Розробниками шкідливих програмвикористовуються будь-які шанси для зараження комп'ютера користувача. Щоб не прогаяти ні найменшої можливості розповсюдження своїх дітищ, вони застосовують досить нетипові ходи. Їм відомо, що в Останнім часомкористувачами використовується все більше флеш-накопичувачів, на які зовсім нескладно записувати будь-яку інформацію, тому шкідливе ПЗ дуже легко поширювати від машини до машини саме цим способом. Є низка методів захисту від своїх дій, які допоможуть їх нейтралізувати.
Вам знадобиться
- утиліта kk.exe, файловий менеджер.
Інструкція
Завантажте утиліту kk.exe, призначену для роботи з найпопулярнішим вірусом для флешок в даний час - вірусом recycler. Позбавити свій комп'ютер від нього можна за допомогою цієї антивірусної програми, проте вона не дає повної гарантії. Якщо її запуск не призвів до позитивним результатам, слід виконати ряд описаних нижче дії.
Видаліть вірус вручну. Для цього потрібно переконатися у прийнятих усіляких профілактичних заходах- у встановленому антивірусідля попередження подальшого зараження та встановленого зручного файлового менеджера, в якому включено відображення системних та прихованих файлів.
Відкрийте флешку у файловому менеджері та видаліть незнайомі папки та файли. Під час видалення вручну не можна відкривати диски та файли подвійним клацанням, потрібно використовувати дерево файлів, якщо застосовується Провідник або функціональні кнопки, якщо використовується менеджер файлів з двома панелями.
Підлягають видаленню, як правило, файли autorun.bat, autorun.~ex, autorun.exe, autorun.bin, autorun.ico, autorun.inf, autorun.reg, autorun.ini, autorun.srm, autorun.vbs, autorun. txt, autorun.wsh. Крім того, видалити варто також інші незнайомі файлиз розширеннями .com, .inf, .tmp, .sys, .exe. Папки RECYCLED або RECYCLER теж підлягають видаленню - завдяки їм вірус і отримав таку назву.
Якщо файли не вдається видалити або вони з'являються після видалення, комп'ютер користувача заражений, а антивірусна програма не справляється. У такому разі необхідно використовувати інші антивірусні програмиз оновленими сигнатурами та повторювати описану вище операцію заново. В особливо важкій ситуації може знадобитися навіть встановлення системи заново повне форматуванняпростору жорсткого диска.
Зверніть увагу
Потрібно зберігати пильність і не знищити випадково потрібний файлз одним із зазначених вище розширень.
Усе сучасні антивірусивже давно навчилися блокувати запуск файлів autorun.inf зі знімних носіїв та зловмисникам доводиться вигадувати нові способи зараження комп'ютерів користувачів.
Одним із подібних видів зараження ми сьогодні і розглянемо, а саме: самостійно видалимо вірус із системи.
Ну що ж тепер перейдемо до розгляду самого вірусу.
Опис вірусу
Перші ознаки зараження даним вірусом є на знімних носіях, тобто. на флешках, ярликів для всіх тек, яких були на флешці на момент зараження. У властивостях цих ярликів вказано шлях до виконуваному файлусамого вірусу:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\1b37f31f.exe &&%windir%\explorer.exe %cd%RECYCLER
Користувач, що нічого не підозрює, кликає на ярлик, приймаючи його за звичайну папку і тим самим, запускає вірус на виконання. Одночасно із запуском вірусу відкривається і потрібна папка і все виглядає цілком звичайно, що насправді не так.
Отже, сам вірус знаходиться у папці RECYCLER, яка розташована на знімному носії. Усередині цієї папки є два файли: 1b37f31f.exeі Desktop.ini. Перший файл – це сам вірус, другий відповідає за відображення піктограми папки у вигляді звичайного кошика.
Варто нагадати, що на флешці не повинно бути ніяких Кошиків, тобто папок з назвою RECYCLER. Ці папки можуть бути присутніми лише на жорсткому диску комп'ютера, але не на флешці. Якщо ви виявили цю папкуна флешці - це повністю вірус.
При запуску вірус робить прихованими всі папки на знімному носії і створює ярлики з іменами папок. Таким чином, відбувається запуск цього вірусу.
Технічні дані вірусу
Багато антивірусів цей вірус детектується як троян і хоча пройшло багато часу з моменту створення цього вірусу, в мережі Інтернет дуже мало інформації з цього вірусу.
Отже, трохи технічної інформації:
Ім'я файлу: 1b37f31f.exe
MD5:
Розмір файлу: 246.8 KБ (252731 байт)
Тип файлу: Win32 EXE
Версія: 2.0.8.1
Видалення вірусу
Для початку, варто увімкнути відображення прихованих файлів та папок на вашому комп'ютері. Для цього відкрийте Провідник і виберіть пункт меню «Сервіс», потім «Властивості папки», перед вами з'явиться вікно «Властивості папки». Перейдіть на вкладку «Вид» і поставте перемикач на пункт «Показувати приховані файли та папки», потім, трохи вище, заберіть галочку з «Приховувати захищені системні файли (рекомендується)», з'явиться вікно попередження про те, що захищені файли операційної системи відображатимуться "Провідником". Натисніть кнопку «Так», а потім у вікні «Властивості папки» натисніть кнопку «Застосувати» та «OK».
Після цього, крім ярликів ви побачите ті папки, які приховав вірус.
Тепер, коли стали доступні приховані файли та папки, видаліть з флешки папку RECYCLER разом із усім її вмістом. Після чого видаліть всі ярлики, створені вірусом.
Один важливий момент: на всіх розділах жорсткого диска також слід видалити папки RECYCLER, оскільки найчастіше в цих папках залишається робоча копія цього вірусу.
Усунення наслідків вірусу
Коли ви видалили папку RECYCLER і створені ним ярлики, вам потрібно буде повернути атрибути для прихованих папок, які надав їм вірус. Тут криється одна хитрість: через програму Провідник не вдасться усунути атрибут «Прихований» для прихованих вірусом папок. Вся справа в тому, що, крім атрибуту «Прихований», вірус надав ще один атрибут: - «Системний». Саме тому, Провідник не дозволить прибрати атрибут Прихований для потрібної папки.
Однак усі ці атрибути легко забираються будь-яким файловим менеджером, наприклад Total Commanderабо Double Commander.
У Total Commander атрибути забираються так:
1. Відкрийте Total Commander (попередньо ввімкнувши Total Commander відображення системних файлів) і відкрийте в одній із панелей Total Commander корінь вашої флешки;
2. Виберіть меню «Файли» та «Змінити атрибути…»;
У програмі Double Commander атрибути забираються таким чином:
1. Відкрийте Double Commander (попередньо ввімкнувши Double Commander відображення системних файлів) і відкрийте в одній з панелей Double Commander корінь вашої флешки;
2. Виберіть меню "Файли", а потім "Змінити атрибути";
3. У вікні, приберіть прапорці навпроти Архівний, Тільки для читання, Прихований і Системний, і після цього натисніть кнопку «OK».
Після цього, приховані вірусомпапки перестануть бути такими.
Альтернативний спосіб
Існує й інший спосіб зняття атрибутів, наданих папкам, що розглядається нами вірусом. Цей альтернативний спосібполягає в запуску лише однієї команди «attrib», яка дозволяє надавати або знімати атрибути файлів і папок.
Зараз ми не розглядатимемо весь синтаксис цієї команди, оскільки це тема окремої статті – ми тільки створимо один простенький сценарій, точніше bat-файл з таким вмістом:
attrib-S-H/D/S
Наберіть або скопіюйте цей рядок у Блокнотта збережіть під будь-яким ім'ям, але з розширенням.bat. Слід зазначити, що зберігати цей файл треба на флешці, на якій потрібно прибрати атрибути «Прихований» та «Системний». Ім'я файлу може бути приблизно таким. NoHidden.bat», але обов'язково з розширенням.
Переконайтеся, що створений файл знаходиться в корені вашої флешки, після чого запустіть його. Після запуску нашого файлу « NoHidden.bat», Папки знову стануть видимими.
Висновок
Ось такими нехитрими маніпуляціями ми видалили настирливий вірус не тільки на знімному носії, а й на флешці. Крім цього, ми дізналися як можна знімати атрибути "Прихований" та "Системний" у папок.
Сьогодні ми поговоримо про таку папку як $RECYCLE.BIN, що це взагалі за папка і чи можна її видалити. Значить папку $RECYCLE.BIN ви напевно могли помітити в корені диска, при цьому будь-який це диск, системний чи ні, але якщо я не помиляюся, то така папка є на кожному диску. Якщо ви цю папку не бачите, то це означає що у вас відключений показ прихованих файлів, папка то прихована
Ну то ось хлопці, що ж це за папка $RECYCLE.BIN? Тут я напишу те, що знаю я, це папка, в якій зберігається кошик вінди, можна ще сказати, що в цій папці лежать всі файли, які ви видалили. Але насправді це як би кошик сам. Кожен диск має свою папку $RECYCLE.BIN, і туди поміщається те, що було видалено на диску. Зрозуміло, що видалити папку $RECYCLE.BIN можна спокійно, тут небезпеки немає ніякої, ну по Крайній міріу мене жодних приколів після вилучення не було. Все працювало також добре і стабільно, як і раніше, це я вам чесно кажу.
Ось особисто у мене ця папка є і на системному диску і на іншому диску, і так було завжди, тому наявність папки $RECYCLE.BIN це норма я вам скажу. Ще скажу, що папка у вас може називатися не тільки великими літерами, Але і маленькими, ну тобто ось як $ Recycle.Bin, це теж нормально. Ще я дізнався, що ось знак долара в імені папки, то знаєте що це означає? Це означає, що папка ця тимчасова! Ось цього навіть я не знав.
Так що ось такі справи хлопці. Ось дивіться, ось у мене ця папка на системному диску (літера C):
Хоча я її видаляв, але вона знову з'явилася На іншому диску (літера D) вона теж є, дивіться:
На обох дисках я десь кілька хвилин тому ці папки видаляв, але вони знову з'явилися. Ну а що робити, це нормально, все ж таки вони системні папки, не просто так вони приховані щось. Потім я включив свій тестовий віртуальний комп'ютер, там стоїть Windows 7, і ось там хлопці папки $RECYCLE.BIN немає, дивіться:
І ось прикол, чому її немає? Можливо, у Windows 7 цієї папки взагалі немає? Весь прикол у тому, що я писав, що папка прихована, вірно? Ну ось, а ось у цьому віртуальному комп'ютеріз Windows 7 приховані файли не відображаються, от і весь прикол! Тому потрібно включити показ прихованих файлів, давайте про всяк випадок я вам напишу як це зробити, ну чи мало. Значить дивіться, затискаєте кнопки Win+ R, потім з'явиться віконце Виконати, ви туди пишіть таку команду:
Натискаєте ОК, потім у вас з'явиться вікно з значками, якщо раптом значків не буде, то вам потрібно вибрати ось тут.
Потім вам потрібно знайти значок Параметри папок, ось він:
Запускаєте цей значок, у вас з'явиться вікно з налаштуваннями. Тут вам потрібно перейти на вкладку Вигляд і поставити внизу там три останні галочки та встановити перемикач на Показувати приховані файли, папки та диски:
Коротше вам потрібно зробити ось так, як показано на картинці, якщо у вас Windows 10, то там багато чого робиться. Після цього, я подивився знов на системний дискі тут уже є папка, але бачите, тут вона називається також, але літери вже не великі, а маленькі:
І тут ще замочок висить чогось.
Ну, тобто я думаю що тут питань немає, вірно? І так все зрозуміло, тут живе Кошик, як я в принципі й казав. Ну а якщо зайти в цей Кошик, то там вже будуть ті файли, які ви видалили. У Windows 10 ситуація така сама, ви тут теж побачите, що всередині лежить Кошик:
До речі, якщо натиснути правою кнопкою по Кошику і вибрати там пункт Властивості, то у вас буде таке вікно, в якому так і пишеться, що це Кошик і живе він за адресою C:\$RECYCLE.BIN, дивіться :
Ну хлопці, думаю що все зрозуміло. Як я вже писав, цю папку $RECYCLE.BIN можна видалити, проте врахуйте, що якщо ви її видалите, то у вас очиститься і Кошик! Якщо раптом папка не захоче віддалятися, а вам дуже потрібно це зробити, ну прям дуже, то тут я раджу подивитися утиліту, вона майстер з таких справ
Але тут хлопці є ще один косяк. У вас може бути папка не $RECYCLE.BIN, а $RECYCLER.BIN, або щось подібне, тобто папка теж прихована, але ім'я її відрізняється небагато, ну на одну букву. Ще раз, папка прихована та ім'я її відрізняється на одну літеру, вам це ні про що не говорить? Я вам скажу на що це скидається, тут дуже пахне вірусами. Вони роблять все, щоб ви їх не помітили, ось можуть навіть маскуватися під папку $RECYCLE.BIN, якщо ви бачите схожу папку, але всередині там немає Кошика, це дуже і дуже дивно, швидше за все це вірус і потрібно перевірити комп'ютер антивірусними утилітами. Хоча хлопці, з метою безпеки всередину папки, ну яка схожа на $RECYCLE.BIN, то краще навіть не заходити, ну може спрацювати вірус (є така штука, я не вигадую).
Коротше, хлопці, я вам чесно говорю, якщо є підозри, то перевірте комп'ютер на віруси. Чим? Ну спершу перевірте потужними утилітами проти реально небезпечних вірусів, це утиліта та утиліта . Dr.Web CureIt! це реально якісна та потужна утиліта, багато хто вже про неї знає, робить свою справу на відмінно. Kaspersky Security Scanце навіть не утиліта, а сканер, який теж добре виконує свою роботу. Обидві утиліти знаходять віруси, трояни, як старі, так і найновіші. Ну і насамкінець, я вам дуже рекомендую перевірити комп утилітою, вона фахівець з знаходження рекламних вірусів, які скрізь де тільки можуть щось пхають рекламу. Ось повірте мені, цими трьома утилітами перевірте комп'ютер і в 95% потім можете спати спокійно, слово честі
Хлопці, я знайшов картинку, дивіться, тут показані властивості ярлика, всередині якого зазначено, що вірус запускається з папки RECYCLER (останньої літери насправді бути не повинно):
Це просто приклад того, що папка, яка схожа за назвою на RECYCLE, може містити вірус. Ось ще приклад, тут вже вірусна папка на флешці, дивіться:
А всередині на флешці вірус з назвою Lcass.exe, це ім'я для того, щоб він запустився і був схожий на оригінальний віндовський процес lsass.exe, розумієте, що за прикол?
Прикол не прикол, але тут я дещо дізнався. Коротше начебто в вінді Windows XP (вже давня), то там начебто папка називається саме RECYCLER, тобто не RECYCLE, а саме RECYCLER! Але в нових віндах, ну, тобто в Windows 7, в Windows 10, то я там бачив тільки RECYCLER! Коротше хлопці, я вам знову скажу, що якщо є підозра на віруси, то перевірте комп'ютер антивірусними утилітами, я вже написав якими, це особисто моя порада вам, особисто моя!
Ну що хлопці, ось на цьому і все, сподіваюся, що вам тут все було зрозуміло, тепер ви знаєте що це за папка $RECYCLE.BIN і чи можна її видалити. Ну а якщо щось не так, то ви пробачте. Успіхів вам у житті
14.01.2017Напевно, багато користувачів комп'ютера помічали у своїй операційній системі (у нашому випадку Windows) незрозумілого роду походження папку - RECYCLER. Така назва була у неї на колишніх версіях"віконець". Починаючи з Windows 7, папка RECYCLER була перейменована в $Recycle.Bin. RECYCLER – що це за папка? Зараз і дізнаємось.
Про теку RECYCLER детально
RECYCLER що це за папка, і що вона робить на флешці, наприклад?! Її можна знайти в корені будь-якого локального диска, на яких міститься інформація на комп'ютері користувача. Папка RECYCLER має два обов'язкові атрибути: прихований і системний. Для новачків слід додати, що це означає лише те, що якщо в самій системі було обрано опцію, за якою приховані файли не відображатимуться, то вони не стануть видимими користувачеві. Отже, при вказанні опції показу прихованих файлів, ті виявляться видимими, а це означає, що папка RECYCLER також буде відображатися.
Включити та вимкнути таку опцію можна таким чином:
RECYCLER - це просто кошик
Але ми повернемось до папки RECYCLER. Що це за папка? Не наздоганятимемо інтригу, а просто скажемо, що вона - це Кошик. Та сама, в якій зберігаються всі видалені з комп'ютера файли до них повного очищення. Знову ж таки, для новачків: коли будь-який файл видаляється з комп'ютера, він потрапляє в Кошик. Професіонали або просто досвідчені користувачі знають, що під цим також стоїть прихований зміст: будь-який файл під час свого видалення просто переміщається до папки з назвою RECYCLER.
Про видалення Recycle.Bin
Як уже було сказано вище, кожен локальний диск має в наявності свою власну папку RECYCLER. Це говорить про те, що під час видалення, наприклад, з локального диска C будь-якого файлу він буде переміщений в папку RECYCLER саме у своєму розділі. Якщо ж файл був видалений з локального диска D, він потрапить у папку RECYCLER вже свого (відмінного від попереднього) розділу.
Коли ми звертаємося до ярлика Кошик, то бачимо, що всі файли знаходяться разом. Мабуть, це і є єдина відмінність, яка ділить особливості папок RECYCLER та ярлика Кошика.
Про властивості RECYCLER та Кошики
RECYCLER – що це за папка чи кошик? Власне, тепер не завадило б сказати пару слів про саму Кошик. Її розміри можна задавати. Негласно це вказує на те, що відповідно збільшуються або зменшуються розміри папок RECYCLER на локальних дисках. Кліком ПКМ (для новачків: права кнопкамиші) по ярлику Кошик можна відкрити його властивості. Сам Кошик (переважно) знаходиться на робочому столі.
Додатково її можна приховати, але це не так важливо і не стосується нашої теми. У властивостях Кошика є лише одна вкладка - Загальні. У ній перераховані всі локальні диски, створені на комп'ютері. При виборі будь-якого з них відображаються параметри, які можна редагувати. Вони дозволяють вказати кількість місця, що зберігаються в Кошику, для файлів, які були видалені з диска. Тут можна вибрати опцію, при якій ті будуть видалятися тут же (без приміщення в Кошик).
Якщо ви користуєтеся програмою або іншим файловим менеджером, можливо виявили папку RECYCLERабо $RECYCLE.BIN, розташовану на дисках і має вкладені файли та папки. Причому часто стандартний Провідник Windows цю папку не відображає і навіть не знаходить через пошук. Само собою постає питання – що це за папка RECYCLER, Звідки вона береться на дисках комп'ютера і для чого вона потрібна?
Деякі користувачі приймають цю папку за вірус і навіть намагаються видалити її, але нічого не виходить.
Давайте розберемося з папками RECYCLERі $RECYCLE.BIN.
Якщо ви використовуєте Windows XP, виявите папку RECYCLER, якщо ж пізнішою операційною системою(Windows Vista, Windows 7 або Windows 8), то $RECYCLE.BIN. Для простоти викладення матеріалу я використовуватиму тільки одну назву папки – RECYCLERмаючи на увазі одну з них.
Отже, папка RECYCLER- Це по суті Кошик. Так-так, той самий Кошик, який відображається на Робочому столі комп'ютера.
Справа в тому, що Кошик по суті є папкою, яка знаходиться на жорсткому диску комп'ютера і за замовчуванням прихована від очей користувача. На робочий стіл винесено ярлик Кошика і при його запуску ви бачите вміст папки RECYCLER. Щоправда необхідно сказати, що папок RECYCLERможе бути кілька - по одній на кожному логічному дискукомп'ютера, а Кошик – це така віртуальна папка, яка одночасно відображає вміст усіх папок RECYCLER,наявних на комп'ютері.
Але може виникнути наступне питання – Кошик на Робочому столі очищений, але папка RECYCLERвсе одно містить якісь файли. Тут потрібно не забувати, що за комп'ютером можуть працювати кілька користувачів – кожен під своїм обліковим записом, тому в папці RECYCLERфайли можуть бути з Корзини іншого користувача. Також цілком ймовірна ситуація, що ви встановлювали Windows після серйозного збою і в папці RECYCLERзалишилися файли від попередньої ОС.
Видалити папку RECYCLERне вийде, оскільки вона є системною, але видалити вкладені в неї файли і підпапки цілком можливо. Ця дія буде рівносильна очищенню Кошика на робочому столі.
Отже, підіб'ємо підсумки:
1. Папка RECYCLERабо $RECYCLE.BINстворюється на кожному локальному дискукомп'ютера.
2. У ці папки розміщуються видалені файли, причому якщо файл знаходився на диску С, він буде поміщений в папку RECYCLER, розташовану на диску С, якщо файл був на диску D, то відповідно в папку RECYCLERдиска D.
3. При відкритті Кошика з робочого столу відображаються видалені файли та папки з усіх папок RECYCLER.
4. Під час очищення Кошика на робочому столі видаляються всі файли з усіх папок RECYCLER.
Не пропустіть можливість зробити добру справу:
