Разработчиками вредоносных программ используются любые шансы для заражения пользовательского компьютера. Чтобы не упустить ни малейшей возможности распространения своих детищ, они применяют довольно нетипичные ходы. Им известно, что в последнее время пользователями используется все больше флеш-накопителей, на которые совсем несложно записывать любую информацию, поэтому вредоносное ПО очень легко распространять от машины к машине именно этим способом. Есть ряд методов защиты от их действий, которые помогут их нейтрализовать.
Вам понадобится
- утилита kk.exe, файловый менеджер.
Инструкция
Папка под названием Recycle.Bin для большинства пользователей остается совершенно незаметной. Еще бы, ведь это системная папка, а потому увидеть ее, мягко говоря, проблематично, если, конечно, вы не решили как следует изучить свою операционную систему — папка является скрытой от глаз.
Для того, что бы увидеть эту папку, что называется, «живьем», нужно воспользоваться функционалом операционной системы. Зайдите в «Компьютер», нажмите на кнопку «Упорядочить», а когда появится меню, в нем выберите пункт «Параметры папок и поиска».
Появится окно. Перейдите на вкладку «Вид», здесь вы увидите дополнительные параметры папок. Найдите пункт «Показывать скрытые файлы, папки и диски» и поставьте галочку рядом с ним. А чуть выше снимите галочку с пункта «Скрывать защищенные системные файлы». Нажмите ОК.
Вуаля, а вот и папка:
Не забудьте потом восстановить прежние параметры папок.
Итак, что же за папка Recycle.Bin? На самом деле все очень просто — это всего лишь , та самая, куда вы отправляете файлы и папки для удаления. По сути, при удалении какого-либо файла последний перемещается в папку RECYCLE.BIN, где ждет своего часа: либо полного удаления, либо восстановления. Спустя некоторое время папка будет очищаться, например, если объем удаленных файлов превышает определенный лимит — более старые файлы удаляются.
Самое интересное здесь то, что на каждом из имеющихся на вашем компьютере локальных дисков вы найдете эту самую папку. Да-да, при удалении файла он перемещается именно в корзину того диска, где находился физически. Когда же пользователь открывает корзину на рабочем столе, он видит все удаленные файлы независимо от того, на каком из дисков они прежде находились.
Кстати, многие пользователи считают, что Recycle.Bin — это вирус, но это не так, в чем я вас убедил выше. Конечно, в единичных случаях папка Recycle.Bin действительно может быть вирусом, но это происходит редко.
Как удалить папку Recycle.Bin?
Удалять ее не нужно — просто скройте ее от глаз способом, который описан выше. В этом случае вы вообще никогда не увидите эту папку.
Кстати, если вы удалите папку обычным способом, то спустя некотороt время она все равно появится на диске — когда вы что-нибудь удалите.
Вирусов сегодня существует столько, что и не сосчитать. Некоторые из них могут быть достаточно опасными, в частности те, которые обосновываются на съемных устройствах, блокируя к ним доступ, а затем проникая и в саму операционную систему. Так, например, вирус Recycler на флешке в скрытом виде работает именно таким образом. Удалить его стандартными методами зачастую бывает невозможно. Далее рассмотрим, как же все-таки избавиться от этой угрозы, если она присутствует на USB-носителе. Основной упор сделаем на ручной метод, поскольку антивирусные защитные средства иногда нейтрализовать его не могут.
Угроза Recycler: что это?
Если рассматривать эту угрозу в смысле ее начального нахождения на USB-накопителях, сразу можно отметить, что первым признаком заражения является именно блокирование доступа к устройству. При использовании того же двойного клика система начинает выдавать сообщения о том, что произошла ошибка доступа.
Иногда файлы и папки, сохраненные на носителе, в могут отображаться, но при попытке их открытия или даже простого выделения выдается уведомление о том, что искомый объект не найден.
В автозагрузке системы и «Диспетчере задач» среди активных элементов появляются непонятные процессы вроде cbtww.exe или fpewkqk.exe, что в конце концов приводит к тому, что нагрузка на системные ресурсы возрастает неимоверно (даже система зачастую «слетает» полностью, а после этого требуется ее полная переустановка).
Иногда, правда, вирус может маскироваться и под процессы доверенных программ вроде Opera.exe или под системные процессы svchost.exe. В этом случае необходимо посмотреть на загрузку ЦП, а также установить расположение компонентов, отвечающих за эти процессы, через меню ПКМ, после чего завершить их, если окажется, что они вызывают сомнения.
Вот такой имеем вирус Recycler. Что это такое, хочется надеяться, немного понятно. Теперь перейдет к практическим шагам по избавлению системы от этой угрозы.
