Вирусов сегодня существует столько, что и не сосчитать. Некоторые из них могут быть достаточно опасными, в частности те, которые обосновываются на съемных устройствах, блокируя к ним доступ, а затем проникая и в саму операционную систему. Так, например, вирус Recycler на флешке в скрытом виде работает именно таким образом. Удалить его стандартными методами зачастую бывает невозможно. Далее рассмотрим, как же все-таки избавиться от этой угрозы, если она присутствует на USB-носителе. Основной упор сделаем на ручной метод, поскольку антивирусные защитные средства иногда нейтрализовать его не могут.

Угроза Recycler: что это?

Если рассматривать эту угрозу в смысле ее начального нахождения на USB-накопителях, сразу можно отметить, что первым признаком заражения является именно блокирование доступа к устройству. При использовании того же двойного клика система начинает выдавать сообщения о том, что произошла ошибка доступа.

Иногда файлы и папки, сохраненные на носителе, в могут отображаться, но при попытке их открытия или даже простого выделения выдается уведомление о том, что искомый объект не найден.

В автозагрузке системы и «Диспетчере задач» среди активных элементов появляются непонятные процессы вроде cbtww.exe или fpewkqk.exe, что в конце концов приводит к тому, что нагрузка на системные ресурсы возрастает неимоверно (даже система зачастую «слетает» полностью, а после этого требуется ее полная переустановка).

Иногда, правда, вирус может маскироваться и под процессы доверенных программ вроде Opera.exe или под системные процессы svchost.exe. В этом случае необходимо посмотреть на загрузку ЦП, а также установить расположение компонентов, отвечающих за эти процессы, через меню ПКМ, после чего завершить их, если окажется, что они вызывают сомнения.

Вот такой имеем вирус Recycler. Что это такое, хочется надеяться, немного понятно. Теперь перейдет к практическим шагам по избавлению системы от этой угрозы.

Как удалить вирус Recycler: предварительные действия

Поскольку угроза активируется как раз в момент попытки доступа к съемному носителю, устанавливая свои исполняемые элементы в вышеуказанные разделы системы, сначала нужно избавиться именно от них.

Для начала завершаем в «Диспетчере задач» все активные процессы, в которых вместо названия присутствует бессмысленный набор символов.

После этого необходимо войти в раздел автостарта и снять галочки со всех подозрительных служб. В Windows 10 вкладка автозагрузки находится непосредственно в «Диспетчере задач», а в версиях ниже она располагается в системном конфигураторе, который вызывается командой msconfig в меню «Выполнить». По завершении всех описанных действий систему в обязательном порядке следует перезагрузить.

Изменения атрибутов отображения файлов

Таков необычный вирус Recycler. Что это такое, разобрались. Теперь посмотрим, как от него избавиться целиком и полностью. Просто так найти компоненты угрозы на USB-носителях не получится, поскольку все они имеют атрибуты скрытых объектов.

Таким образом, сначала в «Проводнике» необходимо использовать меню вида, где указывается показ скрытых файлов и директорий. Однако радоваться еще рано. Да, компоненты вируса видны (папка RECYCLER и файл автоматического старта Autorun.inf), но удалить их просто так не получится, поскольку они имеют соответствующую защиту.

Ручное удаление компонентов вируса

Но как же тогда удалить все компоненты угрозы? Файл Recycler на устройстве может отсутствовать, а избавляться нужно только от основного каталога и компонента автостарта.

Тут можно воспользоваться стандартным «Блокнотом», вписать в него строку attrib -s -h/d/s и сохранить созданный документ под любым именем с ручной установкой расширения BAT. Теперь следует запустить этот файл. После старта появится окно командной консоли, которое после выполнения введенной в документе команды будет закрыто автоматически. И вот только теперь с флешки можно смело удалять вышеуказанные элементы.

Для упрощения выполняемых действий можно воспользоваться небольшой утилитой NexusFile в виде файлового менеджера, которая способна и показать компоненты вируса, и автоматически снять с них защиту. Для показа файлов и каталогов используется сочетание Alt + Z, а для полного удаления элементов вируса после их выделения - Shift + Ctrl + D.

