой мышки по меню Пуск и запустите командную строку от имени администратора.
  • Введите команду f: и нажмите Enter (где f – это буква флешки зараженной вирусом).
  • Введите команду: attrib f:*.* /d /s -h -r –s и нажмите Enter:
  • –h: показывает все скрытые файлы на флешке;
  • –r: убирает параметр только для чтения;
  • –s: убирает параметр системный со всех файлов.

Удаление вируса с компьютера

Наиболее простым и надежным способом очистки компьютера от вируса будет полная переустановка Windows с удалением системного раздела.

Но если вы являетесь опытным пользователем, вы можете опробовать следующий способ:

Отключите запуск вируса при старте Windows в реестре. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Перейдите к ключу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.

Просмотрите все ключи, которые находятся в этом разделе. Если вы видите необычное название или расположение программы – удалите запись. Часто вирусы прячутся под автоматически сгенерированными названиями, например – sfdWQD234dcfF.

Любые ключи, которые запускают VBS, INI, LINK или EXE файлы потенциально опасны. Однако только вы знаете какие программы установлены на компьютере и должны загружаться при старте Windows, поэтому вы должны сами принять решение об удалении того или иного ключа.

Для удаления выделите ключ левой кнопкой мышки и удалите его кнопкой Del.

Отключите запуск вируса через службы Windows. Нажмите клавиши Win + R, в появившемся окне введите msconfig и нажмите Enter. В открывшемся окне перейдите на вкладку Службы. Просмотрите их и отключите все подозрительные.

Отключите приложения, запускаемые автоматически через диспетчер задач (для Windows 8и старше). Нажмите Ctrl + Shift + Escи перейдите на вкладку Автозагрузка. Для отключения подозрительного приложения по нему нужно кликнуть правой кнопкой мышки и выбрать Отключить.

Источник: https://hetmanrecovery.com/ru/recovery_news/how-to-remove-virus-creating-shortcuts-to-files-and-folders.htm.

Источник: https://zen.yandex.ru/media/hetmansoftware/kak-udalit-virus-sozdaiuscii-iarlyki-failov-i-papok-na-fleshke-karte-pamiati-ili-usb-diske--5be15beff7a35000aa01d6f1

Угрозы типа «вирус_exe.exe»: что это и как с ними бороться?

Папки с расширением exe как лечить

Интернет сегодня является достаточно небезопасным виртуальным пространством. Пользователь может подхватить оттуда любую заразу в виде исполняемого кода или вируса.

Недавно появилась новая разновидность угроз, которая интерпретируется как как «вирус_exe.exe». Попробуем разобраться в том, как данный тип угроз воздействует на систему и как бороться с ними наиболее оптимальными методоми.

Вирус блокирует или удаляет exe-файлы: последствия

Вирусы, которые воздействуют именно на исполняемые файлы известны уже достаточно давно, еще со времен систем DOS, когда Windows еще не было и в помине. «Экзешные» файлы на заре компьютерной техники являлись основным элементом в системе. Поэтому совершенно не удивительно, что вирусные атаки были сосредоточены именно на них.

Стоит отметить, что это касается и некоторых мобильных устройств, которые работают под управлением операционной системы Windows. Сегодня ситуация, когда вирус просто удаляет exe-объекты, заменяет оригинальные файлы или переименовывает их в двойное расширение, является катастрофической.

На системе это собственно отражается таким образом, что при запуске приложения операционная система Windows выдает сообщение о том, что такой объект не найден или доступа к нему нет. Ситуация может проявляться в нескольких вариациях. Так, вирус может просто удалять исполняемый файл или инфицировать объект с последующим блокированием.

Как уже стало ясно, система в любом случае не распознает искомый объект. Угрозы этого тип частенько проникают в систему, когда выполняется обновление пользовательской программы или браузера из сомнительного источника.

По своей неопытности многие пользователи отключают антивирусную защиту или расширения браузеров типа AdBllock, которые могут блокировать выпадающие меню и рекламные окна. Этого нельзя делать ни в коем случае.

Вирус создает файлы с расширением exe: как это может отразиться на системе?

Если угроза начинает воздействовать на зараженный компьютер путем создания новых исполняемых компонентов, то здесь также можно найти несколько вариантов. Чаще всего в данном случае встречается два варианта развития событий: может создаваться объект с новым названием «вирус_exe.

exe», где вирус означает имя файла, или же вирус может дублировать файлы exe, встраивая вредоносные коды в свои клоны. Найти и обезвредить такую угрозу в первом случае оказывается намного проще. Чуть позже мы рассмотрим этот процесс на примере вируса some-exe.exe. Во втором случае дела будут обстоять немного иначе.

Угроза в большинстве случаев маскируется под системный процесс.

