Yarlykova vírus - helyszíni programozó és a blog
Minden modern anti-vírus szoftver már régen megtanulta, hogy blokkolja a dob autorun.inf fájl eltávolítható média és a támadók, hogy új módon megfertőzni a felhasználók számítógépeit.
Az egyik ilyen típusú fertőzések, felülvizsgáljuk ma, nevezetesen kézzel eltávolítani a vírust a rendszer.
Nos, most már lépni a figyelmet a maga a vírus.
Leírás vírus
Az első fertőzés jeleit a vírus jelenléte a cserélhető adathordozókon, vagyis flash kártyák, címkék minden mappa, ami a flash meghajtón idején a fertőzés. Ezek tulajdonságait címkék adja meg az útvonalat, hogy a futtatható fájl a vírus:
% Windir% \ system32 \ cmd.exe / c „start% cd% RECYCLER \ 1b37f31f.exe % Windir% \ explorer.exe% cd% RECYCLER
A gyanútlan felhasználó rákattint a címkén, hogy emiatt egy normális mappát, így a vírus kezdi végrehajtani. Egyidejűleg a dob a vírus, és nyissa meg a kívánt mappát, és minden úgy néz ki, teljesen normális, ami nem igaz.
Így a vírus maga a RECYCLER mappában. amelynek székhelye a cserélhető adathordozó. Ezen a mappán belül két fájl: 1b37f31f.exe és Desktop.ini. Az első fájl - maga a vírus, a második felelős egy mappa ikon formájában rendszeres kosárba.
Érdemes felidézni, hogy a flash meghajtó nem lehet Corzine, vagyis a mappa nevű RECYCLER. Ezek a mappák csak jelen legyen a számítógép merevlemezén, de nem egy flash meghajtót. Ha ezt a mappát a flash drive - ez teljesen a vírus.
Indításkor, a vírus nem elrejteni az összes mappa cserélhető adathordozókon, és hozzon létre parancsikonokat a mappa nevét. Így egyszerű módon van a dob a vírus.
Műszaki adatok a vírus
Sok anti-vírus a vírus kimutatható, mint a trójai, és bár sok idő telt el azóta, a létesítmény a vírus, az internet nagyon kevés információ a vírus.
Tehát, egy kis technikai információ:
File name: 1b37f31f.exe
Fájl mérete: 246,8 KB (252.731 bájt)
Fájl típus: Win32 EXE
Eltávolítása a vírus
Kezdjük azzal, hogy szükség van a rejtett fájlok és mappák a számítógépen. Ehhez nyissa meg a Windows Intézőt, és válassza ki a menüpontot az „Eszközök” majd a „Mappa beállításai”, akkor megjelenik egy ablak „Mappa beállításai”. Kattintson a lap „View”, és tegye a kapcsolót a lehetőség a „Rejtett fájlok és mappák”, akkor egy kicsit magasabban, törölje az „elrejtése operációs rendszer védett fájljainak (ajánlott)”, majd egy figyelmeztető ablak, hogy az operációs rendszer védett fájlok jelennek "Explorer". Kattintson az „Igen” gombra, majd a „Mappa beállításai”, kattintson az „Apply” és az „OK” gombot.
Ezt követően, amellett, hogy a címkéket, látni fogja ezeket azonos mappák rejtett vírus.
Most, hogy elérhetővé vált a rejtett fájlok és mappák, távolítsa el az USB RECYCLER mappa, valamint az összes tartalmát. Ezután távolítsa el az összes létrehozott parancsikonokat a vírus.
Egy fontos dolog: az összes partíciót a merevlemezen, akkor is törölni RECYCLER mappát, mert gyakran ezekben a mappákban egy működő példányt a vírus.
Hatásának kiszűrésére a vírus
Amikor eltávolította a RECYCLER mappát, és hozzon létre parancsikonokat őket, akkor vissza kell térnie az attribútumokat rejtett mappák, amely megadta nekik a vírust. Itt nyugszik egy trükk: Through File Explorer nem lesz képes eltávolítani a „Rejtett” attribútumot rejtett mappák vírus. A lényeg az, hogy amellett, hogy az attribútum „rejtett”, a vírus kisajátítja másiknak: - „System”. Ezért Explorer nem teszi lehetővé, hogy távolítsa el a rejtett attribútum „, hogy a kívánt mappát.
Azonban mindezen tulajdonságok könnyen eltávolíthatók bármilyen fájlkezelő, mint a Total Commander, vagy Double Commander.
A Total Commander attribútumokat eltávolítják az alábbiak szerint:
1. Nyissa meg a Total Commander (korábban többek között a Total Commander kijelző rendszer fájlok), majd az egyik Total Commander panelek gyökere a botot;
2. Válassza ki a "Files" menüben, majd a "Change attribútumok ...";
3. A megjelenő ablakban távolítsa el a dobozok mellett a Archive, Read-Only, Hidden, és a System, majd kattintson a «OK» gombot.
attribútumokat eltávolítják hasonló módon a program Double Commander:
1. Nyissa Double Commander (korábban dupla Commander kijelző rendszer fájlok), majd az egyik panel Double Commander gyökere a botot;
2. Válassza ki a „Files” menüben, majd az „Edit attribútumok”;
3. A megjelenő ablakban távolítsa el a dobozok mellett a Archive, Read-Only, Hidden, és a System, majd kattintson a «OK» gombot.
Ezt követően a vírus rejtve mappák már nem lesz olyan.
alternatív módon
Van egy másik módja annak, hogy távolítsa el rendelt attribútumok mappák vírus előttünk. Ez az alternatív módszer az, hogy futni csak egy «attrib» parancsot, amely lehetővé teszi, hogy hozzá vagy távolítsa el attribútumokat a fájlok és mappák.
nem fogunk most úgy a teljes parancs szintaxisa, hiszen a téma egy másik cikk - mi csak egy egyszerű script, vagy inkább egy denevér-fájlt a következő tartalommal:
Írja be vagy másolja az alábbi sort a Jegyzettömb, és mentse el olyan névvel, de a kiterjesztés .bat. Meg kell jegyezni, hogy szükség van, hogy mentse a fájlt a flash meghajtóra, amelyen el akarja távolítani az attribútumok „Rejtett” és a „rendszer”. A fájl neve lehet a «NoHidden.bat», de mindig kiterjesztése .bat.
Győződjön meg róla, hogy létrehozta a fájl a gyökér az USB-meghajtóra, majd futtatni. Elindítása után a «NoHidden.bat» irattartó lesz újra látható.
Itt ilyen egyszerű manipulációk eltávolítottuk a bosszantó vírus nem csak a cserélhető adathordozókon, hanem egy flash meghajtót. Ezen túlmenően, megtanultuk, hogyan kell eltávolítani a tulajdonságokat „Rejtett” és a „System” a mappából.