Файлы формата Ink
А в Безопасном режиме проблема остаётся?
Если эта проблема только с файлами на рабочем столе и в Пуске, то зайдите в Мой компьютер (он должен открываться, так как не ярлык) и в папке C:\WINDOWS\system32\Restore запустите файл Восстановления системы rstrui.exe.
Если мой компьютер не открывается, то до Восстановления системы можно добраться через Выполнить. Запустите в меню пуск Выполнить и пропишите туда restore. Нажмите Enter.
Если и у файла rstrue расширение lnk, то поменять расширение можно таким способом:
создайте архив WinRAR, перетащите туда файл rstrui. Откройте WinRAR. Поменяйте расширение файла restore.lnk на exe. Закройте WinRAR. Извлеките из архива файлы, то есть файл restore. Теперь он должен быть с правильным расширением. Запустите Восстановление системы.
Правда, я не уверен, что Восстановление системы вам поможет^^
Но для начала попробуйте это.
нечего делать и не надо это пустышка крохотного размера,
на подобии ссылки интернета. Файл сам переделаться на
ссылку этого же файла не может. Посмотри «свойства»—
«найти объект»,существует ли файл на который ссылается
Ярлык. Удачи!
lnk это ярлык.
Возможно, кто-то пошутил или вы поймали вирус.
Вам может помочь программа file recovery, но будет много проблем.
Просто каким-то образом в реестре параметры изменились. Когда запускаешь ярлык, Windows смотрит в реестре как его нужно открывать, видимо там прописано, чтобы ярлыки открывались через программу Adobe reader.
Это лечится просто
Нажимаешь Win+R и вводишь команду: (она удаляет инфо как должны открываться ярлыки)
reg.exe delete HKEY_CLASSES_ROOT\.lnk /f
Потом восстанавливаем настройки по умолчанию, вводим ещё одну команду:
reg.exe add HKEY_CLASSES_ROOT\.lnk\ShellEx\ContextMenuHandlers\ <00021401-0000-0000-C000-000000000046>/f
Готово!
Если появилась проблема с отображением иконок ярлыков, то выполняем ещё одну команду:
reg.exe add HKEY_CLASSES_ROOT\.lnk\ShellEx\IconHandler /ve /t REG_SZ /d <00021401-0000-0000-C000-000000000046>/f
После перезагрузки должно встать всё на место
Расширение lnk как убрать
Когда пользователь пытается открыть файл, который не имеет ассоциации, Windows предложит указать программу, с помощью которой можно это сделать. Но пользователь уверен, что ему по почте прислали именно документ в формате Word и пытается открыть файл программой Word.
В результате все файлы имеющие такое же расширение ассоциируются с этой программой.
Если в Windows появилась ассоциация ярлыков, то все ярлыки станут неработоспособными и программы с рабочего стола открываться не будут.
Восстановить ассоциацию файлов lnk можно через реестр путем удаления соответствующей записи.
Открываем окно «Выполнить» сочетанием клавиш «Win+R» и вводим команду «regedit»
В реестре переходим по ветке:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts
Изменить ассоциацию файла, неправильно сопоставленного какой-либо программе, можно без вмешательства в реестр.
Изменение ассоциации файла программе настраивается через элемент Панели управления «Программы по-умолчанию».
Для этого откроем панель управления «Пуск / Панель управления» и выберем элемент «Программы по умолчанию»
Выбираем пункт «Сопоставление типов файлов или протоколов конкретным программам»
Выбираем расширение файла, для которого необходимо изменить ассоциацию, и нажимаем кнопку «Изменить программу»
Указываем программу, при помощи которой необходимо открывать данный файл.
Исправить данную ситуацию поможет правка системного реестра. Открыть реестр можно следующим способом: через горячую клавишу Win + R, запустить окно «Выполнить», либо кто не умеет пользоваться горячими кнопками, то через меню «Пуск»->»Выполнить». В открывшемся окне ввести regedit и нажать ОК.
Далее в окне навигации по реестру идем по следующему пути: КомпьютерHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.lnkOpenWithList и ищем раздел UserChoice. Удалите его со всем содержимым и перезагрузите компьютер.
