Наверняка многие пользователи компьютера замечали в своей операционной системе (в нашем случае Windows) непонятного рода происхождения папку - RECYCLER. Такое название было у нее на прежних версиях «окошек». Начиная с Windows 7 папка RECYCLER была переименована в $Recycle.Bin. RECYCLER - что это за папка? Сейчас и узнаем.

О папке RECYCLER подробно

RECYCLER что это за папка, и что она делает на флешке к примеру?! Ее можно обнаружить в корне любого локального диска, на которых содержится информация на компьютере пользователя. У папки RECYCLER есть два обязательных атрибута: скрытый и системный. Для новичков следует добавить, что это значит лишь то, что если в самой системе была выбрана опция, по которой скрытые файлы не будут отображаться, то они не станут видимыми пользователю. Следовательно, при указании опции по показу скрытых файлов, те окажутся видимыми, а это значит, что папка RECYCLER также станет отображаться.

Включить и выключить такую опцию можно следующим образом:

RECYCLER — это просто корзина

Но мы вернемся к папке RECYCLER. Что же это за папка? Не будем нагонять интригу, а просто скажем, что она - это Корзина. Та самая, в которой хранятся все удаленные с компьютера файлы до их полного очищения. Опять же, для новичков: когда любой файл удаляется с компьютера, он попадает в Корзину. Профессионалы или просто бывалые пользователи знают, что под этим также стоит скрытый смысл: любой файл во время своего удаления просто перемещается в папку с название RECYCLER.

Об удалении Recycle.Bin

Как уже было сказано выше, каждый локальный диск имеет в наличии свою собственную папку RECYCLER. Это негласно говорит о том, что во время удаления, к примеру, с локального диска C любого файла он будет перемещен в папку RECYCLER именно в своем разделе. Если же файл был удален с локального диска D, то он попадет в папку RECYCLER уже своего (отличного от предыдущего) раздела.

Когда же мы обращаемся к ярлыку Корзина, то видим, что все файлы находятся вместе. Пожалуй, это и есть единственное различие, которое делит особенности папок RECYCLER и ярлыка Корзины.

О свойствах RECYCLER и Корзины

RECYCLER - что это за папка или корзина? Собственно, теперь не помешало бы сказать пару слов о самой Корзине. Ее размеры можно задавать. Негласно это указывает на то, что соответственно увеличиваются (или уменьшаются) размеры папок RECYCLER на локальных дисках. Кликом ПКМ (для новичков: правая кнопка мыши) по ярлыку Корзина можно открыть ее свойства. Сама Корзина (в большинстве случаев) находится на рабочем столе.

Дополнительно ее можно скрыть, но это не так важно и не касается нашей темы. В свойствах Корзины есть всего лишь одна вкладка - Общие. В ней же перечислены все локальные диски, которые созданы на компьютере. При выборе любого из них отображаются параметры, которые можно изменять. Они позволяют указать количество хранимого в Корзине места для файлов, которые были удалены с диска. Здесь же можно выбрать опцию, при которой те будут удаляться тут же (без помещения в Корзину).

Если вы пользуетесь программой или другим файловым менеджером, то возможно обнаружили папку RECYCLER или $RECYCLE.BIN , расположенную на дисках и имеющую вложенные файлы и папки. Причем довольно часто стандартный Проводник Windows эту папку не отображает и даже не находит через поиск. Само собой возникает вопрос – что это за папка RECYCLER , откуда она берется на дисках компьютера и для чего она нужна?

Некоторые пользователи принимают эту папку за вирус и даже пытаются ее удалить, но ничего не выходит.

Давайте разберемся с папками RECYCLER и $RECYCLE.BIN .

Если вы пользуетесь Windows XP, то обнаружите папку RECYCLER , если же более поздней операционной системой (Windows Vista, Windows 7 или Windows 8), то $RECYCLE.BIN . Для простоты изложения материала я буду использовать только одно название папки – RECYCLER , имея в виду одну из них.

Итак, папка RECYCLER – это по сути Корзина . Да-да, та самая Корзина, которая отображается на Рабочем столе компьютера.

