На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.
Вирус распространяется только через USB флеш накопителиИтак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду. Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени. Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.
Помогла программа UsbFix (ССЫЛКА_УДАЛЕНА) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Осторожно, вычищает всё ненужное из автозагрузки.Спасибо Вам огромное! Думаю информация будет актуальна для посетителей! Прим. от 02 октября 2015 года: ссылку на программу удалил. Сейчас там нельзя её скачать, а идёт вечное перенаправление с одного сайта на другой. Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.
Ситуация выглядит так: на флешке были папки, но они чудесным образом превратились в ярлыки, т.е. в файлы с расширением lnk. При попытке открыть такой файл появляется сообщение:
В данном случае «Q» — это имя съемного диска (флешки), у вас оно может быть другое. Ярлык направляет нас в папку с исполняемым файлом (расширение exe), которые является вирусом.
Что именно произошло: в результате действия вируса, всем папкам были присвоены атрибуты «системный» и «скрытый», т.е. они остались на флешке, но мы их не можем увидеть используя графический интерфейс Windows. Вместо папок появились ярлыки с одноименными названиями ведущими на файл с вирусом.
В Интернете мне попался вариант решения проблемы путем изменения атрибутов папок (по сути дела папка — это файл) при помощи командной строки. Для тех пользователей, которые не дружат с командной строкой, предлагаю альтернативный способ — воспользовался для этих целей файловым менеджером FAR Manager. Этот менеджер всегда удобно иметь под рукой и мы его уже использовали при редактировании файла hosts (Видео Не могу зайти в одноклассники. Решение проблемы).
Шаг 1. Проверяем флешку на наличие вирусов. Я проверял при помощи антивируса AVAST 4.8 Professionl. Все «левые» ярлыки от удалил, сообщив, что это троян LNK.
Avast удалил все «левые» ярлыки
Если ваш антивирус оставить ярлыки папок на месте — удалите их самостоятельно, они не нужны.
Шаг 2. Загружаем FAR Manager , распаковываем архив и запускаем файл Far.exe;
Шаг 3. Переходим на съемный диск (флешку). Для выбора диска воспользуйтесь клавишами Alt + F1 ;
Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «исчезнувшие» папки.
Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «потерянные» папки
Шаг 4. Чтобы не менять атрибуты у каждой папки по отдельности, велите их все сразу: выделите сперва первый файл из списка, а потом нажмите клавишу Insert на клавиатуре и держите до тех пор, пока не выделятся имена всех интересующих нас файлов желтым цветом.
Выделение группы файлов в FAR Manager
Шаг 5. Нажмите на клавиатуре клавишу F4 (либо кнопку Edit в FAR). В открывшемся меню уберите знаки (знак вопроса, крестик) в пунктах:
Если вы все сделали правильно, цвет имен файлов изменится с темно-синего на белый.
После изменения атрибутов, цвет имен папок стал белым
Теперь можно зайти на флешку из под Windows и убедиться, что все отображается без проблем.
После изменения атрибутов, все папки стали вновь доступны
Советую держать файловый менеджер FAR Manager всегда под рукой, так он позволит, в случае необходимости, обойти ограничения Windows на изменение файлов.
Как вы понимаете, при помощи FAR Manager можно проделать и обратную процедуру, т.е. скрыть свои файлы на флешке от неопытных пользователей.
В заключение хочу сказать спасибо программисту Евгению Рошалю, который создал FAR Manager и хорошо всем известный архиваторы RAR и WinRAR.
Евгений Мухутдинов
Первая группа будьте внимательны в будущем. Не разбрасывайте флешку направо и налево. На данный момент Ваш компьютер чист от вируса, поэтому чтение остального материала для Вас необязательно. Вторая группа — читаем дальше, если хотим удалить вирус, превративший содержимое флешки в ярлыки.
Удаление вируса будет состоять из двух направлений атаки:
Один из этих вирусов активен, другой нет. Для начала разберемся с активным, потому что он постоянно будет втыкать палки в колеса. Можете почитать мою статью про то, как удалить вирусы , там довольно доступно объясняется процесс удаления вирусов, который можно и нужно применять в данном случае. Так же, Вы можете поискать вирус во вкладке Процессы окна Диспетчер задач. Процесс данного вируса носит довольно нечленораздельное название. В ней нет логики, это простая абракадабра. Можете узнать месторасположение данного файла. Дальше так же есть два способа действия:
Далее флешку, содержимое которого превратилось в одни ярлыки, необходимо почистить способом, который обсуждался выше. И еще раз прошу, не трогайте ни один ярлык, иначе вся операция пойдет насмарку. После этого выньте и заново подключите флешку. Если Вы не видите в ней ярлыков и всё вроде бы чётко, значит Вы сделали все правильно.
Но расслабляться рано. Те, кто просто остановил процесс, должны перейти в папку, где находится вирус и удалить его. Так же нужно зачистить автозагрузку. Как это нужно сделать можно узнать из той же статьи про то, как удалить вирус . Почистить автозагрузку компьютера необходимо и для первой, и для второй группы.
Проделав это, я обычно перезагружал компьютер. Потом снова перепроверял флешку — появятся ли ярлыки или нет. Рекомендую Вам поступать так же.
Многие, увидев такие ярлыки, пытаются просканировать компьютер и флешку с помощью антивируса. Но, в основном, это безрезультатно. Почему? Потому что тело вируса, который превращает папки в ярлыки — это обычный bat-файл, который содержит в себе команды, которые пользователь может выполнить как в графическом интерфейсе, так и в консоли. А антивирус не должен мешать пользователю работать. И bat-вирусы как раз-таки и подпадают под это правило. Определить что внутри bat-файла — нежелательный код или безобидные команды — довольно тяжело. Убедиться в этом можно на собственном опыте, если попробовать создать обычный bat-вирус .
Если Вы пострадали от данного вируса и хотите, чтобы никакую больше флеш-карту нельзя было бы подключить к компьютеру, можно