| Anymous | Дата: Воскресенье, 11.11.2012, 23:23 | Сообщение # 1 |
 |
| Сообщений: 863 |
| Репутация: 53 ± |
| Награды: 24 +
|
 |
|
Сегодня у друга возникла проблема такого рода, вставил флешку, как обычно через мой компьютер пытался открыть директории, но вот беда, вместо папок остались только ярлыки, при чем ярлыки запускали хреньку из папки RECYCLER на флешке
Code %windir%\system32\cmd.exe /c "start %cd%RECYCLER\e5188322.exe &&%windir%\explorer.exe %cd%Имя папки
Антивирус определил животное в папке RECYCLER .
Чтож, вирус-то победили, а вот папки так и остались ярлыками на RECYCLER\e5188322.exe
Вернуть папки обратно поможет *.bat файл в корне флешки со следующий содержимым:
Code attrib -s -h -r -a /s /d
*.bat — это обычные текстовый файл с расширением bat
После его запуска появится черное окошко, не закрывайте его, а подождите и все станет на круги своя, ярлыки можно удалить.
Если у кого-то возникли проблемы с созданием батника, то можете скачать уже готовый СКАЧАТЬ
После нажатия на ссылку, браузер предложит сохранить файл, указываете путь куда сохранить, т.е. на флешку и потом запускаете этот файлик.
P.S.
если после нажания на ссылку у вас открывается страница с содержимым файла, то нажмите на ссылке правой кнопкой мыши, и выберите пукт «Сохранить объект как» (ну или что-то подобное)
Как выяснилось это троян Backdoor.win32.ruskill, хотя вполне возможно что его модификаций уже наплодили школьники на поряд больше ))))
Если вы подхватили его на своем локальном компьютере, то лечится просто, топаем в папку:
Windows7 C:\users\имя пользователя\appdata\roaming\
WindowsXP C:\Documents and Settings\имя пользователя\Local Settings\Application Data\
И удаляете файл с маской ??????.exe, т.е. имя файла рандомные символы.
Важно!!!
В не заражаенном компьютере, в директории Application Data *.exe файлов НЕТ!
Спасибо Alexx, предложившему обновленную версию батника:
Code :lable
cls
set /p disk_flash="Vvesti buky flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
СКАЧАТЬ
При запуске попросит ввести букву флэшки(это что бы можно было запускать откуда угодно, а не копировать в корень флэшки для запуска) если буква диска введена не правильно, то еще раз попросит ввести, после чего скрипт удалит все ярлыки *.lnk (думаю можно все удалять) если есть файл автозапуска то он его тоже удалит, после снимет со всех папок атрибут “скрытый” (нужно подождать), удалит папку RECYCLER с флэшки(обычно вирус её тоже создает, и записывает туда вирус) и после всего этого, откроет флэшку через проводник, показать, что получилось
P.S. Число пострадавших растет, думаю напишу программу для убиения этой гадости, ибо многим страшны батники :))
Как создать скриншот? | Как создать лог файл HijackThis?
Причины, по которым может тормозить компьютер | Правила сайта!
|
| |
| |
Оригинальные образы
вверх
