Как удалить recycler с флешки

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.

Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.

Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их – это может повредить вашей системе.

Если у вас похожая проблема – создайте тему в разделе Лечение компьютерных вирусов
и выполните Правила запроса о помощи
.

______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО
.

Запустить AVZ, меню Файл – Выполнить скрипт – Скопировать ниже написанный скрипт – Нажать кнопку Запустить.

  begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
 begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 end;
 QuarantineFile('C:\Temp\b.exe','');
 QuarantineFile('C:\WINDOWS\system32\mmebrka.dll','');
 QuarantineFile('C:\Temp\ldiskl.sys','');
 DeleteFile('C:\Temp\ldiskl.sys','32');
 DeleteFile('C:\WINDOWS\system32\mmebrka.dll','32');
 DeleteFile('C:\Temp\b.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job','32');
 DeleteService('ldiskl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

  begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip
из папки с AVZ, отправьте с помощью этой формы
или на этот почтовый ящик:

quarantine <at>
safezone.cc

4. Подготовьте новые логи AVZ
и Rsit
с подключенным интернетом.

5. Подготовьте лог AdwCleaner
.

6. Подготовьте лог MBAM
.

7. Оставьте в системе только один антивирус.

Удаление вируса вручную

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr. Web CureIt!
он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы.
Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.

:/> Как пользоваться MemTest86 : подробная инструкция

Первый меняем атрибуты через командную строку

для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
Расшифровка атрибутов R – разрешает или запрещает атрибут Только для чтения, S – превращает файл или папку в системный, H – скрываем или показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл

для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.

Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr. Web LiveDisk

Если вирус недавно появился, то данный способ может помочь.

Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы. После восстановления должно появится окошко о удачно окончании процесса.

На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.

Комментарии ()

Оставьте свой комментарий

Удаление вируса через реестр

В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера

:/> ✔ Активируем Виндовс подменой KMS-сервера (командная строка) - Блог Zegeberg

Удалите все подозрительные записи и незнакомые программы

Находим и удаляем вирус через свойства ярлыка

Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:

«%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»

Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.

Убеждаемся, что папки и файлы целые

Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:

Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
Показывать скрытые файлы и папки — устанавливаем переключатель.

Теперь ваши папки на флешке будут видны, но они будут прозрачными.