Как удалить вирус Recycler: предварительные действия
Поскольку угроза активируется как раз в момент попытки доступа к съемному носителю, устанавливая свои исполняемые элементы в вышеуказанные разделы системы, сначала нужно избавиться именно от них.
Для начала завершаем в «Диспетчере задач» все активные процессы, в которых вместо названия присутствует бессмысленный набор символов.
После этого необходимо войти в раздел автостарта и снять галочки со всех подозрительных служб. В Windows 10 вкладка автозагрузки находится непосредственно в «Диспетчере задач», а в версиях ниже она располагается в системном конфигураторе, который вызывается командой msconfig в меню «Выполнить». По завершении всех описанных действий систему в обязательном порядке следует перезагрузить.
Изменения атрибутов отображения файлов
Таков необычный вирус Recycler. Что это такое, разобрались. Теперь посмотрим, как от него избавиться целиком и полностью. Просто так найти компоненты угрозы на USB-носителях не получится, поскольку все они имеют атрибуты скрытых объектов.
Таким образом, сначала в «Проводнике» необходимо использовать меню вида, где указывается показ скрытых файлов и директорий. Однако радоваться еще рано. Да, компоненты вируса видны (папка RECYCLER и файл автоматического старта Autorun.inf), но удалить их просто так не получится, поскольку они имеют соответствующую защиту.
Ручное удаление компонентов вируса
Но как же тогда удалить все компоненты угрозы? Файл Recycler на устройстве может отсутствовать, а избавляться нужно только от основного каталога и компонента автостарта.
Тут можно воспользоваться стандартным «Блокнотом», вписать в него строку attrib -s -h/d/s и сохранить созданный документ под любым именем с ручной установкой расширения BAT. Теперь следует запустить этот файл. После старта появится окно командной консоли, которое после выполнения введенной в документе команды будет закрыто автоматически. И вот только теперь с флешки можно смело удалять вышеуказанные элементы.
Для упрощения выполняемых действий можно воспользоваться небольшой утилитой NexusFile в виде файлового менеджера, которая способна и показать компоненты вируса, и автоматически снять с них защиту. Для показа файлов и каталогов используется сочетание Alt + Z, а для полного удаления элементов вируса после их выделения - Shift + Ctrl + D.
Сканирование портативными инструментами
Вот вкратце и все, что касается вируса Recycler. Что это за угроза? Это весьма опасный апплет, который может воздействовать на систему самым критическим образом. Чтобы быть полностью уверенным в том, что угроза обезврежена, на всякий случай после проведения всех вышеописанных действий флешку стоит проверить какой-нибудь портативной программой-сканером наподобие Dr. Web CureIt!, хотя при желании можно воспользоваться ею еще на самой первой стадии. Однако, если не завершить все вирусные процессы хотя бы в том же «Диспетчере задач» и не отключить компоненты вируса в автостарте системы, рассчитывать на полное удаление приходится не всегда. Поэтому лучше использовать именно методику ручной нейтрализации. По крайней мере именно она гарантирует полное и безвозвратное удаление этой опасной угрозы раз и навсегда.
Все современные антивирусы уже давно научились блокировать запуск файлов autorun.inf со съемных носителей и злоумышленникам приходится придумывать новые способы для заражения компьютеров пользователей.
Одним из подобных видов заражения мы сегодня и рассмотрим, а именно: самостоятельно удалим вирус из системы.
Ну что же, теперь перейдем к рассмотрению самого вируса.
Описание вируса
Первые признаки заражения данным вирусом является наличие на съемных носителях, т.е. на флешках, ярлыков для всех папок, которых были на флешке на момент заражения. В свойствах этих ярлыков указан путь к исполняемому файлу самого вируса:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\1b37f31f.exe &&%windir%\explorer.exe %cd%RECYCLER
Ничего не подозревающий пользователь кликает на ярлык, принимая его за обычную папку и тем самым, запускает вирус на исполнение. Одновременно с запуском вируса открывается и требуемая папка и все выглядит вполне обычно, что на самом деле не так.
Итак, сам вирус находится в папке RECYCLER , которая расположена на съемном носителе. Внутри этой папки находятся два файла: 1b37f31f.exe и Desktop.ini . Первый файл – это сам вирус, второй отвечает за отображение значка папки в виде обычной корзины.
Стоит напомнить, что на флешке не должно быть никаких Корзин, то есть папок с названием RECYCLER . Данные папки могут присутствовать только на жестком диске компьютера, но никак не на флешке. Если вы обнаружили данную папку на флешке – это стопроцентно вирус.