Антивирусные программы

Все ли антивирусы подходят для лечения таких вирусов? Что же касается средств для обнаружения подобных угроз, изоляции вирусов или лечения зараженных файлов, то здесь все на так просто. Многие бесплатные антивирусные пакеты вообще не подходят для этих целей.

Известно множество случаев, когда те же бесплатные антивирусные программы типа Avira и AVG при обнаружении угроз типа «вирус_exe.exe», при неудачной попытке лечения инфицированных объектов даже не перемещали их в карантин, а просто удаляли.

К чему это может привести? В худшем случае, это может привести к полной переустановки всей операционной системы.

Оптимальные инструменты для поиска и удаления угроз

Если уж задаться вопросом безопасного и эффективного поиска и лечения, то необходимо обратить внимание на портативные утилиты вроде KVRT или Dr. Web Cure It! Однако практика показывает, что самым мощным средством в подобных ситуациях будут специальные программы типа Kaspersky Rescue Disk.

Принцип работы таких программ заключается в том, что изначально создается оптический носитель или загрузочный USB, с которого еще до загрузки операционной системы Windows осуществляется запуск антивирусного сканера.

Такие сканеры при этом способны находить даже тщательно замаскированные и глубоко скрытые объекты, которые не распознаются портативными или штатными антивирусными программами. Так, например, вирус, добавляющий в название файлов и папок расширение .

exe, определиться такими средствами достаточно быстро, в то время как штатные сканеры могут пропускать такие объекты. Также довольно часто может меняться путь к системным файлам. В результате обращение происходит не к оригинальному файлу, а к довольно опасному его клону.

Пример ручного удаления вируса типа «_exe.exe»

Ранее уже говорилось о том, что удалить вирусы такого типа достаточно просто. Для начала необходимо остановить в «Диспетчере задач» одноименный процесс, а затем задать в проводнике или в любом другом файловом менеджере поиск. В качестве условия необходимо вписать либо полное имя, либо «exe.exe».

Можно в принципе поступить и еще проще, так как сам файл прописывается в директории System 32. Нужно удалить его оттуда. Затем необходимо удалить аналогичную динамическую библиотеку some_dll.dll. Если удаление данной библиотеки невозможно, можно просто попробовать ее переименовать.

После этого необходимо зайти в редактор системного реестра, и снова использовать функцию поиска. Вызвать ее можно из главного меню или сочетанием клавиш Ctrl+F. Затем в строке поиска необходимо задать полное название. Все полученные результаты можно полностью удалить.

Если причины последствия воздействия все равно будут проявляться, необходимо найти файл HOSTS, который находится в каталоге etc папки drivers в директории System 32 на системном диске, открыть его и удалить все строки, расположенные ниже значения «#::1 localhost». Затем нужно перезагрузить систему.

В результате после выполнения таких действий все должно работать нормально. В этом случае вам даже не понадобиться антивирусный сканер.

Заключение

Вкратце это все, что касается вирусов, которые воздействуют на исполняемые exe-файлы. Методика их обнаружения и блокировки довольно проста. Лучше всего использовать для этой цели так называемые «диски спасения».

Источник: http://computerologia.ru/ugrozy-tipa-virus_exe-exe-chto-eto-i-kak-s-nimi-borotsya/

Папки с расширением exe как лечить

Папки с расширением exe как лечить

Вложения

info.txt (19.6 Кб, 231 просмотров)
log.txt (17.8 Кб, 85 просмотров)
virusinfo_syscheck.zip (18.0 Кб, 73 просмотров)
virusinfo_syscure.zip (18.1 Кб, 50 просмотров)

Папки на флешке становятся ярлыками
Здравствуйте. Вот такая проблема

Источник: https://medical-peterburg.ru/papki-s-rasshireniem-exe-kak-lechit/

Вирус на флешке — папки стали ярлыками! Решение!

Папки с расширением exe как лечить

Сегодня я хочу поговорить об одном уже весьма стареньком вирусе, модификации которого до сих пор будоражат компьютеры пользователей не заботящихся о собственной безопасности.

Смысл его деструктивной деятельности заключается в том, что он скрывает содержимое съемного диска и подменяет его ссылками на исполняемый файл, которые умело маскирует с помощью изменения их атрибутов. Всё рассчитано на то, что ничего не подозревающий пользователь не заметит, что вместо папок ярлыки и попытается их открыть.

Таким образом этот троян и кочует от компьютера к компьютеру, поражая незащищённые операционные системы одну за другой.
Если же на очередном ПК будет стоять хорошая антивирусная программа типа Касперского или DrWeb, то она, конечно же, сразу его засечёт и удалит сам исполняемый EXE-файл или скрипт.

Но вот изменить атрибуты, из-за которых папки стали ярлыками на флешке, антивирус не в состоянии и Вам придётся делать это вручную. Как это сделать я сейчас и расскажу.

Вычищаем заразу окончательно!