Дело в том, что Корзина по сути является папкой, которая находится на жестком диске компьютера и по умолчанию скрыта от глаз пользователя. На Рабочий стол вынесен ярлык Корзины и при его запуске вы видите содержимое папки RECYCLER . Правда необходимо сказать, что папок RECYCLER может быть несколько – по одной на каждом логическом диске компьютера, а Корзина – это такая виртуальная папка, которая одновременно отображает содержимое всех папок RECYCLER, имеющихся на компьютере.

Но может возникнуть следующий вопрос – Корзина на Рабочем столе очищена, но папка RECYCLER все равно содержит какие-то файлы. Тут нужно не забывать, что за компьютером могут работать несколько пользователей – каждый под своей учетной записью , поэтому в папке RECYCLER могут находиться файлы из Корзины другого пользователя. Также вполне вероятна ситуация, что вы переустанавливали Windows после серьезного сбоя и в папке RECYCLER остались файлы от предыдущей операционной системы.

Удалить папку RECYCLER не получится, так как она является системной, но вот удалить вложенные в нее файлы и подпапки вполне возможно. Это действие будет равносильно очистке Корзины на Рабочем столе.

Итак, подведем итоги:

1. Папка RECYCLER или $RECYCLE.BIN создается на каждом локальном диске компьютера.

2. В эти папки помещаются удаленные файлы, причем если файл находился на диске С, то он будет помещен в папку RECYCLER , расположенную на диске С, если же файл был на диске D, то соответственно в папку RECYCLER диска D.

3. При открытии Корзины с Рабочего стола отображаются удаленные файлы и папки из всех папок RECYCLER .

4. При очистке Корзины на Рабочем столе удаляются все файлы из всех папок RECYCLER .

Не упустите возможность сделать доброе дело:

Все современные антивирусы уже давно научились блокировать запуск файлов autorun.inf со съемных носителей и злоумышленникам приходится придумывать новые способы для заражения компьютеров пользователей.

Одним из подобных видов заражения мы сегодня и рассмотрим, а именно: самостоятельно удалим вирус из системы.

Ну что же, теперь перейдем к рассмотрению самого вируса.

Описание вируса

Первые признаки заражения данным вирусом является наличие на съемных носителях, т.е. на флешках, ярлыков для всех папок, которых были на флешке на момент заражения. В свойствах этих ярлыков указан путь к исполняемому файлу самого вируса:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\1b37f31f.exe &&%windir%\explorer.exe %cd%RECYCLER

Ничего не подозревающий пользователь кликает на ярлык, принимая его за обычную папку и тем самым, запускает вирус на исполнение. Одновременно с запуском вируса открывается и требуемая папка и все выглядит вполне обычно, что на самом деле не так.

Итак, сам вирус находится в папке RECYCLER , которая расположена на съемном носителе. Внутри этой папки находятся два файла: 1b37f31f.exe и Desktop.ini . Первый файл – это сам вирус, второй отвечает за отображение значка папки в виде обычной корзины.

Стоит напомнить, что на флешке не должно быть никаких Корзин, то есть папок с названием RECYCLER . Данные папки могут присутствовать только на жестком диске компьютера, но никак не на флешке. Если вы обнаружили данную папку на флешке – это стопроцентно вирус.

При запуске, вирус делает скрытыми все папки на съемном носителе и создает ярлыки с именами папок. Таким нехитрым образом, происходит запуск данного вируса.

Технические данные вируса

Многими антивирусами этот вирус детектируется как троян и хотя прошло много времени с момента создания этого вируса, в сети Интернет очень мало информации по этому вирусу.

Итак, немного технической информации:

Имя файла: 1b37f31f.exe

MD5:

Размер файла: 246.8 KБ (252731 байт)

Тип файла: Win32 EXE

Версия: 2.0.8.1

Удаление вируса

Для начала, стоит включить отображение скрытых файлов и папок на вашем компьютере. Для этого, откройте Проводник и выберете пункт меню «Сервис», затем «Свойства папки», перед вами отобразится окно «Свойства папки». Перейдите на вкладку «Вид» и поставьте переключатель на пункт «Показывать скрытые файлы и папки», затем, чуть выше, уберите галочку с «Скрывать защищенные системные файлы (рекомендуется)», появится окно предупреждения о том, что защищенные файлы операционной системы будут отображаться «Проводником». Нажмите на кнопку «Да», затем в окне «Свойства папки» нажмите кнопку «Применить» и «Ok».

После этого, помимо ярлыков вы увидите те самые папки, которые скрыл вирус.

Теперь, когда стали доступны скрытые файлы и папки, удалите с флешки папку RECYCLER, вместе со всем ее содержимым. После чего, удалите все ярлыки, созданные вирусом.

Один важный момент: на всех разделах вашего жесткого диска также следует удалить папки RECYCLER, так как зачастую в этих папках остается рабочая копия данного вируса.

Устранение последствий вируса

Когда вы удалили папку RECYCLER и созданные им ярлыки, вам потребуется вернуть атрибуты для скрытых папок, которые присвоил им вирус. Тут кроется одна хитрость: через программу Проводник не удастся убрать атрибут «Скрытый» для скрытых вирусом папок. Все дело в том, что помимо атрибута «Скрытый», вирус присвоил еще один атрибут: - «Системный». Именно поэтому, Проводник не позволит убрать атрибут Скрытый» для требуемой папки.

Однако все эти атрибуты легко убираются любым файловым менеджером, например Total Commander или Double Commander.

В Total Commander атрибуты убираются следующим образом:

1. Откройте Total Commander (предварительно включив в Total Commander отображение системных файлов) и откройте в одной из панелей Total Commander корень вашей флешки;

2. Выберите меню «Файлы», а затем «Изменить атрибуты…»;

В программе Double Commander атрибуты убираются подобным образом:

1. Откройте Double Commander (предварительно включив в Double Commander отображение системных файлов) и откройте в одной из панелей Double Commander корень вашей флешки;

2. Выберите меню «Файлы», а затем «Изменить атрибуты»;

3. В открывшемся окне, уберите флажки напротив Архивный, Только для чтения, Скрытый и Системный, и после этого нажмите на кнопку «OK».

После этого, скрытые вирусом папки перестанут быть таковыми.

Альтернативный способ

Существует и другой способ снятия атрибутов, присвоенных папкам, рассматриваемым нами вирусом. Этот альтернативный способ заключается в запуске всего лишь одной команды «attrib», которая позволяет присваивать либо снимать атрибуты файлов и папок.

Сейчас мы не будем рассматривать весь синтаксис данной команды, так как это тема отдельной статьи – мы только создадим один простенький сценарий, точнее bat-файл со следующим содержимым:

attrib -S -H /D /S

Наберите или скопируйте эту строчку в Блокнот и сохраните под любым именем, но с расширением.bat. Стоит отметить, что сохранять этот файл надо на флешке, на которой требуется убрать атрибуты «Скрытый» и «Системный». Имя файла может быть примерно таким «NoHidden.bat », но обязательно с расширением.bat.

Убедитесь, что созданный вами файл находится в корне вашей флешки, после чего запустите его. После запуска нашего файла «NoHidden.bat », папки вновь станут видимыми.

Вывод

Вот такими нехитрыми манипуляциями мы удалили назойливый вирус не только на съемном носителе, но и на флешке. Помимо этого, мы узнали как можно снимать атрибуты «Скрытый» и «Системный» у папок.

Вирусов сегодня существует столько, что и не сосчитать. Некоторые из них могут быть достаточно опасными, в частности те, которые обосновываются на съемных устройствах, блокируя к ним доступ, а затем проникая и в саму операционную систему. Так, например, вирус Recycler на флешке в скрытом виде работает именно таким образом. Удалить его стандартными методами зачастую бывает невозможно. Далее рассмотрим, как же все-таки избавиться от этой угрозы, если она присутствует на USB-носителе. Основной упор сделаем на ручной метод, поскольку антивирусные защитные средства иногда нейтрализовать его не могут.

Угроза Recycler: что это?

Если рассматривать эту угрозу в смысле ее начального нахождения на USB-накопителях, сразу можно отметить, что первым признаком заражения является именно блокирование доступа к устройству. При использовании того же двойного клика система начинает выдавать сообщения о том, что произошла ошибка доступа.

Иногда файлы и папки, сохраненные на носителе, в могут отображаться, но при попытке их открытия или даже простого выделения выдается уведомление о том, что искомый объект не найден.

В автозагрузке системы и «Диспетчере задач» среди активных элементов появляются непонятные процессы вроде cbtww.exe или fpewkqk.exe, что в конце концов приводит к тому, что нагрузка на системные ресурсы возрастает неимоверно (даже система зачастую «слетает» полностью, а после этого требуется ее полная переустановка).

Иногда, правда, вирус может маскироваться и под процессы доверенных программ вроде Opera.exe или под системные процессы svchost.exe. В этом случае необходимо посмотреть на загрузку ЦП, а также установить расположение компонентов, отвечающих за эти процессы, через меню ПКМ, после чего завершить их, если окажется, что они вызывают сомнения.

Вот такой имеем вирус Recycler. Что это такое, хочется надеяться, немного понятно. Теперь перейдет к практическим шагам по избавлению системы от этой угрозы.

Как удалить вирус Recycler: предварительные действия

Поскольку угроза активируется как раз в момент попытки доступа к съемному носителю, устанавливая свои исполняемые элементы в вышеуказанные разделы системы, сначала нужно избавиться именно от них.

Для начала завершаем в «Диспетчере задач» все активные процессы, в которых вместо названия присутствует бессмысленный набор символов.

После этого необходимо войти в раздел автостарта и снять галочки со всех подозрительных служб. В Windows 10 вкладка автозагрузки находится непосредственно в «Диспетчере задач», а в версиях ниже она располагается в системном конфигураторе, который вызывается командой msconfig в меню «Выполнить». По завершении всех описанных действий систему в обязательном порядке следует перезагрузить.

Изменения атрибутов отображения файлов

Таков необычный вирус Recycler. Что это такое, разобрались. Теперь посмотрим, как от него избавиться целиком и полностью. Просто так найти компоненты угрозы на USB-носителях не получится, поскольку все они имеют атрибуты скрытых объектов.

Таким образом, сначала в «Проводнике» необходимо использовать меню вида, где указывается показ скрытых файлов и директорий. Однако радоваться еще рано. Да, компоненты вируса видны (папка RECYCLER и файл автоматического старта Autorun.inf), но удалить их просто так не получится, поскольку они имеют соответствующую защиту.

Ручное удаление компонентов вируса

Но как же тогда удалить все компоненты угрозы? Файл Recycler на устройстве может отсутствовать, а избавляться нужно только от основного каталога и компонента автостарта.

Тут можно воспользоваться стандартным «Блокнотом», вписать в него строку attrib -s -h/d/s и сохранить созданный документ под любым именем с ручной установкой расширения BAT. Теперь следует запустить этот файл. После старта появится окно командной консоли, которое после выполнения введенной в документе команды будет закрыто автоматически. И вот только теперь с флешки можно смело удалять вышеуказанные элементы.

Для упрощения выполняемых действий можно воспользоваться небольшой утилитой NexusFile в виде файлового менеджера, которая способна и показать компоненты вируса, и автоматически снять с них защиту. Для показа файлов и каталогов используется сочетание Alt + Z, а для полного удаления элементов вируса после их выделения - Shift + Ctrl + D.

Сканирование портативными инструментами

Вот вкратце и все, что касается вируса Recycler. Что это за угроза? Это весьма опасный апплет, который может воздействовать на систему самым критическим образом. Чтобы быть полностью уверенным в том, что угроза обезврежена, на всякий случай после проведения всех вышеописанных действий флешку стоит проверить какой-нибудь портативной программой-сканером наподобие Dr. Web CureIt!, хотя при желании можно воспользоваться ею еще на самой первой стадии. Однако, если не завершить все вирусные процессы хотя бы в том же «Диспетчере задач» и не отключить компоненты вируса в автостарте системы, рассчитывать на полное удаление приходится не всегда. Поэтому лучше использовать именно методику ручной нейтрализации. По крайней мере именно она гарантирует полное и безвозвратное удаление этой опасной угрозы раз и навсегда.