Вірусів сьогодні існує стільки, що й не порахувати. Деякі з них можуть бути досить небезпечними, зокрема ті, які обґрунтовуються на знімних пристроях, блокуючи доступ до них, а потім проникаючи і в саму операційну систему. Так, наприклад, вірус Recycler на флешці у прихованому вигляді працює саме таким чином. Видалити його стандартними методаминайчастіше буває неможливо. Далі розглянемо, як же все-таки позбавитися цієї загрози, якщо вона присутня на USB-носії. Основний наголос зробимо на ручний методоскільки антивірусні захисні засоби іноді нейтралізувати його не можуть.
Погроза Recycler: що це?
Якщо розглядати цю загрозу в сенсі початкового знаходження на USB-накопичувачах, відразу можна відзначити, що першою ознакою зараження є саме блокування доступу до пристрою. При використанні того ж подвійного кліка система починає видавати повідомлення про помилку доступу.
Іноді файли та папки, збережені на носії, можуть відображатися, але при спробі їх відкриття або навіть простого виділення видається повідомлення про те, що об'єкт не знайдений.
В автозавантаженні системи та «Диспетчері завдань» серед активних елементівз'являються незрозумілі процеси на кшталт cbtww.exe або fpewkqk.exe, що врешті-решт призводить до того, що навантаження на системні ресурсизростає неймовірно (навіть система часто «злітає» повністю, а після цього її повна переустановка).
Іноді, щоправда, вірус може маскуватися і під процеси довірених програмна зразок Opera.exe або під системні процеси svchost.exe. У цьому випадку необхідно подивитися на завантаження ЦП, а також встановити розташування компонентів, які відповідають за ці процеси, через меню ПКМ, після чого завершити їх, якщо виявиться, що вони викликають сумніви.
Ось такий маємо вірус Recycler. Що це таке, хочеться сподіватись, трохи зрозуміло. Тепер перейде до практичних кроків щодо позбавлення системи цієї загрози.
Як видалити вірус Recycler: попередні дії
Оскільки загроза активується якраз у момент спроби доступу до знімного носія, встановлюючи свої елементи, що виконуються, у вищевказані розділи системи, спочатку потрібно позбутися саме їх.
Для початку завершуємо у «Диспетчері завдань» все активні процеси, в яких замість назви є безглуздий набір символів.
Після цього необхідно увійти в розділ автостарту та зняти галочки з усіх підозрілих служб. У Windows 10 вкладка автозавантаження знаходиться безпосередньо в «Диспетчері завдань», а у версіях нижче вона розміщується в системному конфігураторі, який викликається командою msconfigу меню "Виконати". Після завершення всіх описаних дій систему обов'язково слід перезавантажити.
Зміна атрибутів відображення файлів
Такий незвичайний вірус Recycler. Що це таке, розібралися. Тепер подивимося, як його позбутися цілком і повністю. Просто так знайти компоненти загрози на USB-носіях не вийде, оскільки вони мають атрибути прихованих об'єктів.
Таким чином, спочатку у «Провіднику» необхідно використовувати меню виду, де вказується показ прихованих файлів та директорій. Проте радіти ще зарано. Так, компоненти вірусу видно (папка RECYCLER та файл автоматичного старту Autorun.inf), але видалити їх просто так не вийде, оскільки вони мають відповідний захист.
Ручне видалення компонентів вірусу
Але як тоді видалити всі компоненти загрози? Файл Recycler на пристрої може бути відсутнім, а позбавлятися потрібно тільки від основного каталогу та компонента автостарту.
Тут можна скористатися стандартним «Блокнотом», вписати в нього рядок attrib -s -h/d/s та зберегти створений документ під будь-яким ім'ям з ручною установкою розширення BAT. Тепер слід запустити цей файл. Після старту з'явиться вікно командної консолі, яке після виконання введеної в документі команди буде закрито автоматично. І ось тільки тепер з флешки можна сміливо видаляти вказані вище елементи.
Для спрощення виконуваних дій можна скористатися невеликою утилітою NexusFile у вигляді файлового менеджера, яка здатна показати компоненти вірусу, і автоматично зняти з них захист. Для показу файлів та каталогів використовується поєднання Alt+Z, а для повного видалення елементів вірусу після їх виділення – Shift+Ctrl+D.
Сканування портативними інструментами
Ось коротко і все, що стосується вірусу Recycler. Що це за погроза? Це дуже небезпечний аплет, який може впливати на систему критичним чином. Щоб бути повністю впевненим у тому, що загроза знешкоджена, про всяк випадок після проведення всіх вищеописаних дій флешку варто перевірити якоюсь портативною програмою-сканером на зразок Dr. Web CureIt!, хоча при бажанні можна скористатися нею ще на першій стадії. Однак, якщо не завершити все вірусні процесихоча б у тому ж «Диспетчері завдань» і не відключити компоненти вірусу в автостарті системи, розраховувати на повне видаленнядоводиться який завжди. Тому найкраще використовувати саме методику ручної нейтралізації. за Крайній мірісаме вона гарантує повне та безповоротне видаленняцією небезпечної загрозираз і назавжди.
Давайте розберемося по порядку.
Що за папка System Volume Information ? і чому там дуже люблять ховатися віруси? Як отримати доступ до вмісту цієї папки?
Для очищення можна просто вимкнути цю послугу.
ПКМ на Мій комп'ютер -> Властивості-> вибираємо Захист системи
Відкриється віконце в якому вибираємо диск, на якому потрібно її відключити, натискаємо Налаштувати
Відкриється віконце в якому натискаємо на видалити.
Потім буде попередження про те як це погано, що Ви робите і таке інше. Натискаєте Продовжитиі все очищується. Комп від цього не помре.
Не звертайте уваги на мої скрині. Мені просто це Відновлення не потрібне і я знаю, що роблю, тому що зможу в будь-якому випадку відновити систему навіть без стандартних способів.
У цьому вікні можна також Вимкнути або Увімкнути відновлення даних, а також вибрати максимальний розмірпапки для відновлення.
До речі, для очищення можна вибрати Вимкнути, потім натиснути Застосувати, потім знову вибрати Увімкнути та натиснути Застосувати.
Ну чи Пуск – Усі програми – Стандартні – Службові – Відновлення системи.
Що це за папка $RECYCLE.BIN ?
Ця папка розташовується в корені кожного диска і має прихований і системний атрибут. Отже, якщо у Вас відключена опція відображення прихованих файлів, цю папку Ви так само не побачите, як і попередню. Як її побачити – я дав посилання вище.
$RECYCLE.BIN - це і є сам кошик у вісті та сімці, в ньому ще міститься файл desktop.ini, відповідає за вигляд, в якому у Вас показується дана папка в провіднику.
Причому $RECYCLE.BIN- папка кошика на активному НЕсистемному диску, а $Recycle.Bin(у нижньому регістрі) - відповідно на системному.
Насправді при видаленні файлу або папки в кошик відбувається зовсім не видалення, а переміщення об'єкта в цю саму папку $Recycle.Bin розташовану на тому диску, на якому відбувається видалення.
Для кожного диска існує свій кошик (тека $Recycle.Bin є в корені кожного розділу). Але коли Ви відкриєте кошик – Ви побачите все видалені файлиразом.
Для більше інформації, можете прочитати сайт .
До речі, клацніть ПКМ на ярлику Кошик на робочому столі та виберіть Властивості, можливо Ви ніколи такого і не робили. Там і відображаються Ваші диски, де зберігаються ці файли Recycle.Bin.
Там всього лише 3 налаштування
Задати розмір- який максимальний розмір файлів буде в кошику, після чого вона не зможе більше зберігати їх і вимагатиме, щоб ви її очистили.
Знищувати файли відразу після видалення, не поміщаючи їх у кошик- Думаю тут і так зрозуміло. Не рекомендую так робити, бо може виявитися, що видалили випадково потрібний файлабо папку, а потім повертати потрібно через сторонній софт.
Так само не рекомендую знімати галочку з Запитувати підтвердження видаленняз тієї ж причини.
Ну і насамкінець - якщо Ви точно впевнені що файли або папки Вам не знадобляться (наприклад сміття якесь) і Ви не будете шкодувати про їх зникнення - сміливо тисніть клавіші shift+delі файл видалитись з комп'ютера навіть не потрапляючи в кошик.
Усе сучасні антивірусивже давно навчилися блокувати запуск файлів autorun.inf зі знімних носіїв та зловмисникам доводиться вигадувати нові способи зараження комп'ютерів користувачів.
Одним із подібних видів зараження ми сьогодні і розглянемо, а саме: самостійно видалимо вірус із системи.
Ну що ж тепер перейдемо до розгляду самого вірусу.
Опис вірусу
Перші ознаки зараження даним вірусом є на знімних носіях, тобто. на флешках, ярликів для всіх тек, яких були на флешці на момент зараження. У властивостях цих ярликів вказано шлях до виконуваному файлусамого вірусу:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\1b37f31f.exe &&%windir%\explorer.exe %cd%RECYCLER
Користувач, що нічого не підозрює, кликає на ярлик, приймаючи його за звичайну папку і тим самим, запускає вірус на виконання. Одночасно із запуском вірусу відкривається і потрібна папка і все виглядає цілком звичайно, що насправді не так.
Отже, сам вірус знаходиться у папці RECYCLER, яка розташована на знімному носії. Усередині цієї папки є два файли: 1b37f31f.exeі Desktop.ini. Перший файл – це сам вірус, другий відповідає за відображення піктограми папки у вигляді звичайного кошика.
Варто нагадати, що на флешці не повинно бути ніяких Кошиків, тобто папок з назвою RECYCLER. Ці папки можуть бути присутніми лише на жорсткому диску комп'ютера, але не на флешці. Якщо ви виявили цю папкуна флешці - це повністю вірус.
При запуску вірус робить прихованими всі папки на знімному носії і створює ярлики з іменами папок. Таким чином, відбувається запуск цього вірусу.
Технічні дані вірусу
Багато антивірусів цей вірус детектується як троян і хоча пройшло багато часу з моменту створення цього вірусу, в мережі Інтернет дуже мало інформації з цього вірусу.
Отже, трохи технічної інформації:
Ім'я файлу: 1b37f31f.exe
MD5:
Розмір файлу: 246.8 KБ (252731 байт)
Тип файлу: Win32 EXE
Версія: 2.0.8.1
Видалення вірусу
Для початку, варто увімкнути відображення прихованих файлів та папок на вашому комп'ютері. Для цього відкрийте Провідник і виберіть пункт меню «Сервіс», потім «Властивості папки», перед вами з'явиться вікно «Властивості папки». Перейдіть на вкладку «Вид» та поставте перемикач на пункт «Показувати приховані файлита папки», потім, трохи вище, приберіть галочку з «Приховувати захищені системні файли (рекомендується)», з'явиться вікно попередження про те, що захищені файли операційної системибудуть відображатися "Провідником". Натисніть кнопку «Так», а потім у вікні «Властивості папки» натисніть кнопку «Застосувати» та «OK».
Після цього, крім ярликів ви побачите ті папки, які приховав вірус.
Тепер, коли стали доступні приховані файли та папки, видаліть з флешки папку RECYCLER разом із усім її вмістом. Після чого видаліть всі ярлики, створені вірусом.
Один важливий момент: на всіх розділах вашого жорсткого дискатакож слід видалити папки RECYCLER, оскільки найчастіше в цих папках залишається робоча копія цього вірусу.
Усунення наслідків вірусу
Коли ви видалили папку RECYCLER і створені ним ярлики, вам потрібно буде повернути атрибути для прихованих папок, які надав їм вірус. Тут криється одна хитрість: через програму Провідник не вдасться усунути атрибут «Прихований» для прихованих вірусом папок. Вся справа в тому, що, крім атрибуту «Прихований», вірус надав ще один атрибут: - «Системний». Саме тому, Провідник не дозволить прибрати атрибут Прихований для потрібної папки.
Однак усі ці атрибути легко забираються будь-яким файловим менеджером, наприклад Total Commanderабо Double Commander.
У Total Commander атрибути забираються так:
1. Відкрийте Total Commander (попередньо включивши в Total Commander відображення системних файлів) і відкрийте в одній із панелей Total Commander корінь вашої флешки;
2. Виберіть меню "Файли", а потім "Змінити атрибути...";
У програмі Double Commander атрибути забираються таким чином:
1. Відкрийте Double Commander (попередньо увімкнувши Double Commander відображення системних файлів) і відкрийте в одній з панелей Double Commander корінь вашої флешки;
2. Виберіть меню "Файли", а потім "Змінити атрибути";
3. У вікні, приберіть прапорці навпроти Архівний, Тільки для читання, Прихований і Системний, і після цього натисніть кнопку «OK».
Після цього, приховані вірусомпапки перестануть бути такими.
Альтернативний спосіб
Існує й інший спосіб зняття атрибутів, присвоєних папкам, які ми розглядаємо вірусом. Цей альтернативний спосібполягає в запуску лише однієї команди «attrib», яка дозволяє надавати або знімати атрибути файлів і папок.
Зараз ми не розглядатимемо весь синтаксис цієї команди, оскільки це тема окремої статті – ми тільки створимо один простенький сценарій, точніше bat-файл з таким вмістом:
attrib-S-H/D/S
Наберіть або скопіюйте цей рядок у Блокнотта збережіть під будь-яким ім'ям, але з розширенням.bat. Слід зазначити, що зберігати цей файл треба на флешці, на якій потрібно прибрати атрибути «Прихований» та «Системний». Ім'я файлу може бути приблизно таким. NoHidden.bat», але обов'язково з розширенням.
Переконайтеся, що створений файл знаходиться в корені вашої флешки, після чого запустіть його. Після запуску нашого файлу « NoHidden.bat», Папки знову стануть видимими.
Висновок
Ось такими нехитрими маніпуляціями ми видалили настирливий вірус не тільки на знімному носії, а й на флешці. Крім цього, ми дізналися як можна знімати атрибути "Прихований" та "Системний" у папок.
Найчастіше ми навіть не помічаємо, як наш ПК заразився тим чи іншим вірусом. Особливо часто це відбувається через флеш-накопичувачі. І найшкідливішим гостем є вірус recycler, який часом завдає непоправної шкоди.
Видаляємо вірус
Перед видаленням recycler слід завантажити з інтернет мережі утиліту kk.exe, яка призначена для роботи з цим вірусом. Після цього її потрібно запустити та провести перевірку. Якщо ж її запуск нічого не дав, слід спробувати видалити вірус вручну. Для цього необхідно встановити файловий менеджер, в якому потрібно увімкнути відображення прихованих та системних файлів. Потім слід відкрити флешку в файловому менеджеріта видалити всі незнайомі папки та файли.
При видаленні вручну в жодному разі не можна відкривати файли та диски подвійним клацаннямнеобхідно використовувати саме дерево файлів. Неодмінно видаляються файли autorun.bat, autorun.exe, autorun.~ex, autorun.ico, autorun.txt, autorun.bin, autorun.reg, autorun.inf, autorun.srm, autorun.ini, autorun.vbs, autorun .wsh. Також, рекомендується видалити інші незнайомі файлиз розширеннями .com, .sys, .inf, .tmp, .exe. Папки RECYCLER або RECYCLED також підлягають видаленню.
Якщо видалені файли з'являються знову, отже, заражений комп'ютер, потрібно оновити основний антивірус, або повністю перевстановити систему і форматувати простір жорсткого диска. Тепер ви знаєте, як видалити вірус recycler, і ваш комп'ютер та файли будуть надійно захищені.
Сьогодні ми поговоримо про таку папку як $RECYCLE.BIN, що це взагалі за папка і чи можна її видалити. Значить папку $RECYCLE.BIN ви напевно могли помітити в корені диска, при цьому будь-який це диск, системний чи ні, але якщо я не помиляюся, то така папка є на кожному диску. Якщо ви цю папку не бачите, то це означає що у вас відключений показ прихованих файлів, папка то прихована
Ну то ось хлопці, що ж це за папка $RECYCLE.BIN? Тут я напишу те, що знаю я, це папка, в якій зберігається кошик вінди, можна ще сказати, що в цій папці лежать всі файли, які ви видалили. Але насправді це як би кошик сам. Кожен диск має свою папку $RECYCLE.BIN, і туди поміщається те, що було видалено на диску. Зрозуміло, що видалити папку $RECYCLE.BIN можна спокійно, тут небезпеки немає ніякої, ну принаймні у мене ніяких приколів після видалення не було. Все працювало також добре і стабільно, як і раніше, це я вам чесно кажу.
Ось особисто у мене ця папка є і на системному диску і на іншому диску, і так було завжди, тому наявність папки $RECYCLE.BIN це норма я вам скажу. Ще скажу, що папка у вас може називатися не тільки великими літерами, Але і маленькими, ну тобто ось як $ Recycle.Bin, це теж нормально. Ще я дізнався, що ось знак долара в імені папки, то знаєте що це означає? Це означає, що папка ця тимчасова! Ось цього навіть я не знав.
Так що ось такі справи хлопці. Ось дивіться, ось у мене ця папка на системному диску (літера C):
Хоча я її видаляв, але вона знову з'явилася На іншому диску (літера D) вона теж є, дивіться:
На обох дисках я десь кілька хвилин тому ці папки видаляв, але вони знову з'явилися. Ну а що робити, це нормально, все ж таки вони системні папки, не просто так вони приховані щось. Потім я включив свій тестовий віртуальний комп'ютер, там стоїть Windows 7, і ось там хлопці папки $RECYCLE.BIN немає, дивіться:
І ось прикол, чому її немає? Можливо, у Windows 7 цієї папки взагалі немає? Весь прикол у тому, що я писав, що папка прихована, вірно? Ну ось, а ось у цьому віртуальному комп'ютеріз Windows 7 приховані файли не відображаються, от і весь прикол! Тому потрібно включити показ прихованих файлів, давайте про всяк випадок я вам напишу як це зробити, ну чи мало. Значить дивіться, затискаєте кнопки Win+ R, потім з'явиться віконце Виконати, ви туди пишіть таку команду:
Натискаєте ОК, потім у вас з'явиться вікно з значками, якщо раптом значків не буде, то вам потрібно вибрати ось тут.
Потім вам потрібно знайти значок Параметри папок, ось він:
Запускаєте цей значок, у вас з'явиться вікно з налаштуваннями. Тут вам потрібно перейти на вкладку Вигляд і поставити внизу там три останні галочки та встановити перемикач на Показувати приховані файли, папки та диски:
Коротше вам потрібно зробити ось так, як показано на картинці, якщо у вас Windows 10, то там багато чого робиться. Після цього, я подивився знов на системний дискі тут уже є папка, але бачите, тут вона називається також, але літери вже не великі, а маленькі:
І тут ще замочок висить чогось.
Ну, тобто я думаю що тут питань немає, вірно? І так все зрозуміло, тут живе Кошик, як я в принципі й казав. Ну а якщо зайти в цей Кошик, то там вже будуть ті файли, які ви видалили. У Windows 10 ситуація така сама, ви тут теж побачите, що всередині лежить Кошик:
До речі, якщо натиснути правою кнопкоюпо Кошику і вибрати там пункт Властивості, то у вас буде таке вікно, в якому так і пишеться, що це Кошик і живе він за адресою C:\$RECYCLE.BIN, дивіться:
Ну хлопці, думаю що все зрозуміло. Як я вже писав, цю папку $RECYCLE.BIN можна видалити, проте врахуйте, що якщо ви її видалите, то у вас очиститься і Кошик! Якщо раптом папка не захоче віддалятися, а вам дуже потрібно це зробити, ну прям дуже, то тут я раджу подивитися утиліту, вона майстер з таких справ
Але тут хлопці є ще один косяк. У вас може бути папка не $RECYCLE.BIN, а $RECYCLER.BIN, або щось подібне, тобто папка теж прихована, але ім'я її відрізняється небагато, ну на одну букву. Ще раз, папка прихована та ім'я її відрізняється на одну літеру, вам це ні про що не говорить? Я вам скажу на що це скидається, тут дуже пахне вірусами. Вони роблять все, щоб ви їх не помітили, ось можуть навіть маскуватися під папку $RECYCLE.BIN, якщо ви бачите схожу папку, але всередині там немає Кошика, це дуже і дуже дивно, швидше за все це вірус і потрібно перевірити комп'ютер антивірусними утилітами. Хоча хлопці, з метою безпеки всередину папки, ну яка схожа на $RECYCLE.BIN, то краще навіть не заходити, ну може спрацювати вірус (є така штука, я не вигадую).
Коротше, хлопці, я вам чесно говорю, якщо є підозри, то перевірте комп'ютер на віруси. Чим? Ну спершу перевірте потужними утилітами проти реально небезпечних вірусів, це утиліта та утиліта . Dr.Web CureIt! це реально якісна та потужна утиліта, багато хто вже про неї знає, робить свою справу на відмінно. Kaspersky Security Scanце навіть не утиліта, а сканер, який теж добре виконує свою роботу. Обидві утиліти знаходять віруси, трояни, як старі, так і найновіші. Ну і насамкінець, я вам дуже рекомендую перевірити комп утилітою, вона фахівець з знаходження рекламних вірусів, які скрізь де тільки можуть щось пхають рекламу. Ось повірте мені, цими трьома утилітами перевірте комп'ютер і в 95% потім можете спати спокійно, слово честі
Хлопці, я знайшов картинку, дивіться, тут показані властивості ярлика, всередині якого зазначено, що вірус запускається з папки RECYCLER (останньої літери насправді бути не повинно):
Це просто приклад того, що папка, яка схожа за назвою на RECYCLE, може містити вірус. Ось ще приклад, тут вже вірусна папка на флешці, дивіться:
А всередині на флешці вірус з назвою Lcass.exe, це ім'я для того, щоб він запустився і був схожий на оригінальний віндовський процес lsass.exe, розумієте, що за прикол?
Прикол не прикол, але тут я дещо дізнався. Коротше начебто в вінді Windows XP (вже давня), то там начебто папка називається саме RECYCLER, тобто не RECYCLE, а саме RECYCLER! Але в нових віндах, ну, тобто в Windows 7, в Windows 10, то я там бачив тільки RECYCLER! Коротше хлопці, я вам знову скажу, що якщо є підозра на віруси, то перевірте комп'ютер антивірусними утилітами, я вже написав якими, це особисто моя порада вам, особисто моя!
Ну що хлопці, ось на цьому і все, сподіваюся, що вам тут все було зрозуміло, тепер ви знаєте що це за папка $RECYCLE.BIN і чи можна її видалити. Ну а якщо щось не так, то ви пробачте. Успіхів вам у житті
14.01.2017
