Всем плед, дорогие друзья, с вами снова я - Тиорин. Сегодня я расскажу о такой старой заразе - вирусе, который актуален по сей день и который успел потрепать нервы всем, кто имеет в своем арсенале USB флешку или MicroSD карту памяти. Представим такую ситуацию - приходите вы с колледжа или работы домой, вставляете флешку с документами в свой домашний компьютер и видите такую картину :
все файлы, что лежали на флешке неведомым образом превратились в ярлыки и стали весить меньше своего размера, хотя показывается что занятый объем на флешке даже не уменьшился - поздравляю, вы заразились вирусом, но не спешите отчаиваться и нести вашу флешку и компьютер в ремонтную мастерскую на чистку, никуда ваши файлы не пропали, они просто перенеслись в одну скрытую папку на накопителе, а в корне были созданы ярлыки, которые сперва запускают сам вирус в действие, а затем открывают те папки что расположены в скрытой папке на накопителе, в подтверждение давайте взглянем в свойства одного из ярлыков :
в поле объект мы видим подобную строку :
%windir%\system32\cmd.exe /c "start %cd%[название папки]\xxx.exe && %cd%[название папки]\[название файла]"
Разберем ее по порядку -
1. "%windir%\system32\cmd.exe" /c - вызывает коммандную строку, ключ "/c" говорит о том, что необходимо выполнить определенные комманды при ее запуске.
2. start %cd%[название папки]\xxx.exe - выполняет xxx.exe находящийся в определенной папке, который и является телом вируса.
3. && - 2 амперсанда говорит об одновременном выполнении и первой и второй комманды.
4. %cd%[название папки]\[название файла] - как раз открытие нашей папки или файла, который вирус переместил в скрытую папку.
Некоторые вариации этого вируса создают на флешке файл autorun.inf и прописываются туда, что им позволяет сразу же запускаться при вставке флешки или MicroSD карты.
Но что же делать если вы заразились этим зловредом? Не паниковать - а действовать. А теперь приступим к лечению.
Что нам необходимо сделать первым - конечно же отключить автозагрузку программ с накопителей, делается это следующим образом :
1. Нажимаем сочетание клавиш Win + R и в появившемся окне вводим gpedit.msc и жмем enter.
2. В открывшемся окне открываем в структуре каталогов "Конфигурация компьютера - Административные шаблоны - Система" и ищем пункт "Отключить Автозагрузку" и кликаем на него
выставляем положение радиокнопки во "Включено" и выбираем "Во всех Дисководах", и затем применить и ок, перезагружаем компьютер.
Вторым делом - нам необходимо обезвредить сам вирус, он всегда после заражения прописывает свое тело в автозагрузку, чтобы его оттуда удалить, действуем так :
1. Нажимаем сочетание клавиш Win + R и вводим msconfig, после чего нажимаем enter.
2. Переходим во вкладку "Автозагрузка" и ищем что-то типа "DriveMgr" или "Csrss" и убираем оттуда галочку, так мы не дадим ему подгружать свое тело при загрузке Windows, после чего нажимаем применить и ок и перезагружаем пк.
Теперь то его необходимо окончательно удалить из системы, для этого идем в "Сервис - Свойства папок" и выставляем все как на скриншоте.
теперь на диске C:\ ищем подобную папку и просто удаляем ее без угрызения совести.
Теперь-то наш компьютер вылечен, дело за малым, осталось только зайти на флешку и удалить оттуда все ярлыки вместе с файлом Autorun.inf, кроме папки "___" или " ", в которой находятся наши файлы, заходим и копируем все кроме файла DriveMgr.exe и потом просто удаляем ее, а затем снова идем в "Сервис - Свойства папки" и нажимаем "Восстановить умолчания", а затем просто применить и ок.
Все - теперь можем спокойно пользоваться своей флешкой и компьютером, мы все вылечили, а статья подходит к концу, я надеюсь дал вам полный гайд, для лечения такого вируса и его подобных и очень старался вам все изложить подробно, потому эта статья достойна прочтения и лайка. Если остались вопросы - я могу ответить на них в комментариях.
А на этом все, подписывайтесь на мой канал на дзене, ведь вы этим сподвигнете писать меня больше интересных и информативных статей.
Пока-пока, до новых встреч.