Для начала надо окончательно убедиться, что вируса нет ни на компьютере, ни на USB-диске. Для этого обновляем базы антивирусной программы и проверяем сначала одно, потом другое. Если у Вас её нет — настоятельно рекомендую его установить.

Например, отлично себя зарекомендовал бесплатный антивирус Касперского. Так же можно воспользоваться одноразовым сканером DrWeb CureIT.
После этого надо зайти в панель управления Windows и открыть раздел «Параметры папок».

В открывшемся окне переходим на вкладку «Вид»:

Здесь необходимо снять галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов». А вот флажок «Показывать скрытые файлы, папки и диски» надо наоборот поставить.

Это делается для того, чтобы увидеть всё, что вредоносная программа могла скрыть от пользователя.
Следующим шагом нужно будет вручную подчистить остатки жизнедеятельности зловреда. Обязательно проверьте чтобы на флешке не осталось файла сценария автозапуска — autorun.

inf. Затем стоит удалить папку RECYCLER (Кстати, в ней-то обычно EXE-шник вируса и лежит).
На жестком диске надо обратить внимание на папки пользователей, а особенно — на C:\Users\\Appdata\Roaming\.

Именно сюда пытается прятаться всякая зараза, а потому в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT.

Возвращаем пропавшие папки обратно

Следующим этапом нужно вернуть обратно папки, которые стали ярлыками на USB-накопителе. Вот тут начинается самое интересное.

Дело в том, что в зависимости от модификации, способ с помощью которого вирус спрятал директории может быть разным. В самом простом случае достаточно зайти на флешку. Там вы увидите скрытые папки (их отображение мы включили выше).

Надо просто на каждой из них кликнуть правой кнопкой, открыть её свойства и снять галочку «Скрытый».

А вот если поработал более продвинутый зловред, то скорее всего эта галочка будет недоступна и так просто снять атрибут «скрытый» с папки после вируса у Вас не получится.

В этом случае прямо в корне флешки создаём текстовый файлик, в котором надо скопировать вот эту строчку:

attrib -h -r -s -a /D /S

Закрываем текстовый редактор и меняем ему расширение с *.TXT на *.BAT.
Кликаем на файлике правой кнопкой и в контекстном меню выбираем пункт «Запуск от имени Администратора».

После этого папки должны стать видимыми.
Если что-то непонятно — смотрим видео-инструкцию:

Автоматизированный вариант

Для тех, кто не любит всё делать вручную, предпочитая положиться на скрипты, тоже есть отличный способ. Заключается он в том, что на съёмном накопителе надо опять же создать BAT-файл, открыть его блокнотом и скопировать туда вот такой код:

:lable cls set /p disk_flash=”Input USB Drive Name: ” cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:

Закрываем текстовый редактор и сохраняем изменения. Запускаем скрипт на исполнения. В начале он попросит указать букву, под которой флешка отображается в Проводнике. После этого он удалить папку RECYCLER, файл автозапуска autorun.

inf и вернёт атрибуты папкам, которые стали ярлыками. Этот вариант отлично работает в большинстве случаев на «ура».

Но если вдруг Вам попадётся более хитрая модификация такого вируса, то всё же Вам придётся закатать рукава и поработать руками.

Источник: https://nastroisam.ru/virus-papki-stali-yarlyikami/

Вирус ярлык на флешке лечение

Папки с расширением exe как лечить
Подробности Категория: Безопасность Создано 31.01.2020 08:53 4452

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.

Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.

Убеждаемся, что папки и файлы целые

Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:

  • Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  • Показывать скрытые файлы и папки — устанавливаем переключатель.

Теперь ваши папки на флешке будут видны, но они будут прозрачными.

Находим и удаляем вирус через свойства ярлыка

Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:

  • «%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»

Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы.  Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.

Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
  • Расшифровка атрибутов R – разрешает или запрещает атрибут «Только для чтения», S – превращает файл или папку в системный, H – скрываем или показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk

Автономный метод удаления вируса

В блокноте создаем файл и копируем туда ниже перечисленный текс после сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени администратора. После запуска компьютер попросит ввести букву, соответствующую вашей флешке, что нужно сделать. После этого он удалить папку RECYCLER, файл автозапуска autorun.

inf и вернёт атрибуты папкам, которые стали ярлыками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=”Vvedite bukvu vashei fleshki: “
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.

* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Удаление вируса через реестр

В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программы

Удаление вируса вручную

  • Во временной папке Temp C:\users\%username%\AppData\Local\Temp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
  • Проверяем также папку C:\Users\\Appdata\Roaming\. в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.

Восстановление системы

Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.

exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы.

После восстановления должно появится окошко о удачно окончании процесса.

На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.

Источник: https://www.compinf.ru/programmnaya-chast/programmnoe-obespechenie/bezopasnost/virus-yarlyk-na-fleshke-lechenie.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.