Коли вставляю флешку в комп’ютер, створюється ярлик Removable Disk (15GB).
Тут легко та цікаво спілкуватися. Приєднуйся!
Цей ярлик відкриває шкідливий файл, який міститься у властивостях, а потім уже папку з файлами.
Принцип його дії полягає в тому, що заражена флешка створює ярлик самої себе (вказуючи при цьому, що розташування файлів - rundll32.exe), куди поміщає всі файли. Причому, з першого погляду може здатися, що це звичайний глюк, і можна просто витягти файли з ярлика, сам ярлик видалити, і проблеми закінчаться. хоча файли нікуди не подіються, і особливих труднощів у роботі з флешкою не виникає.. . Але, при підключенні до комп'ютера скрипт вірусу записується в систему, і створює небезпечне середовище для зараження інших флешок, принагідно "створюючи" пару-трійку backdoor'ів. P.S. Цікаво, але вірус поширюється лише (!) через флеш-накопичувачі.
Лікування: Підключіть флешку в USB-вихід і відкрийте командний рядок. Далі слід прописати такі команди: cd /d X: (де X: - літера каталогу, якою позначається підключена флешка); attrib -s -h -a -r /s /d *.* (так-так *.* теж потрібно прописувати).
Тепер, відкривши флешку Ви можете бачити всі приховані файли: Видалить усі файли, крім файла autorun.inf.
Тепер відкриваємо програму Process Explorer (якщо у Вас її немає - можете завантажити тут). У деяких можуть виникнути проблеми з правами, тому одразу виконати операцію "File - Show Details for All Processes". Тепер затисніть комбінацію клавіш Ctrl+L (відчиниться віконце внизу, де показуються всі процеси) . Тепер потрібно знайти файл autorun.inf (можна вручну – процес знаходиться у гілці svchost, а можна через Ctrl+F). Тепер клацаємо правою кнопкоюмиші по процесу, і вибираємо функцію Close handle (процес має бути закритий без жодних заперечень). Потім потрібно видалити файл autorun.inf на флешці.
Всі. Тепер, якщо Ви все правильно зробили (за ідеєю) - Ваш ПК очищений від цієї гидоти. P.S. Особисто я після очищення перезавантажив ноутбук, і перевірив двома флешками - начебто все нормально. P.P.S. Можна також після очищення зробити перевірку системи CureIT'ом - так, про всяк випадок.
Upd 1. Вірус може глибоко засісти в реєстрі і "тероризувати" Вас навіть після проведеної процедури лікування. Щоб позбавитися від нього раз і назавжди проведіть наступну операцію: у гілці HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load реєстру знайдіть і видаліть посилання на даний файл. Наприклад, у мене параметр з посиланням мав вигляд:
ОБОВ'ЯЗКОВО AVIRA та CUREIT'ом ПРОСКАНУЙТЕ! Інакше вірус не піде. Сьогодні цілий день із ним бився.
на OS X це врода нормально На Win це означає, що у вас якась програма це робить Removable Disk означає "Знімний диск", тобто цей ярлик ведений на вашу флешку.