Virusul Yarlykova - site-ul programator și blog-
Toate software-ul antivirus moderne au învățat de mult timp pentru a bloca lansarea autorun.inf din mass-media amovibil și atacatorii să vină cu noi modalități de a infecta computerele utilizatorilor.
Unul dintre aceste tipuri de infecție, revizuim astăzi, și anume, eliminați manual virusul din sistem.
Ei bine, acum trecem la luarea în considerare a virusului in sine.
Descriere virus
Primele semne ale infecției cu virusul este prezența mass-media amovibil, adică, pe carduri flash, etichete pentru toate dosarele care sunt pe unitatea flash la momentul infecției. Proprietățile acestor etichete specificați calea către fișierul executabil al virusului:
% Windir% \ System32 \ cmd.exe / c „start% cd% RECYCLER \ 1b37f31f.exe % Windir% \ explorer.exe% cd% RECYCLER
Utilizatorul neavizat face clic pe etichetă, luând-o pentru un dosar normal și, prin urmare, virusul începe să se execute. Concomitent cu lansarea virusului și deschideți dosarul dorit și totul pare destul de normal, ceea ce nu este adevărat.
Astfel, virusul în sine este în folderul RECYCLER. care este situat pe suportul amovibil. În interiorul acestui dosar sunt două fișiere: 1b37f31f.exe și Desktop.ini. Primul fișier - este virusul in sine, al doilea este responsabil pentru afișarea unei pictograme dosar sub forma unui coș obișnuit.
Este demn de amintit că pe o unitate flash ar trebui să fie nici Corzine, adică dosarul denumit RECYCLER. Aceste dosare pot fi prezente pe hard disk-ul computerului, dar nu pe o unitate flash. Dacă găsiți acest director de pe unitatea flash - acest lucru este absolut virusul.
La pornire, virusul nu ascunde toate folderele de pe suport amovibil, și de a crea comenzi rapide pentru numele de foldere. Deci mod simplu, există lansarea virusului.
Date tehnice ale virusului
Multe anti-virus virusul este detectat ca un troian, și, deși a trecut mult timp de la înființarea virusului, Internetul este foarte puține informații cu privire la acest virus.
Deci, un pic de informații tehnice:
File name: 1b37f31f.exe
Mărime fișier: 246.8 KB (252,731 bytes)
Tip de fișier: Win32 EXE
Eliminarea virusului
Pentru început, este necesar pentru a vizualiza fișierele și folderele ascunse de pe computer. Pentru a face acest lucru, deschideți Windows Explorer și selectați elementul de meniu „Tools“, apoi „Folder Options“, veți vedea o fereastră „Folder Options“. Faceți clic pe tab-ul „View“ și a pus comutatorul pe opțiunea „Afișați fișierele și folderele ascunse“, apoi, un pic mai sus, debifați opțiunea „Ascunde fișierele sistemului de operare protejate (recomandat)“, va fi o fereastră de avertizare care va fi afișat sistemul de operare fișiere protejate "Explorer". Faceți clic pe butonul „Yes“, apoi în „Folder Options“, faceți clic pe „Apply“ și „OK“.
După aceea, în plus față de etichete, veți vedea acele dosare aceleași care sunt ascunse virus.
Acum, că a devenit disponibil pentru fișiere și foldere ascunse, eliminați folderul RECYCLER unitate USB, împreună cu tot conținutul său. După aceea, eliminați toate comenzile rapide create de virus.
Un punct important: toate partițiile de pe hard disk, ștergeți, de asemenea, folderul RECYCLER, deoarece este de multe ori în aceste dosare este o copie de lucru a virusului.
Eliminarea efectelor virusului
După ce ați eliminat dosarul RECYCLER și de a crea comenzi rapide pentru ei, va trebui să se întoarcă atributele la dosarele ascunse, pe care le-a dat virusul. Aici se afla un truc: Prin File Explorer nu va fi capabil de a elimina atributul „ascunse“ virus foldere ascunse. Lucru este că, în plus față de atributul „Ascuns“, virusul a insusit un alt atribut: - „System“. De aceea, Explorer nu permite pentru a elimina atributul ascunse „în dosarul dorit.
Cu toate acestea, toate aceste atribute sunt îndepărtate cu ușurință orice manager de fișiere ca Total Commander sau Double Commander.
In total atributele Commander sunt eliminate după cum urmează:
1. Deschideți Total Commander (inclusiv anterior în Total Commander fișierele de sistem de afișare), și apoi într-unul din Total Commander panouri rădăcină de stick;
2. Selectați meniul „Files“, apoi „Modificare atribute ...“;
3. În fereastra care apare, scoateți casetele de lângă Arhiva, Read-Only, ascunse, și de sistem, apoi faceți clic pe butonul «OK».
atributele sunt îndepărtate într-un mod similar cu programul Commander dublu:
1. Deschideți Double Commander (includ anterior Double Commander fișiere de sistem de afișare), și apoi într-unul dintre panourile Double Commander rădăcină al stick;
2. Selectați meniul „Files“, apoi „Editare atribute“;
3. În fereastra care apare, scoateți casetele de lângă Arhiva, Read-Only, ascunse, și de sistem, apoi faceți clic pe butonul «OK».
După aceea, folderele ascunse virus nu va mai fi așa.
o modalitate alternativă
Există o altă modalitate de a elimina atributele atribuite foldere, virusul înaintea noastră. Această metodă alternativă este de a rula un singur «attrib» comandă, care vă permite să atribuiți sau să eliminați atributele de fișiere și foldere.
nu vom considera acum sintaxa completă a acestei comenzi, deoarece acesta este un subiect pentru un alt articol - vom crea doar un script simplu, sau mai degrabă un liliac fișier cu următorul conținut:
Tastați sau copiați următoarea linie în Notepad și salvați-l sub orice nume, dar cu extensia .bat. Trebuie remarcat faptul că este necesar pentru a salva fișierul pe o unitate flash pe care doriți să eliminați atributele „ascunse“ și „sistem“. Numele fișierului poate fi despre «NoHidden.bat», dar întotdeauna cu o prelungire a .bat.
Asigurați-vă că ați creat fișierul este în rădăcina unitatea USB, și apoi executați. După lansarea noastră «NoHidden.bat» dosar va deveni vizibil din nou.
Aici astfel de manipulări simple, am eliminat virusul enervant nu numai la mass-media amovibile, dar, de asemenea, pe o unitate flash. În plus, am învățat cum să eliminați atributele „ascunse“ și „sistem“ din dosar.