При запуске, вирус делает скрытыми все папки на съемном носителе и создает ярлыки с именами папок. Таким нехитрым образом, происходит запуск данного вируса.
Технические данные вируса
Многими антивирусами этот вирус детектируется как троян и хотя прошло много времени с момента создания этого вируса, в сети Интернет очень мало информации по этому вирусу.
Итак, немного технической информации:
Имя файла: 1b37f31f.exe
MD5:
Размер файла: 246.8 KБ (252731 байт)
Тип файла: Win32 EXE
Версия: 2.0.8.1
Удаление вируса
Для начала, стоит включить отображение скрытых файлов и папок на вашем компьютере. Для этого, откройте Проводник и выберете пункт меню «Сервис», затем «Свойства папки», перед вами отобразится окно «Свойства папки». Перейдите на вкладку «Вид» и поставьте переключатель на пункт «Показывать скрытые файлы и папки», затем, чуть выше, уберите галочку с «Скрывать защищенные системные файлы (рекомендуется)», появится окно предупреждения о том, что защищенные файлы операционной системы будут отображаться «Проводником». Нажмите на кнопку «Да», затем в окне «Свойства папки» нажмите кнопку «Применить» и «Ok».
После этого, помимо ярлыков вы увидите те самые папки, которые скрыл вирус.
Теперь, когда стали доступны скрытые файлы и папки, удалите с флешки папку RECYCLER, вместе со всем ее содержимым. После чего, удалите все ярлыки, созданные вирусом.
Один важный момент: на всех разделах вашего жесткого диска также следует удалить папки RECYCLER, так как зачастую в этих папках остается рабочая копия данного вируса.
Устранение последствий вируса
Когда вы удалили папку RECYCLER и созданные им ярлыки, вам потребуется вернуть атрибуты для скрытых папок, которые присвоил им вирус. Тут кроется одна хитрость: через программу Проводник не удастся убрать атрибут «Скрытый» для скрытых вирусом папок. Все дело в том, что помимо атрибута «Скрытый», вирус присвоил еще один атрибут: - «Системный». Именно поэтому, Проводник не позволит убрать атрибут Скрытый» для требуемой папки.
Однако все эти атрибуты легко убираются любым файловым менеджером, например Total Commander или Double Commander.
В Total Commander атрибуты убираются следующим образом:
1. Откройте Total Commander (предварительно включив в Total Commander отображение системных файлов) и откройте в одной из панелей Total Commander корень вашей флешки;
2. Выберите меню «Файлы», а затем «Изменить атрибуты…»;
В программе Double Commander атрибуты убираются подобным образом:
1. Откройте Double Commander (предварительно включив в Double Commander отображение системных файлов) и откройте в одной из панелей Double Commander корень вашей флешки;
2. Выберите меню «Файлы», а затем «Изменить атрибуты»;
3. В открывшемся окне, уберите флажки напротив Архивный, Только для чтения, Скрытый и Системный, и после этого нажмите на кнопку «OK».
После этого, скрытые вирусом папки перестанут быть таковыми.
Альтернативный способ
Существует и другой способ снятия атрибутов, присвоенных папкам, рассматриваемым нами вирусом. Этот альтернативный способ заключается в запуске всего лишь одной команды «attrib», которая позволяет присваивать либо снимать атрибуты файлов и папок.
Сейчас мы не будем рассматривать весь синтаксис данной команды, так как это тема отдельной статьи – мы только создадим один простенький сценарий, точнее bat-файл со следующим содержимым:
attrib -S -H /D /S
Наберите или скопируйте эту строчку в Блокнот и сохраните под любым именем, но с расширением.bat. Стоит отметить, что сохранять этот файл надо на флешке, на которой требуется убрать атрибуты «Скрытый» и «Системный». Имя файла может быть примерно таким «NoHidden.bat », но обязательно с расширением.bat.
Убедитесь, что созданный вами файл находится в корне вашей флешки, после чего запустите его. После запуска нашего файла «NoHidden.bat », папки вновь станут видимыми.
Вывод
Вот такими нехитрыми манипуляциями мы удалили назойливый вирус не только на съемном носителе, но и на флешке. Помимо этого, мы узнали как можно снимать атрибуты «Скрытый» и «Системный» у папок.
В этой статье речь пойдёт о папке с непонятным названием Recycle Bin, или Корзина, которая имеется в операционной системе Windows 7. В операционной системе Windows XP аналогичный объект тоже есть, но в этой версии ОС он называется Recycler.
Recycle Bin присутствует во всех локальных разделах компьютерного жёсткого диска, но увидеть их в проводнике можно не всегда, а только при включённом отображении скрытых объектов – файлов и папок – в настройках Проводника. Таким образом, папка Recycle Bin появляется в корневом каталоге всех дисков, если разрешить отображение скрытых и защищённых системных файлов, а именно снять галочку «Скрывать защищённые системные файлы».
По своей сути эта загадочная папка является корзиной для «цифрового мусора», т. е. тем местом, куда вы перемещаете свои документы, папки и файлы, желая их удалить. В папку Корзина перемещается файл, который вы удалили, но такое удаление неокончательное: любой объект из Корзины можно при желании восстановить. Это временное удаление.
Периодически эта папка очищается, в зависимости от настроек системы – например, если размер помещённых в неё файлов превышает установленную пороговую величину. В этом случае все или более старые файлы удаляются. А также Корзину можно очистить вручную. Более того, её даже рекомендуется периодически очищать, чтобы не захламлять и не замедлять свою операционную систему.
В случае переполнения Корзины, когда размер помещённых туда файлов слишком велик, вновь поступающие файлы «вытесняют» старые, и последние удаляются безвозвратно
(автоматически). Но это зависит от системных настроек: можно отдельно задать размер Recycle Bin для каждого раздела, выбрав нужный из списка.
Чтобы автоматического уничтожения старых файлов не происходило, не рекомендуется резервировать для папок Recycle Bin слишком мало места на соответствующих дисках, кроме того, пользователь может включить или отключить опцию, предусматривающую уничтожение файлов непосредственно после удаления, без помещения их в Recycle Bin.
Также можно по желанию отключить запрос на подтверждение помещения объекта в корзину, но делать это не рекомендуется.
После удаления документа или файла из Корзины они уже не подлежат восстановлению , исчезая навсегда.
Ещё один момент: удаляемый файл перемещается в корзину именно того диска, на котором он находится физически. А если пользователь открыл Recycle Bin по иконке на Рабочем столе, то он может увидеть все удалённые документы или файлы, на каком бы из локальных дисков они прежде ни находились.
То есть Корзина – это виртуальная папка , в которой одновременно отображается содержимое всех локальных папок.
Recycle Bin имеет следующую особенность: суммарное содержимое всех Корзин, имеющихся на каждом из локальных дисков, отображается в едином окне, как будто бы у нас была одна большая папка для «цифрового мусора».
Напомним об основных возможностях Recycle Bin.
Возможности и устройство Recycle Bin
- Все содержимое Recycle Bin можно увидеть в окне, которое открывается по двойному щелчку кнопкой мышки по её значку.
- Любой из файлов, находящийся в Корзине, можно либо восстановить , либо окончательно удалить.
- Чтобы находить нужные материалы быстрее и удобнее, файлы можно рассортировать по размеру, типу или по дате изменения, как в случае обычных, не удалённых папок, или же по исходному расположению на диске и дате удаления.
- Можно восстановить сразу несколько удалённых документов или файлов. Для этого их надо выделить мышкой, а затем из выпадающего списка выбрать команду «Восстановить».
Как удалить папку Recycle Bin
Удалять эту папку нет необходимости (да это и невозможно). Но её можно скрыть , выключив отображение системных и скрытых файлов в настройках Проводника. В этом случае вы её не будете видеть.
Если удалить Корзину обычным способом, то есть как обычную папку, то спустя какое-то время, а именно когда вы удалите любой документ или объект, она вновь появится на жёстком диске. Таким образом, совсем удалить папку Recycle Bin не получится, ведь она является системной
. Зато можно удалить все вложенные подпапки и файлы. Это действие равносильно очистке Корзины через Рабочий стол.
Вирус или нет?
Некоторые пользователи ошибочно считают, что Recycle Bin – это вирус и по этой причине пытаются его удалить, но ничего не получается. Их вводит в заблуждение то, что этот объект не удаляется, даже если он пуст – после удаления Recycle Bin появляется вновь. Антивирусные программы ничего подозрительного не обнаруживают. Может ли такое быть?
Верно то, что в папке Корзина на самом деле может присутствовать вирус, но только в том случае, если он не был ранее замечен и удалён (помещён в Recycle Bin). Чтобы избавиться от него, необходимо удалить сам заражённый файл.
Подводим итоги
- Корзина создаётся на каждом локальном логическом диске компьютера.
- В такие Корзины помещаются все удалённые объекты, причём удалённый объект попадает в Корзину того диска, на котором он изначально находился.
- Если открыть Recycle Bin с помощью иконки на Рабочем столе, то отображаются все удалённые объекты, из всех локальных Корзин.
- При очистке Recycle Bin, иконка которой находится на Рабочем столе, будут окончательно удалены все объекты из всех Корзин (на всех дисках).
