Запросы:
***Что делать если на флешке вместо папок появились ярлыки ( линки, shortcut )
***Папки и файлы на флешке стали ярлыками
И так, сегодня разберёмся, что делать в ситуации, если после подключения USB флешки к компютеру, вместо папок (директорий) и файлов видим лишь ссылки на папки. Попытка открыть такую папку запускает некое приложение с командной строки...
Сразу могу Вас поздравить: пойман очередной вирус - троян семейства Worm:Win32/Dorkbot (MS Security Essentials). В данной ситуации самое главное не суетиться и не пытаться запускать эти ярлыки.
После проделанного анализа под ОС Windows XP, опишу главные приметы и виды проявления вируса:
1. На USB флешке: вместо папок (директорий) и файлов видим лишь линки на папки - линки на те же папки, с такими же именами.
2. На USB флешке: все папки и файлы стали скрытыми.
Это можно проверить следующим способом:
необходимо установить, чтобы система показывала скрытые папки и файлы.
Нажимаем:
Пуск > Панель управления > Параметры папок > Вид
или Мой компьютер > Сервис > Свойства папки > Вид
[Start > Control Panel > Tools > Folder Options... > View],
ставим точку
"Показывать скрытые файлы и папки"
[Hidden files and folders > Show files and folders],
чуть ниже снимаем галочку
"Скрывать защищенные сист. файлы"
[Hide protected operating system files (Recommended)].
3. На USB флешке: появилась новая папка .Trashes с иконкой корзины (Recycle Bin),
в папке файл типа b3fdadef.com и файл Desktop.ini
4. На USB флешке: в корне появился файл типа TMdrsjqbnERMqhI.exe
5. В директории C:\Documents and Settings\"Имя пользователя"\Application Data
появились файлы SreeenSaverPro.scr и temp.bin и возможны файлы типа 1.exe, 2.exe ...,
15A.exe, 15D.exe ..., 3EC.exe, 3ED.exe ... и тому подобные.
6. В директории C:\Documents and Settings\"Имя пользователя"\Application Data\Microsoft
появился файл Ttusul.exe
7. Вышеупомянутые процессы SreeenSaverPro.scr и Ttusul.exe прописываются под старт оперативной системы.
Это можно проверить следующим способом:
Нажимаем:
Start > Run
в строке пишем msconfig
нажимаем OK или Enter на клавиатуре
нажимаем Startup
***Что делать если на флешке вместо папок появились ярлыки ( линки, shortcut )
***Папки и файлы на флешке стали ярлыками
И так, сегодня разберёмся, что делать в ситуации, если после подключения USB флешки к компютеру, вместо папок (директорий) и файлов видим лишь ссылки на папки. Попытка открыть такую папку запускает некое приложение с командной строки...
Сразу могу Вас поздравить: пойман очередной вирус - троян семейства Worm:Win32/Dorkbot (MS Security Essentials). В данной ситуации самое главное не суетиться и не пытаться запускать эти ярлыки.
После проделанного анализа под ОС Windows XP, опишу главные приметы и виды проявления вируса:
1. На USB флешке: вместо папок (директорий) и файлов видим лишь линки на папки - линки на те же папки, с такими же именами.
2. На USB флешке: все папки и файлы стали скрытыми.
Это можно проверить следующим способом:
необходимо установить, чтобы система показывала скрытые папки и файлы.
Нажимаем:
Пуск > Панель управления > Параметры папок > Вид
или Мой компьютер > Сервис > Свойства папки > Вид
[Start > Control Panel > Tools > Folder Options... > View],
ставим точку
"Показывать скрытые файлы и папки"
[Hidden files and folders > Show files and folders],
чуть ниже снимаем галочку
"Скрывать защищенные сист. файлы"
[Hide protected operating system files (Recommended)].
3. На USB флешке: появилась новая папка .Trashes с иконкой корзины (Recycle Bin),
в папке файл типа b3fdadef.com и файл Desktop.ini
4. На USB флешке: в корне появился файл типа TMdrsjqbnERMqhI.exe
5. В директории C:\Documents and Settings\"Имя пользователя"\Application Data
появились файлы SreeenSaverPro.scr и temp.bin и возможны файлы типа 1.exe, 2.exe ...,
15A.exe, 15D.exe ..., 3EC.exe, 3ED.exe ... и тому подобные.
6. В директории C:\Documents and Settings\"Имя пользователя"\Application Data\Microsoft
появился файл Ttusul.exe
7. Вышеупомянутые процессы SreeenSaverPro.scr и Ttusul.exe прописываются под старт оперативной системы.
Это можно проверить следующим способом:
Нажимаем:
Start > Run
в строке пишем msconfig
нажимаем OK или Enter на клавиатуре
нажимаем Startup
8. Открывая браузер Internet Explorer, вместо привычной стартовой страницы открывается
поисковый сайт www.find404.com ,а вместо стартовой страницы прописана http://ie.getitclear.com .
Интересно, что в браузерах Mozilla FireFox и Google Chrome вирус не изменил стартовую страницу!
Сразу скажу, что этот вирус неопределил (пропустил) анти-вирус AVG с новейшими обновлениями. Похоже, появились новые подвиды трояна Worm:Win32/Dorkbot, так как, считается, что ведущие анти-вирусы, типа Kaspersky, Eset NOD, MicroSoft Security Essentials, AVG и.т.д., с последними обновлениями должны отлавливать вирус данного типа.
Обычно с подобного рода вирусами успешно справлялся MalwareBytes Anti-Malware сканнер с обновлёнными базами, но в данном случае он не помог. Сканнер нашёл несколько файлов - SreeenSaverPro.scr определил как Backdoor.Bot и 15A.exe и 15D.exe как Trojan.Banker. Однако, после лечения, удаления и перезагрузки оперативной системы,
вирус остался.
В данном случае помог хорошо зарекомендовавший себя сканнер Dr.Web CureIt!, который можно скачать здесь.
После удаления вируса осталось навести поядок в USB флешке и в браузере Internet Explorer.
Для этого:
1. На USB флешке: удаляем все ярлыки (линки) на папки и файлы.
2. На USB флешке: необходимо сбросить атрибуты папок.
Вирус сделал папки системными и скрытыми, и просто так эти атрибуты не отключить. Сбросить атрибуты папок можно через командную строку:
Кстати, если вы пользуетесь программой Total Commander, атрибут «скрытый» сбрасывется в окне "Изменение атрибутов" по пути Файлы > Изменить атрибуты.
3. В браузере Internet Explorer: вместо стартовой страницы http://ie.getitclear.com прописываем свою стартовую страницу.
На этом избавление от вируса Worm:Win32/Dorkbot и ликвидацию его последствий можно считать законченной!
Надеюсь, что эта информация окажется полезной многим ...
.
