Как вылечить exe файлы
Модератор: mike 1
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 13:13
Компьютер заразился вирусом. Некоторые папки на дисках C и D превратились в ярлыки и при попытке открыть их, выскакивает сообщение «Программа не запускается». Зараженные папки (ярлыки) все стали расширением .ЕХЕ. Подскажите пожалуйста как вылечить данный вирус? Что за вирус такой?
ЛУЧШИЙ ОТВЕТ DesignerMix » 03 дек 2014, 14:49
Tehnar, Прежде всего включите отображение скрытых файлов и папок (включая системные!), если вы увидите ваши папки в виде полупрозрачных значков то следующий скрипт вам поможет. Скиньте в корень папки или диска на котором есть exe-файлы с пиктограммами ярлыков вот этот bat-файл и запустите его (желательно с правами администратора):
Скрипт проверенный и много раз выручал.
После запуска скрипта в корне той папки или диска откуда он был запущен у всех файлов и папок будут сняты атрибуты «скрытый» и «системный». Также будет создан файл list.txt в котором будут перечислены имена папок и файлов с которых снялись эти аттрибуты. После этого вы можете сделать отображение содержимого в виде таблицы (через меню вид) и отсортировать все «по типу» а затем удалить вредоносные файлы.
Поле этого обязательно проверьте компьютер и все ваши флешки антивирусом. Например Kaspersky Virus Removal Tool
ПЕРЕЙТИ К ПОЛНОМУ СООБЩЕНИЮ ➙
DesignerMix
Администратор
Сообщения: 6407 Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 218 Откуда: Белгород
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 14:49
Tehnar, Прежде всего включите отображение скрытых файлов и папок (включая системные!), если вы увидите ваши папки в виде полупрозрачных значков то следующий скрипт вам поможет. Скиньте в корень папки или диска на котором есть exe-файлы с пиктограммами ярлыков вот этот bat-файл и запустите его (желательно с правами администратора):
anti_hidden.rar
Скрипт для снятия «аттрибутов» скрытый и «системный» (193 байт) 5167 скачиваний
Скрипт проверенный и много раз выручал.
После запуска скрипта в корне той папки или диска откуда он был запущен у всех файлов и папок будут сняты атрибуты «скрытый» и «системный». Также будет создан файл list.txt в котором будут перечислены имена папок и файлов с которых снялись эти аттрибуты. После этого вы можете сделать отображение содержимого в виде таблицы (через меню вид) и отсортировать все «по типу» а затем удалить вредоносные файлы.
Поле этого обязательно проверьте компьютер и все ваши флешки антивирусом. Например Kaspersky Virus Removal Tool
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 16:46
DesignerMix, вылечил компьютер с помомощью ваших советов, сейчас тестируется Касперским. А что за вирус такой и с какой целью он создает скрытые папки? Спасибо.
DesignerMix
Администратор
Сообщения: 6407 Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 218 Откуда: Белгород
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 16:53
Tehnar, этот вирус распространяется с помощью флешек и его цель заставить пользователя запустить самого себя что-бы заразить компьютер или другую флешку. Делает он это крайне просто — берет и скрывает все папки создавая exe-файлы или ярлыки которые запускают вирус и при этом открывают нужную папку (часто она открывается в новом окне). Поэтому пользователь может долго ничего не подозревать (так как все работает). Сложность в удалении именно в том что помимо атрибута «скрытый» он добавляет «системный» атрибут который убрать сложнее.
Но все что я описал выше это только способ заражения, а вот что делает конкретный вирус — нужно разбираться.
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 17:25
Кстати заразился от винчестера, который принесли на тестирование. Подключил его к своей рабочей машине. На будущее- прежде чем открывать содержание неизвестного винчестера, проверьте его на вирусы!
komdiv
Новичок
Сообщения: 3 Зарегистрирован: 12 дек 2014, 13:13
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
komdiv » 12 дек 2014, 13:24
Ничего страшного это вирус пока что не делает, кроме того что прячет все подряд, но проверить глубже нужно. Уже не первый раз имею дело с ним! Атрибуты снимаю через тотал (файлы — изменить атрибуты…), а сам вирус удаляю вручную, НО на всякий случай делаю глубокую проверку с помощью Emsisoft Emergency Kit — https://programmybesplatno.com/system-so … gency-kit/. Он находит то, что другие бренды не находят! Советую всегда иметь под рукой этот сканер.
Кто сейчас на конференции
Сейчас этот форум просматривают: Yandex [Bot] и 0 гостей
Источник
Сегодня многие пользователи из Сети «подхватывают» несколько
необычные вирусы, которые воздействуют на исполняемые файлы, да еще и
так, что не все антивирусные программы с ними справляются. Попробуем
разобраться, что можно сделать в такой ситуации, а заодно рассмотрим
проблему, как удалить вирус «EXE» с флешки.
Как работают вирусы, инфицирующие EXE-файлы?
Ситуация
с проявлением активности вирусов подобного типа не нова. Такое было и
раньше. Самым распространенным сегодня считается компьютерный
троян-вредитель под названием Virus.Win32.Expiro.(версий «w», «ao», «bc»
и т.д.).
Подцепить
его в Интернете можно совершенно элементарно, а потом думай, что с этим
делать и как удалить. Вирус удаляет EXE-файлы, вернее, делает их
недоступными для исполнения. Неудивительно, что при попытке открытия
какой-либо программы или приложения, вследствие воздействия вредоносного
кода вируса, система не распознает исполняемый файл и выдает сообщение о
том, что такой-то и такой-то файл не найден.
Что самое печальное,
это касается не только установленных программ, но первого запуска
инсталлятора (имеется в виду, если дистрибутив скачан из Интернета и
находится на жестком диске). В случае установки программы с оптического
носителя воздействие угрозы может проявиться позже, по окончании
процесса установки. Наверное, не стоит говорить, что при запуске
инсталляционного процесса с USB-накопителя вирус автоматически
перепрыгивает на него и инфицирует все файлы, имеющие расширением .exe.
Но распознать действие вируса можно только при запуске
исполняемого файла. Именно поэтому, пока файл не запущен, некоторые
антивирусные пакеты угроз не идентифицируют, и наличие вируса не
определяется вообще.
Проблемы антивирусного ПО
Давайте
посмотрим, что и как удалить. Вирус удаляет EXE-файлы или блокирует их, в
данном случае неважно. Но тут, как оказывается, палка о двух концах. С
одной стороны, мы имеем дело с блокированием файлов самим вирусом, с
другой – неправильную реакцию антивирусных программ.
Так,
например, сегодня известно достаточно много случаев, когда тот же пакет
Avast при заданном пользователем сканировании (а не при проникновении
угрозы изначально) вирус все-таки определяет. Правда, определение
сводится только к тому, что он показывает зараженные EXE-файлы и по
причине невозможности лечения удаляет их сам без разбора. Вот вам и
ситуация. Казалось бы, все просто: все знают, что и как удалить. Вирус
удаляет EXE-файлы даже не сам, а (парадокс!) делает это руками
антивирусного сканера. Естественно, такой вредитель способен создавать
собственные копии и маскироваться даже под системные процессы типа
svchost.
Как удалить вирус (EXE-файлы заражены)?
Что
касается борьбы с такой угрозой, здесь не все просто. Прежде всего,
большинству пользователей можно посоветовать не использовать бесплатные
антивирусные программы и утилиты типа Avast, AVG и т.д. На крайний
случай лучше бы в системе был облачный антивирус типа Panda.
Самый
лучший вариант – мощное антивирусное ПО «Лаборатории Касперского» или
корпорации ESET. Кстати, можно прибегнуть к услугам утилит типа
Kaspersky Virus Removal Tool, только сначала программу в виде
портативной версии нужно записать на оптический диск, используя для
этого незараженный компьютер, и запускать именно с CD- или DVD-носителя.
В противном случае успешное лечение не гарантируется.
Также можно использовать и небольшие программы типа CureIt, которые именно лечат зараженные файлы, а не удаляют их.
Но
поскольку вирус, как правило, «сидит» в оперативной памяти, самым
оптимальным решением станет использование запуска с оптического носителя
программ с общим названием Rescue Disc.
Они
проверяют все компоненты системы еще до ее собственного старта. В
большинстве случаев этот метод является действенным. Кстати сказать,
такая методика подойдет и для флешек, только в параметрах сканирования
устройств хранения данных нужно будет дополнительно поставить галочку на
USB-носителе.
Заключение
В целом, думается, некоторые
советы помогут большинству юзеров понять, как удалить вирус. Удаляет
EXE-файлы сам вирус или производит несанкционированную блокировку
исполняемых файлов, сразу и не поймешь. Но если есть хоть малейшее
подозрение на его присутствие, крайне не рекомендуется запускать ни одну
программу до окончания полного процесса сканирования, лечения файлов и
удаления угрозы.
Кроме всего прочего, желательно иметь в системе
какой-нибудь пакет типа Internet Security, способный предотвратить
проникновение угрозы еще на начальной стадии.
Источник
Эпиграф:
Как по девкам ходить — так с радостью!
А как уколы колоть — так больно…
/ Народная мудрость /
Распространение классических компьютерных вирусов в настоящее время не так широко, как в древние времена MS-DOS, однако методики написания файловых инфекторов с того времени претерпели многочисленные усовершенствования, что существенно осложняет лечение и восстановление зараженных файлов.
Многие производители антивирусных программ по указанной выше причине не включают механизмы лечения в свои продукты, предлагая пользователям удалить все зараженные файлы, а затем переустановить поврежденные программные продукты. Однако если таким образом будет удален хотя бы один из системных файлов, операционная система
не сможет
правильно или полностью загрузиться, что приведет к потере пользовательских данных, пользовательского времени, затраченного на оживление компьютера и конечно же к потере доверия к производителю антивирусного продукта, вызвавшего такие проблемы.
К сожалению, на данный момент не существует 100% методик лечения заражений, вызванных файловыми вирусами, и при использовании следущих методик не исключается вероятность повреждения программных или системных файлов. При этом поврежденный файл может быть вполне работоспособен, но в определенные моменты работы с ним могут возникать ошибки. Файл может быть поврежден, как в процессе заражения, так и в процессе лечения.
Многие пользователи, особенно уверенные пользователи, скажут, что переустановить систему им гораздо проще и быстрее, чем ждать окончания сканирования и лечения зараженных файлов. Отчасти они правы, однако в данном случае существуют риски повторного заражения, вызванного автозапуском инфекторов с зараженных флешек или других разделов жесткого диска или установкой программ из зараженных инсталляторов.
В настоящее время наиболее эффективными способоми лечения являются использование загрузочных (Live CD) дисков от антивирусных компаний и использование специальных сканеров и утилит для лечения определенных видов заражений.
Если какой-то из продуктов не обнаруживает заражения, необходимо отправить зараженные файлы производителю данного продукта на анализ и выработку методики лечения.
В любом случае Вам понадобится компьютер с установленной на нем незараженной системой для скачивания и записи на CD или USB инструментов лечения — это может быть компьютер Вашего друга, соседа или системного администратора на работе (учитывайте тот момент, что админ цветы и конфеты не пьет…).
Будьте предельно внимательны и осторожны при использовании незараженного компьютера — ведь
одно неверное Ваше действие
превратит его в брата по горю Вашему компьютеру.
Не используйте флешки
или отключите автозапуск с флеш-накопителей на чистом компьютере,
не запускайте
никаких файлов, принесенных с зараженной системы — карантин должен быть полным.
Мы предлагаем пройти несколько несложных (но достаточно продолжительных по времени) шагов для успешного лечения операционных систем, зараженных файловыми вирусами, данные методики сохранят время, а может быть и деньги, потраченные на работу компьютерного мастера:
- Подготовьте на случай повреждения системных файлов диск с дистрибутивом Вашей операционной системой.
- Подключите к компьютеру все внешние USB-накопители и произведите полное сканирование и лечение зараженных файлов с помощью LiveCD. Ссылки на инструкции по использованию лечащих дисков указаны ниже.
- После окончания сканирования и лечения перезагрузите компьютер.
- Не запускайте никаких программ, не открывайте дисков и флеш-накопителей двойным щелчком мыши.
- Скачайте автоматический сборщик логов и подготовьте логи в соответствие Правилам оформления запроса. Если Вы уже скачивали данные утилиты, скачайте их заново — в процессе лечения они могли быть повреждены.
- После успешного лечения и удаления вредоносного ПО выполните следующие действия:
- Проведите процедуру проверки и восстановления системных файлов (инструкции для ОС XP / Vista / Seven / Windows 8 /10) — для ОС XP потребуется диск с дистрибутивом ОС.
- Переустановите программное обеспечение, со скачанных заново инсталляторов программ.
- Произведите полное сканирование системы Вашим антивирусом.
- Ознакомьтесь и постарайтесь выполнять требования, описанные в составленных нами рекомендациях.
Инструкции по использованию загрузочных дисков и утилит лечения:
- Инструкция по использованию LiveCD Kaspersky Rescue Disk
- Инструкция по использованию LiveCD Dr.Web LiveCD
- Инструкция по использованию LiveCD Windows Defender Offline
- Инструкция по использованию LiveCD BitDefender Rescue CD
- Инструкция по использованию LiveCD Avira AntiVir Rescue System
- Инструкция по использованию LiveCD Vba32 Rescue
- Инструкция по использованию утилиты Dr.Web CureIt!
Специальные инструменты:
Инструкция по использованию утилиты Sality.Killer:
Для лечения Virus.Win32.Sality только модификаций:
Virus.Win32.Sality.aa(Win32.Sector.12), Virus.Win32.Sality.ag(Win32.Sector.21), Virus.Win32.Sality.ae(Win32.Sector.19), Virus.Win32.Sality.bh(win32.sector.22).
Нужно воспользоваться утилитой SalityKiller
А так же необходимо скачать Sality_RegKeys это набор твиков реестра, который позволит восстановить безопасный режим и отключить автозапуск со съемных носителей.
Дополнительные ключи для работы с SalityKiller.exe из командной строки:
-p <path> – сканировать определённый каталог.
-n – сканировать сетевые диски.
-r – сканировать flash-накопители, переносные жесткие диски, подключаемые через USB и FireWire.
-y – закрытие окна по окончании работы утилиты.
-s – проверка в «тихом» режиме (без вывода консольного окна).
-l <имя_файла> – запись отчета в файл.
-v – ведение подробного отчета (необходимо вводить вместе с параметром -l).
-x – восстановление возможности показа скрытых и системных файлов.
-a – отключение автозапуска со всех носителей.
-j – восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).
-m – режим мониторинга для защиты от заражения системы.
-q – сканирование системы, по окончании утилита переходит в режим мониторинга.
-k – сканирование всех дисков, распознавание на них файла autorun.inf (созданный вирусом Virus.Win32.Sality) и удаление autorun.inf. Так же удаляется исполняемый файл, на который ссылается autorun.inf, даже если этот файл уже пролечен и более не заражён вирусом.
Полное описание утилиты и методологию использования можно прочитать на странице технической поддержки ЛК.
Если вы не можете получить доступ к ресурсам Kaspersky Lab для скачивания salitykiller, то воспользуйтесь этой ссылкой.
Инструкция по использованию утилиты Virut.Killer:
Для лечения Virus.Win32.Virut только модификаций:
Virus.Win32.Virut.ce и Virus.Win32.Virut.q.
Для лечения необходимо воспользоваться утилитой VirutKiller.exe
Распакуйте и запустите утилиту, дождитесь окончания сканирования и лечения. Возможно потребуется перезагрузка компьютера.
При запуске утилиты без параметров выполняется:
- Поиск и завершение зловредных потоков.
- Поиск и снятие перехватов функций:
- NtCreateFile;
- NtCreateProcess;
- NtCreateProcessEx;
- NtOpenFile;
- NtQueryInformationProcess.
- Сканирование файлов на всех жестких дисках и их лечение.
- Параллельно во время сканирования жестких дисков утилита каждые 10 секунд проверяет исполняемые файлы всех запущенных процессов. В случае их обнаружения процессы завершаются, файлы – лечатся.
Дополнительные ключи для запуска утилиты VirutKiller из командной строки:
-l <имя_файла> – запись отчета в файл.
-v – ведение подробного отчета (необходимо вводить вместе с параметром -l).
-s – проверка в «тихом» режиме (без вывода консольного окна).
-y – закрытие окна по окончании работы утилиты.
-p <путь_к_каталогу> – проверить определенный каталог.
-r – проверить сменные носители (flash-накопители), переносные жесткие диски, подключаемые через USB и FireWire.
-n – проверить сетевые диски
Полное описание утилиты и методологию использования можно прочитать на странице технической поддержки ЛК.
Инструкция по использованию утилиты Xpaj.Killer:
Для лечения Virus.Win32.Xpaj только модификаций:
Virus.Win32.Xpaj.a, Virus.Win32.Xpaj.b, Virus.Win32.Xpaj.c, Virus.Win32.Xpaj.gen, Virus.Win32.Xpaj.gen2, Virus.Win32.Xpaj.gena, Virus.Win32.Xpaj.genb, Virus.Win32.Xpaj.genc
Для лечения необходимо воспользоваться утилитой XpajKiller.exe
- Запустите файл XpajKiller.exe на зараженной (или потенциально зараженной) машине.
- Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.
Дополнительные ключи для запуска утилиты из командной строки:
—l <имя_файла> — запись отчета в файл.
—v — ведение подробного отчета (необходимо вводить вместе с параметром -l).
—s — проверка в «тихом» режиме (без вывода консольного окна).
—y — закрытие окна по окончании работы утилиты.
—p <путь_к_каталогу> — проверить определенный каталог.
—r — проверить сменные носители (flash-накопители), переносные жесткие диски, подключаемые через USB и FireWire.
Полное описание утилиты и методологию использования можно прочитать на странице технической поддержки ЛК.
Источник