Сканирование портативными инструментами

Вот вкратце и все, что касается вируса Recycler. Что это за угроза? Это весьма опасный апплет, который может воздействовать на систему самым критическим образом. Чтобы быть полностью уверенным в том, что угроза обезврежена, на всякий случай после проведения всех вышеописанных действий флешку стоит проверить какой-нибудь портативной программой-сканером наподобие Dr. Web CureIt!, хотя при желании можно воспользоваться ею еще на самой первой стадии. Однако, если не завершить все вирусные процессы хотя бы в том же «Диспетчере задач» и не отключить компоненты вируса в автостарте системы, рассчитывать на полное удаление приходится не всегда. Поэтому лучше использовать именно методику ручной нейтрализации. По крайней мере именно она гарантирует полное и безвозвратное удаление этой опасной угрозы раз и навсегда.

Давайте разберемся по порядку.

Что за папка System Volume Information ? и почему там очень любят прятаться вирусы? Как получить доступ к содержимому этой папки?

Для очистки можно просто Отключить данную услугу.
ПКМ на Мой компьютер -> Свойства -> выбираем Защита системы
Откроется окошко в котором выбираем диск на котором нужно её отключить, нажимаем Настроить

Откроется окошко в котором нажимаем на Удалить .

Затем будет предупреждение о том как это плохо, что Вы делаете и всё такое. Нажимаете Продолжить и всё очищается. Комп от этого не умрет.

Не обращайте внимания на мои скрины. Мне просто это Восстановление не нужно и я знаю что делаю потому что смогу в любом случае восстановить систему даже без стандартных способов.

В этом окне можно так же Отключить или Включить восстановление данных, а так же выбрать максимальный размер папки для восстановления.

Кстати, для очистки можно выбрать Отключить, затем нажать Применить , затем снова выбрать Включить и нажать Применить .

Ну или Пуск – Все программы – Стандартные – Служебные – Восстановление системы .

Что за папка $RECYCLE.BIN ?
Эта папка располагается в корне каждого диска, и имеет атрибут скрытый и системный. Следовательно, если у Вас отключена опция отображения скрытых файлов, эту папку Вы так же не увидите как и предыдущую. Как её увидеть - я дал ссылку выше.
$RECYCLE.BIN - это и есть сама корзина в висте и семёрке, в ней ещё содержится файл desktop.ini, отвечает за вид, в котором у Вас показывается данная папка в проводнике.
Причем $RECYCLE.BIN - папка корзины на активном НЕ системном диске, а $Recycle.Bin (в нижнем регистре) - соответственно на системном.
На самом деле при удалении файла или папки в корзину, происходит вовсе не удаление, а перемещение объекта в эту самую папку $Recycle.Bin расположенную на том диске, на котором происходит удаление.
Для каждого диска существует своя корзина (папка $Recycle.Bin есть в корне каждого раздела). Но когда Вы откроете корзину - Вы увидите все удаленные файлы вместе.
Для больше информации, можете почитать сайт .

Кстати, кликните ПКМ на ярлыке Корзина на рабочем столе и выберите Свойства, возможно Вы никогда такого и не делали. Там как раз и отображаются Ваши диски, где хранится эти файлы Recycle.Bin.
Там всего лишь 3 настройки

Задать размер - какой максимальный размер файлов будет находится в корзине, после чего она не сможет больше хранить их и будет требовать чтобы вы её очистили.
Уничтожать файлы сразу после удаления, не помещая их в корзину - думаю тут и так понятно. Не рекомендую так делать ибо может оказаться что удалили случайно нужный файл или папку, а возвращать потом нужно через сторонний софт.
Так же не рекомендую снимать галочку с Запрашивать подтверждение на удаление по той же самой причине.

Ну и напоследок - если Вы точно уверены что файлы или папки Вам не понадобятся (например мусор какой то) и Вы не будете жалеть об их исчезновении - смело жмите сочетание клавиш shift+del и файл удалиться с компьютера даже не попадая в корзину.

Все современные антивирусы уже давно научились блокировать запуск файлов autorun.inf со съемных носителей и злоумышленникам приходится придумывать новые способы для заражения компьютеров пользователей.

Одним из подобных видов заражения мы сегодня и рассмотрим, а именно: самостоятельно удалим вирус из системы.

Ну что же, теперь перейдем к рассмотрению самого вируса.

Описание вируса

Первые признаки заражения данным вирусом является наличие на съемных носителях, т.е. на флешках, ярлыков для всех папок, которых были на флешке на момент заражения. В свойствах этих ярлыков указан путь к исполняемому файлу самого вируса:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\1b37f31f.exe &&%windir%\explorer.exe %cd%RECYCLER

Ничего не подозревающий пользователь кликает на ярлык, принимая его за обычную папку и тем самым, запускает вирус на исполнение. Одновременно с запуском вируса открывается и требуемая папка и все выглядит вполне обычно, что на самом деле не так.

Итак, сам вирус находится в папке RECYCLER , которая расположена на съемном носителе. Внутри этой папки находятся два файла: 1b37f31f.exe и Desktop.ini . Первый файл – это сам вирус, второй отвечает за отображение значка папки в виде обычной корзины.

Стоит напомнить, что на флешке не должно быть никаких Корзин, то есть папок с названием RECYCLER . Данные папки могут присутствовать только на жестком диске компьютера, но никак не на флешке. Если вы обнаружили данную папку на флешке – это стопроцентно вирус.

При запуске, вирус делает скрытыми все папки на съемном носителе и создает ярлыки с именами папок. Таким нехитрым образом, происходит запуск данного вируса.

Технические данные вируса

Многими антивирусами этот вирус детектируется как троян и хотя прошло много времени с момента создания этого вируса, в сети Интернет очень мало информации по этому вирусу.

Итак, немного технической информации:

Имя файла: 1b37f31f.exe

MD5:

Размер файла: 246.8 KБ (252731 байт)

Тип файла: Win32 EXE

Версия: 2.0.8.1

Удаление вируса

Для начала, стоит включить отображение скрытых файлов и папок на вашем компьютере. Для этого, откройте Проводник и выберете пункт меню «Сервис», затем «Свойства папки», перед вами отобразится окно «Свойства папки». Перейдите на вкладку «Вид» и поставьте переключатель на пункт «Показывать скрытые файлы и папки», затем, чуть выше, уберите галочку с «Скрывать защищенные системные файлы (рекомендуется)», появится окно предупреждения о том, что защищенные файлы операционной системы будут отображаться «Проводником». Нажмите на кнопку «Да», затем в окне «Свойства папки» нажмите кнопку «Применить» и «Ok».

После этого, помимо ярлыков вы увидите те самые папки, которые скрыл вирус.

Теперь, когда стали доступны скрытые файлы и папки, удалите с флешки папку RECYCLER, вместе со всем ее содержимым. После чего, удалите все ярлыки, созданные вирусом.

Один важный момент: на всех разделах вашего жесткого диска также следует удалить папки RECYCLER, так как зачастую в этих папках остается рабочая копия данного вируса.

Устранение последствий вируса

Когда вы удалили папку RECYCLER и созданные им ярлыки, вам потребуется вернуть атрибуты для скрытых папок, которые присвоил им вирус. Тут кроется одна хитрость: через программу Проводник не удастся убрать атрибут «Скрытый» для скрытых вирусом папок. Все дело в том, что помимо атрибута «Скрытый», вирус присвоил еще один атрибут: - «Системный». Именно поэтому, Проводник не позволит убрать атрибут Скрытый» для требуемой папки.

Однако все эти атрибуты легко убираются любым файловым менеджером, например Total Commander или Double Commander.

В Total Commander атрибуты убираются следующим образом:

1. Откройте Total Commander (предварительно включив в Total Commander отображение системных файлов) и откройте в одной из панелей Total Commander корень вашей флешки;

2. Выберите меню «Файлы», а затем «Изменить атрибуты…»;

В программе Double Commander атрибуты убираются подобным образом:

1. Откройте Double Commander (предварительно включив в Double Commander отображение системных файлов) и откройте в одной из панелей Double Commander корень вашей флешки;

2. Выберите меню «Файлы», а затем «Изменить атрибуты»;

3. В открывшемся окне, уберите флажки напротив Архивный, Только для чтения, Скрытый и Системный, и после этого нажмите на кнопку «OK».

После этого, скрытые вирусом папки перестанут быть таковыми.

Альтернативный способ

Существует и другой способ снятия атрибутов, присвоенных папкам, рассматриваемым нами вирусом. Этот альтернативный способ заключается в запуске всего лишь одной команды «attrib», которая позволяет присваивать либо снимать атрибуты файлов и папок.

Сейчас мы не будем рассматривать весь синтаксис данной команды, так как это тема отдельной статьи – мы только создадим один простенький сценарий, точнее bat-файл со следующим содержимым:

attrib -S -H /D /S

Наберите или скопируйте эту строчку в Блокнот и сохраните под любым именем, но с расширением.bat. Стоит отметить, что сохранять этот файл надо на флешке, на которой требуется убрать атрибуты «Скрытый» и «Системный». Имя файла может быть примерно таким «NoHidden.bat », но обязательно с расширением.bat.

Убедитесь, что созданный вами файл находится в корне вашей флешки, после чего запустите его. После запуска нашего файла «NoHidden.bat », папки вновь станут видимыми.

Вывод

Вот такими нехитрыми манипуляциями мы удалили назойливый вирус не только на съемном носителе, но и на флешке. Помимо этого, мы узнали как можно снимать атрибуты «Скрытый» и «Системный» у папок.

Зачастую мы даже не замечаем, как наш ПК заразился тем или иным вирусом. Особенно часто это происходит через флеш-накопители. И самым зловредным гостем является вирус recycler, который порой наносит непоправимый вред.

Удаляем вирус

Перед тем как удалить recycler следует скачать с интернет сети утилиту kk.exe, которая предназначена для работы с этим вирусом. После этого ее нужно запустить и произвести проверку. Если же ее запуск ничего не дал, то следует попытаться удалить вирус вручную. Для этого необходимо установить файловый менеджер, в котором нужно включить отображение скрытых и системных файлов. Затем следует открыть флешку в файловом менеджере и удалить все незнакомые папки и файлы.

При удалении вручную ни в коем случае нельзя открывать файлы и диски двойным щелчком, необходимо использовать именно древо файлов. Непременно подлежат удалению файлы autorun.bat, autorun.exe, autorun.~ex, autorun.ico, autorun.txt, autorun.bin, autorun.reg, autorun.inf, autorun.srm, autorun.ini, autorun.vbs, autorun.wsh. Также, рекомендуется удалить и другие незнакомые файлы с расширениями.com, .sys, .inf, .tmp,.exe. Папки RECYCLER или RECYCLED тоже подлежат удалению.

Если удаленные файлы появляются опять, значит, заражен компьютер, нужно обновить основной антивирус, либо полностью переустановить систему и отформатировать пространство жесткого диска. Теперь вы знаете, как удалить вирус recycler, и ваш компьютер и файлы будут надежно защищены.

Всем привет Сегодня мы поговорим о такой папке как $RECYCLE.BIN, что это вообще за папка и можно ли ее удалить. Значит папку $RECYCLE.BIN вы наверно могли заметить в корне диска, при этом неважно какой это диск, системный или нет, но если я не ошибаюсь, то такая папка есть на каждом диске. Если вы эту папку не видите, то это означает что у вас отключен показ скрытых файлов, папка то ведь скрытая

Ну так вот ребята, что же это за папка $RECYCLE.BIN? Тут я напишу то что знаю я, это папка, в которой хранится корзина винды, можно еще сказать, что в этой папке лежат все файлы, которые вы удалили. Но по сути это как бы корзина сама. У каждого диска своя папка $RECYCLE.BIN, и туда помещается то, что было удалено на диске. Понятно дело, что удалить папку $RECYCLE.BIN можно спокойно, тут опасности нет никакой, ну по крайней мере у меня никаких приколов после удаления не было. Все работало также хорошо и стабильно как и раньше, это я вам честно говорю.

Вот лично у меня эта папка есть и на системном диске и на другом диске, и так было всегда, так что наличие папки $RECYCLE.BIN это норма я вам скажу. Еще скажу, что папка у вас может называться не только большими буквами, но и маленькими, ну то есть вот как $Recycle.Bin, это тоже нормально. Еще я узнал что вот знак доллара в имени папки, то знаете что это означает? Это означает что папка эта временная! Вот этого даже я не знал…

Так что вот такие вот дела ребята. Вот смотрите, вот у меня эта папка на системном диске (буква C):

Хотя я ее удалял, но она снова появилась На другом диске (буква D) она тоже есть, смотрите:

На обоих дисках, я где-то пару минут назад эти папки удалял, но они снова появились. Ну а что делать, это нормально, все таки они системные папки, не просто так они скрыты то. Потом я включил свой тестовый виртуальный комп, там стоит Windows 7, и вот там ребята папки $RECYCLE.BIN нет, смотрите:

И вот прикол, почему ее нет то? Может быть в Windows 7 этой папки вообще нет? Весь прикол в том, что я писал что папка скрыта, верно? Ну вот, а вот в этом виртуальном компе с Windows 7 скрытые файлы не отображаются, вот и весь прикол! Поэтому нужно включить показ скрытых файлов, давайте на всякий случай я вам напишу как это сделать, ну мало ли.. Значит смотрите, зажимаете кнопки Win + R, потом появится окошко Выполнить, вы туда пишите такую команду:

Нажимаете ОК, потом у вас появится окно с значками, если вдруг значков не будет, то вам нужно выбрать вот тут Крупные значки:

Потом вам нужно найти значок Параметры папок, вот он:

Запускаете этот значок, у вас появится окно со всякими настройками. Тут вам нужно перейти на вкладку Вид и поставить внизу там три последние галочки и установить переключатель на Показывать скрытые файлы, папки и диски:

Короче вам нужно сделать вот так, как показано на картинке, если у вас Windows 10, то там почти все также делается. После этого, я посмотрел снова на системный диск и тут уже есть папка, но видите, тут она называется также, но буквы уже не большие, а маленькие:

И тут еще замочек висит чего-то.. Так, ну давайте теперь попробуем в эту папку зайти, значит нажимаю два раза по папке, захожу, вот что внутри, смотрите:

Ну то есть я думаю что тут вопросов нет, верно? И так все понятно, тут живет Корзина, как я в принципе и говорил. Ну а если зайти в эту Корзину, то там уже будут те файлы, которые вы удалили. В Windows 10 ситуация такая же, вы тут тоже увидите, что внутри лежит Корзина:

Ну то есть все также само Кстати, если нажать правой кнопкой по Корзине и выбрать там пункт Свойства, то у вас будет такое окно, в котором так и пишется, что это Корзина и живет она по адресу C:\$RECYCLE.BIN, смотрите:

Ну ребята, думаю что все понятно.. Как я уже писал, эту папку $RECYCLE.BIN удалить можно, однако учтите, что если вы ее удалите, то у вас очистится и Корзина! Если вдруг папка не захочет удаляться, а вам очень нужно это сделать, ну прям очень, то тут я советую посмотреть утилиту , она мастер по таким делам

Но тут ребята есть еще один косяк.. У вас может быть папка не $RECYCLE.BIN, а $RECYCLER.BIN, или что-то подобное, то есть папка тоже скрыта, но имя ее отличается немного, ну на одну букву. Еще раз, папка скрыта и имя ее отличается на одну букву, вам это ни о чем не говорит? Я вам скажу на что это смахивает, тут очень пахнет вирусами. Они делают все, чтобы вы их не заметили, вот могут даже маскироваться под папку $RECYCLE.BIN, если вы видите похожую папку, но внутри там нет Корзины, это очень и очень странно, скорее всего это вирус и нужно проверить комп антивирусными утилитами. Хотя ребята, в целях безопасности во внутрь папки, ну которая похожа на $RECYCLE.BIN, то лучше даже не заходить, ну может сработать вирус (есть такая штука, я не придумываю).

Короче, ребята, я вам честно говорю, если есть подозрения, то проверьте комп на вирусы. Чем? Ну сперва проверьте мощными утилитами против реально опасных вирусов, это утилита и утилита . Dr.Web CureIt! это реально качественная и мощная утилита, многие уже о ней знают, делает свое дело на отлично. Kaspersky Security Scan это даже не утилита, а сканер, тоже хорошо выполняет свою работу. Обе утилиты находят вирусы, трояны, как старые, так и самые новые. Ну и напоследок, я вам очень рекомендую проверить комп утилитой , она специалист по нахождению рекламных вирусов, которые везде где только могут то пихают рекламу. Вот поверьте мне, этими тремя утилитами проверьте комп и в 95% потом можете спать спокойно, честное слово вот

Ребята, я вот нашел картинку, смотрите, тут показаны свойства ярлыка, внутри которого указано, что вирус запускается из папки RECYCLER (последней буквы на самом деле быть не должно):

Это просто как пример того, что папка, которая похожа по названию на RECYCLE, может содержать вирус. Вот еще пример, тут уже вирусная папка на флешке, смотрите:

А внутри на флешке вирус с названием Lcass.exe, это имя для того, чтобы он запустился и был похож на оригинальный виндовский процесс lsass.exe, понимаете что за прикол?

Прикол не прикол, но тут я кое что узнал.. Короче вроде бы в винде Windows XP (уже древняя), то там вроде папка называется именно RECYCLER, то есть не RECYCLE, а именно RECYCLER! Но в новых виндах, ну то есть в Windows 7, в Windows 10, то я там видел только RECYCLER! Короче ребята, я вам снова скажу, что если есть подозрение на вирусы, то проверьте комп антивирусными утилитами, я уже написал какими, это лично мой вот совет вам, лично мой!

Ну что ребята, вот на этом и все, надеюсь что вам тут все было понятно, теперь вы знаете что это за папка $RECYCLE.BIN и можно ли ее удалить. Ну а если что-то не так, то вы уж извините. Удачи вам в жизни

14.01.2017