На флешке вместо папок ярлыки
Принесли тут на работу флешку. Попросили помочь восстановить данные. На флешке вместо папок ярлыки. Ясен пень, что это вирусняк.Помимо ярлыков на флешке присутствовала папка RECYCLER с файлом e5188982.exe. Присутствовали куча ярлыков с названиями бывших папок. Самих папок не было. Однако объем данных на флешке остался таким же, что был до заражения.
Похожие симптомы уже встречал. Только раньше папки не пропадали. Появлялись только ярлыки с их названиями.
Как и ожидалось, ярлыки вместо папок ссылались на файл e5188982.exe в папке RECYCLER. Ярлык запускал файл на исполнение. При этом так же открывалась нужная папка с файлами. Значит папки на флэшке остались. В пользу этого варианта говорило и то, что после заражения объем занятого места на флешке не изменился. Папки были скрыты вирусом.
При включении пункта “отображать скрытые папки и файлы” папки по прежнему были не видны. Стали видны только при включении отображения системных файлов. Чтобы открыть нужную папку, пользователь жал на ярлык, запуская тем самым вирус на исполнение. В свойствах ярлыка вместо папки была строка:
%windir%system32cmd.exe /c "start %cd%RECYCLERe5188982.exe &&%windir%explorer.exe %cd%Докумены |
Kaspersky Internet Security определил вирусняк в папке RECYCLER, как P2P-Worm.Win32.Palevo.cqim.
Лечение довольно простое. Первым делом удаляем папку RECYCLER с вирусом. При условии, что папка видна. Удаляем левые ярлыки вместо папок. Далее создаем текстовый файл, обзываем как угодно, расширение ставим bat. Содержимое файла:
attrib -S -H /D /S |
Сохраняем файл на флешку в корень. Данная команда сбросит все атрибуты папок. Запускаем на исполнение. Ждем закрытия окна. После окончания работы файла все ваши папки станут видимыми.
13 Сентябрь 2011 г.
метки: