Перейти к публикации
Восточное Дегунино
  • 1

Проблемы с флешкой!

Walli

Спросил Walli,

 Поделиться

Вопрос

Walli Исследователь

Walli

Опубликовано:
Опубликовано:

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Каперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык Флешки. Все остальные файлы и папки исчезли. 

Может кто сталкивался с подобным явлением?

Ссылка на комментарий
Поделиться на других сайтах

0 ответов на этот вопрос

Рекомендованные сообщения

  • 5
Denis Восходящая звезда

Denis

Опубликовано:
Опубликовано:

Данный вирус начал активно распространяться уже много раз приносили флешки с подобной проблемой.

01.thumb.jpg.819302f317963c51f6c58cbb7430b95c.jpg

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

02.thumb.jpg.512dd1a67ba3ca3bf3953c06896d7b98.jpg 

cd /d X: (вместо Х  вы вводите букву каталога вашей флешки) 

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

05.thumb.jpg.cda44fb3f4c2b34fa690ae8f30da2e64.jpg

Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.

06.thumb.jpg.876768dc93516475cc5b0f8d971f3336.jpg

Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Скачать лекарство от ярлыка флешки на флешке.rar

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

07.thumb.jpg.2df9eb976caa9c1cd2df567e818f5c8f.jpg

Далее её разумеется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L  и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe.

08.thumb.jpg.e2bca7040a543db2bb20622531f3c5b4.jpg

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удалям с флешки файл autofun.inf.

Во временной папке Temp  ( C:\users\%username%\AppData\Local\Temp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:\Users\{Имя пользователя}\AppData\Roaming\ скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

  • Спасибо 2
Ссылка на комментарий
Поделиться на других сайтах
  • 0
Walli Исследователь

Walli

Опубликовано:
  • Автор
Опубликовано:

Большое спасибо Вам за такую подробную инструкцию! Очень выручили :67_EmoticonsHDcom: Скачал все файлы на комп и форматнул флеху, затем вернул обратно всё работает.

Ещё вопрос, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватил с другого компьютера? Папка Temp тоже отсутствует.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Denis Восходящая звезда

Denis

Опубликовано:
Опубликовано:
1 минуту назад, Walli сказал:

Большое спасибо Вам за такую подробную инструкцию! Очень выручили :67_EmoticonsHDcom: Скачал все файлы на комп и форматнул флеху, затем вернул обратно всё работает.

Рад, что смог помочь.

2 минуты назад, Walli сказал:

Ещё вопрос, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватил с другого компьютера? Папка Temp тоже отсутствует.

Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

  • Спасибо 1
Ссылка на комментарий
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...