Вирус на флешке — папки стали ярлыками! Решение!
Сегодня я хочу поговорить об одном уже весьма стареньком вирусе, модификации которого до сих пор будоражат компьютеры пользователей не заботящихся о собственной безопасности. Смысл его деструктивной деятельности заключается в том, что он скрывает содержимое съемного диска и подменяет его ссылками на исполняемый файл, которые умело маскирует с помощью изменения их атрибутов. Всё рассчитано на то, что ничего не подозревающий пользователь не заметит, что вместо папок ярлыки и попытается их открыть. Таким образом этот троян и кочует от компьютера к компьютеру, поражая незащищённые операционные системы одну за другой.Если же на очередном ПК будет стоять хорошая антивирусная программа типа Касперского или DrWeb, то она, конечно же, сразу его засечёт и удалит сам исполняемый EXE-файл или скрипт. Но вот изменить атрибуты, из-за которых папки стали ярлыками на флешке, антивирус не в состоянии и Вам придётся делать это вручную. Как это сделать я сейчас и расскажу.
Вычищаем заразу окончательно!
Для начала надо окончательно убедиться, что вируса нет ни на компьютере, ни на USB-диске. Для этого обновляем базы антивирусной программы и проверяем сначала одно, потом другое. Если у Вас её нет — настоятельно рекомендую его установить. Например, отлично себя зарекомендовал бесплатный антивирус Касперского. Так же можно воспользоваться одноразовым сканером DrWeb CureIT.После этого надо зайти в панель управления Windows и открыть раздел «Параметры папок». В открывшемся окне переходим на вкладку «Вид»:
Здесь необходимо снять галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов». А вот флажок «Показывать скрытые файлы, папки и диски» надо наоборот поставить. Это делается для того, чтобы увидеть всё, что вредоносная программа могла скрыть от пользователя.Следующим шагом нужно будет вручную подчистить остатки жизнедеятельности зловреда. Обязательно проверьте чтобы на флешке не осталось файла сценария автозапуска — autorun.inf
Затем стоит удалить папку RECYCLER (Кстати, в ней-то обычно EXE-шник вируса и лежит).На жестком диске надо обратить внимание на папки пользователей, а особенно — на C:\Users\>\Appdata\Roaming\. Именно сюда пытается прятаться всякая зараза, а потому в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT
Возвращаем пропавшие папки обратно
Следующим этапом нужно вернуть обратно папки, которые стали ярлыками на USB-накопителе. Вот тут начинается самое интересное. Дело в том, что в зависимости от модификации, способ с помощью которого вирус спрятал директории может быть разным. В самом простом случае достаточно зайти на флешку. Там вы увидите скрытые папки (их отображение мы включили выше). Надо просто на каждой из них кликнуть правой кнопкой, открыть её свойства и снять галочку «Скрытый».
А вот если поработал более продвинутый зловред, то скорее всего эта галочка будет недоступна и так просто снять атрибут «скрытый» с папки после вируса у Вас не получится.
В этом случае прямо в корне флешки создаём текстовый файлик, в котором надо скопировать вот эту строчку:
attrib -h -r -s -a /D /S
Закрываем текстовый редактор и меняем ему расширение с *.TXT на *.BAT.Кликаем на файлике правой кнопкой и в контекстном меню выбираем пункт «Запуск от имени Администратора».
После этого папки должны стать видимыми.Если что-то непонятно — смотрим видео-инструкцию:
https://youtube.com/watch?v=ha0AQaM-t6Y
Автоматизированный вариант
Для тех, кто не любит всё делать вручную, предпочитая положиться на скрипты, тоже есть отличный способ. Заключается он в том, что на съёмном накопителе надо опять же создать BAT-файл, открыть его блокнотом и скопировать туда вот такой код:
:lable cls set /p disk_flash="Input USB Drive Name: " cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:
Закрываем текстовый редактор и сохраняем изменения. Запускаем скрипт на исполнения. В начале он попросит указать букву, под которой флешка отображается в Проводнике. После этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлыками. Этот вариант отлично работает в большинстве случаев на «ура».Но если вдруг Вам попадётся более хитрая модификация такого вируса, то всё же Вам придётся закатать рукава и поработать руками.
Как работает Powershell.exe?
Powershell.exe — это обычная часть операционной системы Windows, но она также может быть взломана вирусами и троянами. Вирус Powershell.exe совершает множество преступлений против вашего компьютера.
В самом простом случае он может заставить ваш браузер показывать несколько всплывающих окон и уведомлений для рекламы, причем эти объявления часто являются подозрительными и вредоносными сами по себе. Но он также может работать как троян, позволяющий хакерам получить доступ к вашим данным и информации. В других случаях это может заставить ваш компьютер работать необычно.
Важно быстро удалить угрозу, чтобы проблема не обострилась и не усугубилась
Как узнать, есть ли у вас вирус Powershell.exe?
Легко ли определить, заражен ли ваш компьютер вирусом Powershell.exe Windows 10? Собственно, это зависит от того, как он повлияет на вашу операционную систему.
Если хакер отслеживает ваши данные и нажатия клавиш, позволяя вирусу Powershell.exe работать в фоновом режиме, вы вряд ли сможете это обнаружить. Но если на вашем компьютере появляются странные всплывающие окна с рекламой или баннерами, или если ваш компьютер работает медленно, вы легко можете это сказать.
Поэтому вам нужно уделять пристальное внимание безопасности вашего компьютера. Если он работает очень медленно или появляются значки, которые вы не помните, что они установили, возможно, ваш компьютер был заражен вирусом Powershell.exe
Процедура 6 : удаление ISHelper.exe Из редактора реестра
Найти записи реестра, связанные с ISHelper.exe а также удаление их В нескольких шагах.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “random.exe”
HKEY_CLASSES_ROOT\CLSID\ ISHelper.exe
HKEY_CURRENT_USER\Software\AppDataLow\Software\ ISHelper.exe
HKEY_CURRENT_USER\Software\ ISHelper.exe character
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ ISHelper.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\random numbers
VN:F
please wait…
Rating: 0.0/10 (0 votes cast)
VN:F
Rating: (from 0 votes)
Краткое описание на WebHelper.dll
является навязчивой угрозой PC, который принадлежит к категории Adware. Он молча проникает в вашу систему без вашего согласия и вносит тонны вредоносных актов в фоновом режиме. Первоначально он изменяет настройки браузера по умолчанию и получает полный контроль над всем браузером. После этого, он начинает наводнения вашего экрана ПК с раздражающими объявления и всплывающие окна и перенаправляет ваш браузер на неизвестные веб-страницы в течение дня. Он был специально создан командой мощных кибер-преступников с их основной целью повышения трафика на веб-страницах третьих сторон и сделать быстрый доход от начинающих пользователей.
Как удалить ADWARE_HELPER?
Отключиться от интернета
Закройте все открытые окна браузера и приложения (включая электронную почту), затем отключите компьютер от Интернета. Если вы подключены к Интернету через кабель Ethernet, самый простой способ отсоединения — просто отсоединить кабель от компьютера. Если вы подключены через Wi-Fi
- При поиске введите «Сетевые подключения» и выберите «Показать сетевые подключения». Определите соединение, которое вы хотите отключить.
- Щелкните правой кнопкой мыши по соединению и выберите «Отключить / Активировать».
- Нажмите кнопку Windows, чтобы запустить интерфейс загрузки, затем введите по беспроводной сети.
- Нажмите Настройки, чтобы отобразить список настроек беспроводной сети.
- Нажмите на Включить или отключить беспроводную связь.
Почему не загружается рабочий стол? Решение проблемы!
Вечером после работы, как обычно, сажусь за комп проверить почту.
Включаю компьютер — всё загружается, Windows XP SP3. О чём-то задумался, ожидая загрузки OC, через минут 10 понимаю, что загрузки не состоится. На мониторе заставка и ничего более.
Всё думаю доигрались Нажимаю на клавиатуре волшебное сочетание клавиш alt+ctrl+del. Открывается окошко, фух. хоть диспетчер задач живой, захожу в процессы и обнаруживаю, что процесса ”explorer.exe”нет.
Выбираю в диспетчере задач файл — выполнить ”explorer.exe”. Реакции 0. Придется переустанавливать Windows решат многие. Но не в нашем случае.
Скачайте утилиту для удаления Helper от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Helper.. Утилита для удаления Helper найдет и полностью удалит Helper и все проблемы связанные с вирусом Helper. Быстрая, легкая в использовании утилита для удаления Helper защитит ваш компьютер от угрозы Helper которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Helper сканирует ваши жесткие диски и реестр и удаляет любое проявление Helper. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Helper. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Helper и (random file).exe (закачка начнется автоматически):
Что такое вирус Powershell.exe?
Для начала нужно знать, что такое Powershell.exe
Подлинный файл Powershell.exe является важной частью системы Windows и находится в подпапках каталога. C: Windows System32 WindowsPowerShell v1.0
Наконечник:Что такое каталог System 32 и почему его не следует удалять?
Как видите, Powershell.exe – это исполняемый файл, связанный с PowerShell, и в нормальном состоянии он не причиняет вреда вашему компьютеру.
Так что же такое вирус Powershell.exe? Это скрытая опасная форма трояна, цель которого – кража ваших данных и информации. И это может помешать вашей деятельности на вашем компьютере. Иногда причиной медленной работы вашего компьютера является вирус Powershell.exe.
Поэтому, чтобы избежать ухудшения ситуации, вам следует как можно скорее удалить вирус Powershell.exe.
Что такое вирус WerFault.exe?
Windows Error Reporting — это служба Microsoft, которая позволяет компании отслеживать и устранять ошибки, связанные с ее продуктами. Он запускается при запуске и отправляет отчеты в Microsoft, когда что-то идет не так. Как и любой файл .exe , он может время от времени повреждаться или работать со сбоями, связанными с аппаратными соединениями, которые он предназначен для мониторинга. Очень редко вирус может атаковать файл WerFault.exe, но обычно это не сам файл, являющийся вирусом. В любом случае, люди, которые видят ошибку WerFault.exe, часто просто называют ее вирусом, отсюда и название.
Загрузите и замените файл mshta.exe
Последнее решение — вручную загрузить и заменить файл mshta.exe в соответствующей папке на диске. Выберите версию файла, совместимую с вашей операционной системой, и нажмите кнопку «Скачать». Затем перейдите в папку «Загруженные» вашего веб-браузера и скопируйте загруженный файл mshta.exe.
Перейдите в папку, в которой должен находиться файл, и вставьте загруженный файл. Ниже приведен список путей к каталогу файлов mshta.exe.
- Windows 10: C:\Windows\System32\
- Windows 8.1: C:\Windows\System32\
- Windows 8: 1: C:\Windows\System32\
- Windows 7: C:\Windows\System32\
- Windows 7: C:\Windows\System32\
- Windows Vista: —
- Windows Vista: —
- Windows XP: —
Если действия не помогли решить проблему с файлом mshta.exe, обратитесь к профессионалу. Существует вероятность того, что ошибка (и) может быть связана с устройством и, следовательно, должна быть устранена на аппаратном уровне. Может потребоваться новая установка операционной системы — неправильный процесс установки системы может привести к потере данных.
Оптимизация работы «Центра отзывов»
Подавляющее большинство пользователей принадлежит к пассивному типу – если в работе программы имеется проблема, они даже не подумают о возможности пожаловаться на неё разработчикам. Делают это единицы.
Разработчики Windows 10 учли этот фактор, время от времени напоминая о возможности оставить отзыв. Если такие сообщения вас раздражают, если вы считаете, что резидентный модуль отбирает бесценные ресурсы компьютера, вас заинтересует возможность отключения «Центра отзывов». В Windows 10 это можно сделать следующим образом:
- нажимаем «Пуск»;
- кликаем по вкладке «Параметры» (которая с пиктограммой шестерни);
- выбираем кнопку «Конфиденциальность»;
- в новом окне в левой панели выбираем пункт «Отзывы и Диагностика»;
- появятся параметры программы, в графе «Частота формирования отзывов» указываем «Никогда».
Можно отключить «Центр отзывов», используя другой сценарий:
- опять заходим в «Параметры»;
- кликаем по вкладке «Система»;
- заходим в «Уведомления и действия»;
- справа, напротив пиктограммы «Отзывы о Windows», передвигаем ползунок влево в положение «Выключено».
Отметим, что такое отключение носит обратимый характер, вы всегда можете вернуть статус-кво.
Если же вы захотите избавиться от приложения навсегда, нужно будет сильно постараться. Дело в том, что все программы, входящие в состав «десятки», делятся на три типа:
- системные, без которых ОС будет работать в лучшем случае «криво»;
- предустановленные – некритичные для работоспособности операционной системы, но входящие в дистрибутив Windows;
- установленные пользователем.
Системные и предустановленные утилиты чаще всего обычным способом удалить не получается, и «Центр отзывов» входит в их число. Но это не означает, что мы не сможем избавиться от ненужного нам приложения – это можно сделать с помощью PowerShell, в режиме командной строки:
- чтобы запустить утилиту, опять жмём «Пуск» и ищем в списке Windows PowerShell (у вас должны быть права администратора);
появится окно терминала, в котором можно просмотреть перечень предустановленных программ командой Get-AppxProvisionedPackage –Online;
чтобы ознакомиться со списком системных приложений, набираем Get-AppxPackage -PackageTypeFilter Main;
- чтобы удалить «Центр отзывов» Windows, запускаем на выполнение команду Get-AppxPackage *FeedbackHub* | Remove-AppxPackage.
Отметим, что такое удаление будет уже необратимым, и если вы когда-нибудь опять захотите оставить отзыв, приложение придётся скачивать на сайте разработчика и повторно устанавливать.
Надеемся, вы получили достаточно информации, чтобы решить, оставлять у себя эту утилиту, временно отключить её или безжалостно удалить, облегчив нагрузку на компьютер.
Explorer.exe ошибка приложения
далее откроются параметры восстановления системы, в этом окне и можете применить восстановление системы .
Если при нажатии F-8 у вас не открываются Дополнительные варианты загрузки, значит нужно загрузить компьютер с диска восстановления или установочного диска Windows 7, там тоже имеется среда восстановления. К примеру, при загрузке с установочного диска Windows 7,
нужно выбрать Восстановление системы
и ещё раз восстановление системы.
То же самое можно сделать с помощью диска восстановления Windows 7. Обо всём этом подробно рассказано в нашей статье Как восстановить систему Windows 7.Если восстановление системы по каким-то причинам нам не помогло, значит нужно произвести восстановление системных файлов Windows, сделать это очень просто. Загружаемся в безопасный режим с поддержкой командной строки . Жмём при загрузке F-8 и выбираем безопасный режим с поддержкой командной строки.
В командной строке набираем sfc /scannow.
Windows проверяет и восстанавливает системные файлы, иногда система может попросить вставить в дисковод установочный диск Windows. Защита ресурсов Windows обнаружила системные файлы и успешно их восстановила . Наш файл — Explorer.exe будет восстановлен .
Очень просто устанавливаем программу и запускаем её.
Ещё нам понадобиться дистрибутив Windows 7, идём в папку sources дистрибутива
и копируем из неё в какую-нибудь папку на нашем компьютере, например (новая папка) файл install.wim .
В установочных образах Windows 7 64-бит будет четыре папкиПапка №1 содержатся все папки и файлы Windows 7 Home Basic (Домашняя базовая);Папка №2 – Home Premium (Домашняя расширенная);Папка №3» – Professional (Профессиональная);Папка №4» – Ultimate (Максимальная).У меня установлена Windows 7 Ultimate (Максимальная), поэтому я захожу в папку №4,
далее идём в папку Windows ,
а вот и наш файл explorer.exe . Щёлкаем на нём правой мышью и выбираем в меню «Копировать в» и копируем файл explorer.exe в нужную нам папку.
Вводим команду notepad
Открывается блокнот. Далее выбираем Файл и Открыть
И попадаем в самый настоящий проводник. В этом окне нажимаем кнопку Компьютер и входим в окно Компьютер
В первую очередь Выбираем пункт Тип файлов и в выпадающем меню Все файлы . А то вы никаких файлов, кроме текстовых не увидите.Теперь определяем правильные буквы всех дисков, в среде восстановления они обычно отличаются от тех, которые мы видим в работающей операционной системе и диску с установленной Windows скорее всего принадлежит не буква (C:), а какая-нибудь другая.Диск (C:) оказался скрытым разделом 100 МБ System Reserved (Зарезервировано системой) нужен для расположения загрузочных файлов Windows 7 и их защиты от неосторожных действий пользователя. Если зайти в этот раздел, то абсолютно ничего не увидим, даже в среде восстановления эти файлы не доступны пользователю.Диску, на котором установлена Windows 7, присвоена буква (D:).
Первым делом идём в нашу флешку (G:) и копируем исправный файл explorer.exe .
Далее, если операционная система у нас на (D:),
Что такое Adware?
Adware — это программное приложение, которое отображает рекламные баннеры во время выполнения программы. Объявления предоставляются через всплывающие окна или панели, которые появляются в пользовательском интерфейсе программы. Рекламное программное обеспечение часто создается для компьютеров, но также может быть найдено на мобильных устройствах. Обоснование для рекламного ПО заключается в том, что оно помогает покрыть расходы на разработку программы для разработчика программного обеспечения и сократить или устранить затраты для пользователя.
Рекламное программное обеспечение приносит доход его разработчику, автоматически отображая рекламу в пользовательском интерфейсе программного обеспечения или на экране, который появляется на лице пользователя в процессе установки. Вы также можете открывать новые вкладки, видеть изменения на своей домашней странице, видеть результаты поиска, о которых вы никогда не слышали, или даже перенаправляться на сайт NSFW.
Как удалить
Как удалить mshta.exe? Если вы не можете запустить свой компьютер в безопасном режиме с поддержкой сети, попробуйте выполнить восстановление системы с помощью безопасного режима с помощью командной строки. Чтобы удалить вирус, нажмите кнопку Windows в нижнем левом углу и выберите «Питание», затем нажмите «Перезагрузка». Компьютер будет перезапущен. Вы увидите окно с несколькими параметрами. Выберите «Устранение неполадок». Затем выберите Дополнительные параметры. Перейдите в «Параметры запуска» в окне «Дополнительные параметры». Нажмите кнопку «Перезагрузка».
Компьютер снова перезагрузится. Вы увидите окно «Параметры запуска» с различными расширенными режимами устранения неполадок. Выберите «Включить безопасный режим» с помощью командной строки и нажмите F6, чтобы активировать его. После перезагрузки компьютера появится окно командной строки MS-DOS. Введите cd restore с помощью командной строки и нажмите Enter. Введите rstrui.exe в следующей строке и нажмите Enter. Проверьте, открывается ли окно восстановления системы и нажмите кнопку «Далее», чтобы продолжить. Выберите точку восстановления с датой до заражения вредоносным ПО и нажмите кнопку «Далее».
Советы по безопасности для защиты компьютера от троянов:
Распространенные причины возникновения
Проблемы с файлом «mshta.exe» могут возникнуть при наличии повреждений реестра или при отсутствии ключевых файлов запуска. Также достаточно распространенной причиной ошибки считается поражение компьютера вирусами. В зависимости от случая, пользователь может получать различные уведомления о багах в работе программы или системных файлов.
Просмотрите наиболее популярные причины появления этой проблемы:
- Повреждение ключей реестра ОС, которые работают с «mshta.exe» или MSDN Disc ver. 2442.6;
- Удаление или повреждение файлов в ходе неудачной установки ПО;
- Конфликтное размещение установленных программ, несовместимость;
- Повреждение загрузки системы или ПО MSDN (проблемы с установкой);
- Поражение «mshta.exe» вирусными программами.
Перечисленные причины могут встречаться на всех версиях Windows (7/8/8.1/10), вне зависимости от сборки или лицензии
На начальном этапе проявления проблемы важно отследить путь ошибки, чтобы узнать принадлежность конкретных файлов. Для этого, при возникновении текстового сообщения следует выбрать «Показать подробности проблемы» или «щелкните здесь» — на более старых версиях ОС
Дополнительная очистка после AVZ
Помимо всего прочего я рекомендую прочитать и воспользоваться следующими статьями (они помогут очистить компьютер окончательно и привести его в норме, тем более, если проблемы сохранились и AVZ не вычистил всё до конца):
- “Что такое spyware и как с этим бороться. Часть 1 ” и “Как удалить SpyWare и что это такое. Часть 2. “. Очень важные статьи, которые помогут удалить такую вещь как spyware. Это не совсем вирусы, но по факту вредят не меньше, а то и больше, да и обычными антивирусами удаляются не всегда;
- “Как удалить вирусы. Часть 2 ” . Статья по общей установке и использованию полной версии полноценного антивируса Доктор Веб для постоянной защиты, а так же для разового поиска и удаления вирусов самого различного характера. Сюда же можно отнести статью “Удаление вирусов. Часть 4. ” для разовой полноценной проверки без установки полной версии антивируса (ознакомьтесь, может быть полезным);
- “Как очистить вирусы. Часть 3 “. Очень очень полезная и важная штука, которая позволяет искать и находить вирусы до загрузки системы. Помогает в самых запущенных случаях, т.к антивирусная утилита записывается на диск, затем запускается с него еще до старта Windows, что не даёт вирусам загрузиться в память и как-либо противодействовать сканированю.
Это пожалуй всё, что я могу пока подсказать из общих рекомендаций по удалению вирусов. Само собой, что больше всякой полезной информации по этой теме, а так же по теме безопасности вообще (антивирусы, фаерволлы, пароли, анти-malware, анти-spyware и прочее прочее), Вы можете прочесть в рубрике “Безопасность и защита от вирусов/spyware/взлома и пр.”
Касаемо расшифровки отчетов и логов в особо сложных случаях (т.е Вы ну никак не справляетесь, используя данную статью и ссылки на все остальные) Вы можете обращаться к нам на форум в этот раздел (требуется предварительно зарегистрироваться на форуме).
Способы предотвращения рекламных дополнений на вашем компьютере
Хотя WebHelper является частью uTorrent, вы можете установить похожие программы, поддерживающие объявления, неосознанно, поэтому мы хотим предоставить вам руководство по предотвращению подобных событий.
- При установке бесплатного программного обеспечения вы должны выбрать Custom расширенную или пользовательскую установку. Это даст вам возможность увидеть все дополнительные элементы, добавленные к вашей загрузке.
- Если вы этого не сделаете и положитесь на стандартную или дефолтную установку, вы просто рискуете получить на свой компьютер потенциально нежелательные программы, потому что эти параметры установки имеют тенденцию включать заявления, предоставляющие ваше разрешение на установку всех предлагаемых дополнений.
- Просто выберите вариант пользовательский или дополнительный вариант установки и отмените выбор дополнительных функций, которые вы не хотите видеть на своем компьютере.
Опасен ли процесс
Если речь про оригинальный файл, то нет – он не опасен. Однако, некоторые вирусы умело маскируются под данную библиотеку, в результате могут месяцами работать «безнаказанно».
Чтобы провести ручную проверку, достаточно зайти в раздел: C:WindowsSystem32, и проверить данный файл. В оригинале он имеет размер от 12,800 до 47,104 байт, если файл сильно меньше или хоть сколько-то больше – время бить тревогу.
Ещё один симптом, что под процесс Mshta.exe замаскировался вирус, потребление ресурсов ЦП. В норме данный процесс потребляет не более 25 процентов и запускается только в случае обработки HTML страниц. Если же данная строчка есть в Диспетчере задач сразу при старте ПК и потребляет больше 25%, то это явный признак, как минимум, проблем с данным файлом, но в большинстве случаев – речь про вирус.
План действий — мои рекомендации
Информации в интернете толковой очень мало. Я дам свои советы что вам делать, так как считаю что с ситуацией нужно разобраться
Рекомендую такой план действий:
- Вручную проверить откуда запускается процесс helper.exe — посмотреть название папки, по которому постараться найти инфу в интернетах.
- Проверить антивирусными утилитами. Я дам три утилиты, которые лучшие, проверить нужно всеми тремя — так как они находят разные вирусы.
- Если вирусов не будет найдено, а процесс висит или даже грузит проц — тогда стоит принудительно отключить, об этом также напишу.
Откуда запускается процесс? Диспетчер Windows 10 либо Windows 7 позволяет узнать папку запуска процесса. Вот пример — откройте диспетчер, активируйте вкладку с процессами, найдите процесс.. пусть это будет explorer.exe, нажмите по нему правой кнопкой — выберите пункт Открыть расположение файла:
В результате откроется папка, откуда и запускается процесс — у меня открылась системная (файл будет выделен):
Именно оттуда и происходит запуск explorer.exe (кстати это оболочка виндовская, другими словами программа проводник).
Таким образом узнаете откуда идет запуск helper.exe, напомню — обратите внимание на название папки, оно может подсказать от какой проги процесс…
Какими антивирусными утилитами проверить ПК?
Название (ссылка на офф сайт) | Короткое описание |
---|---|
Dr.Web CureIt! | Мощная утилита по нахождению и удалению опасных вирусов, троянов, ботнетов и остальной заразы. Реально лучшая. Скачивается уже с вшитыми антивирусными базами. Скорость проверки зависит от количества файлов на вашем диске. |
AdwCleaner | Утилита предназначена для поиска рекламной заразы, та которая прописывается в автозагрузке, в реестре, ярлыках браузеров, встраивается в сам браузер в виде левых расширений, дополнений, короче AdwCleaner — мастер по удалению рекламной заразы. Также удаляет шпионское ПО, всякие левые модули, которые рекламируют всякую дичь. |
HitmanPro | Коллега AdwCleaner, но имеет немного другой принцип работы, сканирует компьютер более тщательно, выискивает угрозы даже там, где AdwCleaner не смогла найти (например в куки-файлах браузеров). В связи с тем, что механизм работы утилит разный — советую использовать обоих. |
Как принудительно отключить процесс? Почти безопасно, однако перед — все таки посоветую вам создать точку восстановления, мало ли.
Принудительное отключение helper.exe заключается в:
- Узнаем где обитает процесс.
- Завершаем работу процесса в диспетчере.
- Сам процесс helper.exe в папке переименовываем, советую делать это удобно, например дать название helper.exe_off. У вас может быть отключен показ скрытых файлов, в таком случае будет отображено просто helper — ничего страшного, алгоритм прежний.
- Если с переименованием будут траблы — скачиваем и устанавливаем бесплатную утилиту Unlocker, при установке смотрите чтобы не установился рекламный шлак типа Дельта Тулбар. Утилита предназначена для удаления/переименовывания упрямых файлов, которые этого делать не хотят.
- После переименования helper.exe — он больше не сможет запуститься. Если начнутся проблемы — восстановите название файла helper.exe обратно, либо воспользуйтесь точкой восстановления (поэтому и советовал ее создавать заранее).
Что такое wshelper.exe
Программа Wondershare Helper Compact имеет возможность записи клавиатуры, мыши и интернет-активности. Таким образом, он может быть опасен, если взломан вредоносным ПО или вирусом. WSHelper.exe не является обязательным файлом для операционной системы Windows, однако пользователи сообщают, что он вызывает неполадки, препятствующие нормальному функционированию ОС. Исполняемый файл обычно встречается в версиях Windows 10/8/7/XP. Местоположение WSHelper.exe по умолчанию:
Характеристики wshelper.exe:
- Проникает в ПК без разрешения.
- Может генерировать все виды нежелательной рекламы в браузерах.
- Может перенаправить на небезопасные или мошеннические сайты.
- Может читать историю браузера и собирать личные данные без согласия пользователя.
- Может замедлить работу ПК и даже привести к сбою системы.
Обычно его размер составляет 1 994 750 или 2 072 930 байтов.
После удаления wshelper.exe
Чтобы избежать возвращения wshelper.exe и предотвратить другие вирусные атаки, при использовании компьютера соблюдайте несложные правила:
- Вы всегда должны выбирать выборочную установку независимо от того, какое программное обеспечение вы собираетесь установить.
- Снимите флажки со скрытых опций, которые пытаются установить бесполезные дополнительные программы.
- Сканируйте все загруженные вложения электронной почты, прежде чем открывать их.
- Никогда не открывайте вложения в спаме или от неизвестных контактов.
- Не посещайте сайты, содержащие взрослый контент.
- Не обновляйте приложения с неофициальных сайтов.
Как видите, удалить WSHelper.exe с заражённого компьютера вручную можно, но обычно это не рекомендуется по нескольким причинам. Это рискованный и трудоёмкий процесс, и, прежде всего, файл связан с трояном, который хитро маскирует своё присутствие. При неправильном ручном удалении существует высокая вероятность повреждения системы. Гарантировать, что все вредоносные файлы и записи, имеющиеся на ПК, удалены, может только регулярное сканирование системы с помощью надёжного инструмента защиты от хакерских атак.
Вместо папок и файлов на флешке появились ярлыки: решение проблемы
Вы открыли свой USB-носитель информации, а от файлов и папок остались одни ярлыки? Главное без паники, ведь, скорее всего, вся информация в целости и сохранности. Просто на Вашем накопителе завелся вирус, с которым вполне можно справиться самостоятельно.
На флешке появились ярлыки вместо файлов
Такой вирус может проявлять себя по-разному:
- папки и файлы превратились в ярлыки;
- часть из них вообще исчезла;
- несмотря на изменения, объем свободной памяти на флешке не увеличился;
- появились неизвестные папки и файлы (чаще с расширением «.lnk»).
Прежде всего, не спешите открывать такие папки (ярлыки папок). Так Вы собственноручно запустите вирус и только потом откроете папку.
К сожалению, антивирусы через раз находят и изолируют такую угрозу. Но все же, проверить флешку не помешает. Если у Вас установлена антивирусная программа, кликните правой кнопкой по зараженному накопителю и нажмите на строку с предложением провести сканирование. Если вирус удалится, то это все равно не решит проблему исчезнувшего содержимого.
Еще одним решением проблемы может стать обычное форматирование носителя информации. Но способ этот довольно радикальный, учитывая что Вам может понадобиться сохранить данные на ней. Поэтому рассмотрим иной путь.
Шаг 1: Делаем видимыми файлы и папки
Скорее всего, часть информации вообще будет не видна. Так что первым делом нужно заняться этим. Вам не понадобится никакое стороннее ПО, так как в данном случае можно обойтись и системными средствами. Все, что Вам нужно сделать, заключается вот в чем:
- В верхней панели проводника нажмите «Упорядочить» и перейдите в «Параметры папок и поиска».
Откройте вкладку «Вид». В списке снимите галочку с пункта «Скрывать защищенные системные файлы» и поставьте переключатель на пункте «Показывать скрытые файлы и папки». Нажмите «ОК».
Теперь все, что было скрыто на флешке, будет отображаться, но иметь прозрачный вид.
Не забудьте вернуть все значения на место, когда избавитесь от вируса, чем мы и займемся далее.
Шаг 2: Удаляем вирус
Каждый из ярлыков запускает файл вируса, а, следовательно, «знает» его расположение. Из этого и будем исходить. В рамках данного шага сделайте вот что:
Кликните по ярлыку правой кнопкой и перейдите в «Свойства»
Обратите внимание на поле объект. Именно там можно отыскать место, где хранится вирус
В нашем случае это «RECYCLER\5dh09d8d.exe», то есть, папка RECYCLER, а «6dc09d8d.exe» – сам файл вируса.
Удалите эту папку вместе с ее содержимым и все ненужные ярлыки.
Шаг 3: Восстанавливаем нормальный вид папок
Осталось снять атрибуты «скрытый» и «системный» с Ваших файлов и папок. Надежнее всего воспользоваться командной строкой.
- Откройте окно «Выполнить» нажатием клавиш «WIN» + «R». Введите туда cmd и нажмите «ОК».
Введите
cd /d i:\
где «i» – буква, присвоенная носителю. Нажмите «Enter».
Теперь в начале строки должно появиться обозначение флешки. Введите
attrib -s -h /d /s
Нажмите «Enter».
Так сбросятся все атрибуты и папки снова станут видимыми.
Альтернатива: Использование пакетного файла
Можно создать специальный файл с набором команд, который проделает все эти действия автоматически.
- Создайте текстовый файл. Пропишите в нем следующие строки:
attrib -s -h /s /d rd RECYCLER /s /q del autorun.* /q
del *.lnk /q
Первая строка снимает все атрибуты с папок, вторая – удаляет папку «Recycler», третья – удаляет файл автозапуска, четвертая – удаляет ярлыки.
- Нажмите «Файл» и «Сохранить как».
Файл назовите «Antivir.bat».
Поместите его на съемный накопитель и запустите (щелкните мышкой дважды по нему).
При активации этого файла Вы не увидите ни окон, ни строки состояния – ориентируйтесь по изменениям на флешке. Если на ней много файлов, то возможно, придется подождать 15-20 минут.
Что делать, если через некоторое время вирус снова появился
Может случиться так, что вирус снова себя проявит, при этом флешку Вы не подключали к другим устройствам. Напрашивается один вывод: вредоносное ПО «засело» на Вашем компьютере и будет заражать все носители. Из ситуации есть 3 выхода:
Специалисты говорят, что такой вирус можно вычислить через «Диспетчер задач». Для его вызова используйте сочетание клавиш «CTRL» + «ALT» + «ESC». Следует искать процесс с примерно таким названием: «FS…USB…», где вместо точек будут случайные буквы или цифры. Найдя процесс, можно кликнуть по нему правой кнопкой и нажать «Открыть место хранения файла». Выглядит это так, как показано на фото ниже. Но, опять-таки он не всегда запросто удаляется с компьютера.
Выполнив несколько последовательных действий, можно вернуть все содержимое флешки в целости и сохранности. Чтобы избежать подобных ситуаций, почаще пользуйтесь антивирусными программами.