Вирус создал папки с названиями антивирусов
Не давно заметила что на моём новом Ultrabook'e под системой Windows 8 с обновлениями до 8.1, на диске C:\ появились странные папки и фалы которые не хотят удалятся или появляются снова.
Мой антивирус пишет Ошибка открытия.
При сохранении одной из этих картинок на рабочем столе, сделанными с помощью стандартной программы "Ножницы", на рабочем столе появился странный файл конфигурации под названием Thumbs.db
Может посетуете программы сканеры или надо дифрагметировать или стирать диски и ставить новую систему?!
Странная папка $RECYCLE.BIN, которая при удалении
Вирус не заметил не каких троянов и прочих опасных
После сохранения картинки на рабочем слое, с
Исправлено пользователем lesya_kinoman (27.04.14 15:13)
Это совершенно нормальные файлы:
$RECYCLE.BIN - это собственно корзина и есть (системный файл), удалять его не нужно
В случае с adobe - это временная папка, куда программа установщик распаковывает файлы, можно удалить
thumbs.db - это файл, который создает система в котором хранит базу данных заголовков картинок в папке, удалять не нужно.
А вообще советую прочитать хоть какой-нибудь материал по винде например бесплатно видеокурс можно скачать отсюда
Will the circle be unbroken
By and by, Lord, by and by
There’s a better home awaiting
In the sky, Lord, in the sky
В ответ на: $RECYCLE.BIN - это собственно корзина и есть (системный файл), удалять его не нужно
Не знаю, не знаю, ибо антивирусы часто ругаются, и пишут, что эта папка или то что в ней есть вирус, или это папка клон корзины с вредоносным кодом, так как раньше в C:\ её там не было и она ещё появлялась на подключаемых устройствах например при подключении жестких дисков, но когда я подключала их к моему обычному ПК, то таких папок там не было. И ещё появлялась папка со значком и надписью Корзина, что то немного странно, так как обычно такого не было и мне кажется, что просто так папки не появляются.
Может это что-то неправильно в работе системы, если это не вирус.
В ответ на: thumbs.db - это файл, который создает система в котором хранит базу данных заголовков картинок в папке, удалять не нужно.
Странно, но почему он стал появляться, на рабочем столе, когда раньше не выскакивал. Возможно тоже какой-то глюк
В ответ на: А вообще советую прочитать хоть какой-нибудь материал по винде например бесплатно видеокурс можно скачать отсюда
Oh this! Это все так долго и муторно, да и времени смотреть нету. проще не лазить на подозрительные сайты, папки и меньше ковыряться в системе или вообще не садится за компьютер без нужды
А ещё в папке C:\Users\Олеся
появились вот такие странные файлы с именем NTUSER и ntuser, которых раньше не было, что тоже немного подозрительно. Как и антивирус говорит, что в них ошибка открытия:
Вот такие странные файлы под названиями NTUSER и
В ответ на: Не знаю, не знаю, ибо антивирусы часто ругаются, и пишут, что эта папка или то что в ней есть вирус, или это папка клон корзины с вредоносным кодом, так как раньше в C:\ её там не было и она ещё появлялась на подключаемых устройствах например при подключении жестких дисков, но когда я подключала их к моему обычному ПК, то таких папок там не было. И ещё появлялась папка со значком и надписью Корзина, что то немного странно, так как обычно такого не было и мне кажется, что просто так папки не появляются.
Может это что-то неправильно в работе системы, если это не вирус.
Всё правильно, если вирус удалить в корзину и не очистить её , антивирус сканирует скрытую системную папку $RECYCLE.BIN (корзина) и находит там вирус.
В ответ на: Странно, но почему он стал появляться, на рабочем столе, когда раньше не выскакивал. Возможно тоже какой-то глюк
thumbs.db - это скрытый файл, созданный системой, странно, что его вообще видно.
В ответ на: Oh this! Это все так долго и муторно, да и времени смотреть нету. проще не лазить на подозрительные сайты, папки и меньше ковыряться в системе или вообще не садится за компьютер без нужды
А посему, собственно вопрос, что собственно вас заставило обратить внимание на эти файлы?
Что-то работает неправильно?
Вообще, чтобы всё это увидеть в проводнике винды, надо вполне осознанно в свойствах проводника изменить настройку "показывать скрытые и системные файлы", если что-то подобное делали, отмените эту настройку и не заморачивайтесь.
В ответ на: А ещё в папке C:\Users\ОлесяМогу успокоить файл системный, для чего нужен можете прочитать сдесь, удалять не рекомендуется
появились вот такие странные файлы с именем NTUSER и ntuser, которых раньше не было, что тоже немного подозрительно. Как и антивирус говорит, что в них ошибка открытия:
Will the circle be unbroken
By and by, Lord, by and by
There’s a better home awaiting
In the sky, Lord, in the sky
В ответ на: Всё правильно, если вирус удалить в корзину и не очистить её , антивирус сканирует скрытую системную папку $RECYCLE.BIN (корзина) и находит там вирус.
Вот и я боюсь, что не не успела вовремя удалить и очистить корзину или удалила, что-то не то, что и повлекло такую ошибку появления этой папки или вирус выбрался или не удалился до конца и срыто сидит.
В ответ на: thumbs.db - это скрытый файл, созданный системой, странно, что его вообще видно.
Может это ошибка в системе или проказы то же вируса.
В ответ на: А посему, собственно вопрос, что собственно вас заставило обратить внимание на эти файлы?
Что-то работает неправильно?
Вообще, чтобы всё это увидеть в проводнике винды, надо вполне осознанно в свойствах проводника изменить настройку "показывать скрытые и системные файлы", если что-то подобное делали, отмените эту настройку и не заморачивайтесь.
Не знаю. Все было как обычно. Я захожу в папку устанавливаю программы, меняю ярлыки в тех программах, которые устанавливаю на С:\ А не в папку С:\Program Files , ибо так легче удалить или изменить, там что-то ели программа не нужна или установлена на время, или почистить в ней историю если это браузер.
Но один раз я зашла и увидела эти папки, а до этого скачала программу хотела установить, но кажется там был Троян или другой вирус, так как антивирус заругался. После установки Nod 32 Я его вроде удалила, но подозреваю, что часть фалов или остатки вируса могут где-то осесть.
Странно, но доступ к этой папке С:\ закрыт, а где можно посмотреть свойства проводника и найти этот пункт Показывать системные файлы, а то я немного новичок, хотя за компьютером уже сижу давно начиная с Windows XP
Вопрос если я очищу системный диск, то как потом установить другую винду или компьютер не запустится и нужно соединять его с моим домашним компьютером, что бы что-то поставить?
3) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
Скрипт выполнил.
FRST во вложении.
1) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
.
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
! Избегайте избыточного цитировавания.
Спасибо!
После использования FIX, стало возможно устанавливать антивирусы.
Логи по FIX и Malwarebytes во вложении.
Если не затруднит, можете в двух словах объяснить как была заблокирована возможность установки антивирусов, и как ваш скрипт ее вернул, спасибо!
Установку антивирусов блокируют:
- Созданием правил\запретов в настройках групповой политики ( Group Policy )
Чаще всего используют: Правило сертификата ( блокировка запуска по цифровой подписи )
Блокированием работы на уровне сети - запретить обращаться к портам. ( заблокируется установка компонентов и обновление, регистрация )
- При активном вирусе перехват запущенных процессов и их завершение.
- Создание папок\каталогов с повышенными привилегиями - блокировка доступа ( антивирус не может создать свой каталог для установки )
1) Всё найденное в Malwarebytes - удалите ( поместите в карантин )
Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой
Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.
Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.
Убеждаемся, что папки и файлы целые
Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать скрытые файлы и папки — устанавливаем переключатель.
Теперь ваши папки на флешке будут видны, но они будут прозрачными.
Находим и удаляем вирус через свойства ярлыка
Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:
- «%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»
Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.
Удаляем вирус с помощью антивируса
Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы. Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.
Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
- Расшифровка атрибутов R - разрешает или запрещает атрибут « Только для чтения » , S - превращает файл или папку в системный, H - скрываем или показываем файлы и папки, D - обработка файлов и каталогов, +/- установка /удаление атрибута
Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk
Автономный метод удаления вируса
В блокноте создаем файл и копируем туда ниже перечисленный текс после сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени администратора. После запуска компьютер попросит ввести букву, соответствующую вашей флешке, что нужно сделать. После этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлыками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
Удаление вируса через реестр
В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программы
Удаление вируса вручную
- Во временной папке Temp C:\users\%username%\AppData\Local\Temp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
- Проверяем также папку C:\Users\<<Пользователь>>\Appdata\Roaming\. в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.
Восстановление системы
Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы. После восстановления должно появится окошко о удачно окончании процесса.
На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.
Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.
Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.
Убеждаемся, что папки и файлы целые
Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать скрытые файлы и папки — устанавливаем переключатель.
Теперь ваши папки на флешке будут видны, но они будут прозрачными.
Находим и удаляем вирус через свойства ярлыка
Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:
- «%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»
Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.
Удаляем вирус с помощью антивируса
Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы. Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.
Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
- Расшифровка атрибутов R - разрешает или запрещает атрибут « Только для чтения » , S - превращает файл или папку в системный, H - скрываем или показываем файлы и папки, D - обработка файлов и каталогов, +/- установка /удаление атрибута
Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk
Автономный метод удаления вируса
В блокноте создаем файл и копируем туда ниже перечисленный текс после сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени администратора. После запуска компьютер попросит ввести букву, соответствующую вашей флешке, что нужно сделать. После этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлыками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
Удаление вируса через реестр
В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программы
Удаление вируса вручную
- Во временной папке Temp C:\users\%username%\AppData\Local\Temp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
- Проверяем также папку C:\Users\<<Пользователь>>\Appdata\Roaming\. в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.
Восстановление системы
Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы. После восстановления должно появится окошко о удачно окончании процесса.
На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.
Читайте также: