Після того, як ви вставили флешку (або карту пам'яті) в заражений комп'ютер, всі файли і папки на ній кудись пропали, а замість них відображається лише ярлик з назвою флешки. У цій статті ми розберемо як відновити нашу інформацію і вилікувати комп'ютер від вірусу, який займається цими неподобствами.
Схожу ситуацію ми розглядали в статті « як видалити троянську програму «. Тоді вірус ховав папки, а замість них створював ярлики. У нашому випадку ситуація трохи більш витончена, але дозволяється так само легко.
діагностика
Зайдемо в Мій комп'ютер і під подивимося на ступінь заповнювання носія інформацією:
В Моєму комп'ютері подивимося ступінь заповнювання флешки інформацією
Якщо у вас такого індикатора немає, клацніть на значку флешки правою кнопкою миші і виберіть пункт Властивості:
Дивимося ступінь заповнювання диска інформацією в його властивості
Як бачимо, інформація на флешці є (сам по собі ярлик місця практично не займає: він «важить» близько 1,5 КБ). Тепер справа залишилася за малим - отримати її.
Що сталося з інформацією?
При натисканні на ярлик відображається наша інформація відображається з новому вікні, але така ситуація явно ненормальна і з цим треба щось робити. Вона може ще погіршитися, коли антивірус нам цей ярлик видалить:
Антивірус видаляє наш ярлик - Win32 / Bundpil.AJ черв'як
Тепер доступ до інформації стає менш очевидним. Запускаємо Total Commander (з увімкненим відображенням прихованих / системних файлів) і подивимося на наш носій інформації:
Бачимо, що вся наша інформація переміщена в приховану папку з назвою "" (пробіл), і з'явилися приховані файли, які ми явно не записували: 0 ~ W.001, autorun.inf, desktop.ini, Thumbs.db, Transcend (15Gb ). lnk. Сховав наші файли і записав ці вірус на зараженому комп'ютері.
Для чого він це робить? - Для того щоб поширитися якомога на більшу кількість комп'ютерів. При натисканні на ярлик на «чистому» комп'ютері відбувається його зараження (якщо антивірус не спрацює). Іноді буває досить просто вставити таку флешку, навіть натискати нічого не потрібно).
лікуємо флешку
Процедура лікування, відповідно складається з таких пунктів:
- Видалити вірусні файли з кореневої директорії флешки.
- Перенести на місце нашу інформацію з прихованою папки з назвою "" (пробіл).
- Видалити приховану папку з назвою "" (пробіл).
лікуємо комп'ютер
Що трапиться з вилікуваний флешкою, коли ми знову її вставимо заражений комп'ютер? Правильно: знову прихована папка, ярлик і віруси. Значить комп'ютер теж потрібно вилікувати.
1. Вірус нескладний, щоб від нього позбутися потрібно пересканіровать комп'ютер будь-яким більш-менш осудним антивірусним сканером, наприклад CureIt від drWeb:
CureIt знаходить і видаляє вірусний файл ccoykzrvc.exe (BackDoor.Andromeda.178) в призначеній для користувача папці тимчасових файлів
2. Додаткова перевірка антітроянскую програмою (Напр. Malwarebytes Anti-Malware) теж не буде зайвою:
Malwarebytes Anti-Malware, крім цього вірусу (Trojan.Agent), так само знаходить ще багато іншої нечисті
Виділяємо все знайдене галочками, натискаємо «Видалити об'єкти«, після чого перезавантажуємо комп'ютер.
перевіряємо
Якщо ми все зробили правильно, «контрольна вставка» накопичувача не призводить до будь-яких змін файлів і їх розташування на ньому.
PS
Не забуваємо захищати флеш-накопичувачі від зараження в майбутньому і турбуємося про плані резервного копіювання важливої інформації!
Що сталося з інформацією?Для чого він це робить?