Здравствуйте, друзья. Хакеры постоянно придумывают новые способы потрепать нервы пользователей ПК. Но если вооружиться знаниями, то можно смело противостоять даже самым опасным угрозам. Сегодня я поделюсь с Вами способами, как удалить вирус LNK. Возможно, Вы слышите его название впервые, но, уверен, что сталкиваться с ним уже приходилось.
Суть проблемы
У этого «троянского коня» есть множество разновидностей: от самых безобидных (наподобие LNK/Agent) до серьезных шпионских скриптов, которые способны глубоко укореняться в системе и воровать Ваши данные.
Первый признак того, что вирус поразил файлы – это появление ярлыков вместо ранее существовавших папок. Стоит только запустить их, и угроза начнет распространяться по компьютеру. Последствия могут быть разными:
Согласитесь, вырисовываются не очень приятные перспективы.
Как бороться с вирусом, создающим ярлыки?
Если «троян» не успел распространиться, то есть, он был вовремя выявлен, и были предприняты меры по его устранению, то уровень угрозы можно считать минимальным. Удалить вирус будет просто. Но чаще всего пользователи начинают кликать по ярлыкам множество раз, способствуя «размножению» вредных элементов.
Хорошо, когда на ПК установлен качественный антивирус, который сможет выявить и устранить LNK Starter самостоятельно. Увы, многие «юзеры» пренебрегают использованием защитного ПО.
Перейдем к рассмотрению методов устранения проблемы. Начнем с универсальных (в этой ситуации) способов.
Полезный контент:
Используем встроенные средства
Для начала стоит сделать все скрытые элементы файловой системы видимыми. Делается это так:
Необходимо разобраться с восстановлением папок. Для этого придется изменить атрибуты, которые установил вирус. Делается это просто:
cd /d БУКВА_ЗАРАЖЕННОГО_ДИСКА:
Здесь может находится скрытая папка вируса, которую необходимо зачистить.
Используем сторонние программы
Если не используете антивирусное ПО на постоянной основе, то лучшим способом устранения «троянов» станет утилита DrWeb Cure It! Она постоянно обновляется и может обезвредить самые новые угрозы, в том числе и jenxcus.
Немного о Дженксус
Jenxcus-h Trj – именно так отображается опасный «троян» в результатах поиска антивирусной программы. Возможны разновидности: VBS (указывает, что скрипт создан на языке Visual Basic), Jenxcus.A и другие. Но суть от этого не меняется.
Данный вредоносный скрипт может попасть на компьютер разными способами: при открытии подозрительного e-mail, распаковке архива, установке неблагонадёжного софта. Вы можете даже не подозревать о заражении. Но с каждой последующей загрузкой Windows троян будет поражать всё больше областей диска. Но самым страшным является то, что «захваченные территории» становятся доступны для хакеров, которые удаленно смогут «шпионить» за Вами, воровать важные данные и т.д.
Обнаружить Дженксус очень непросто. Если его не перехватить в самом начале, то дальше данная проблема может приобрести необратимый характер. И спасёт только форматирование с последующей переустановкой системы.
Выводы
Надеюсь, статья помогла избавиться от вирусов, если нет, то жду ответов в комментариях будем разбираться с проблемой вместе. Нашли другой способ удаления, так же пишите мне буду добавлять сюда. Не забываем делиться в социальных сетях, помогите другим не заразиться или вылечиться от данного вируса.
Восстановление ассоциации файлов lnk и изменение ассоциаций файлов в Windows
Когда пользователь пытается открыть файл, который не имеет ассоциации, Windows предложит указать программу, с помощью которой можно это сделать. Но пользователь уверен, что ему по почте прислали именно документ в формате Word и пытается открыть файл программой Word.
В результате все файлы имеющие такое же расширение ассоциируются с этой программой.
Если в Windows появилась ассоциация ярлыков, то все ярлыки станут неработоспособными и программы с рабочего стола открываться не будут.
Восстановить ассоциацию файлов lnk можно через реестр путем удаления соответствующей записи.
Открываем окно «Выполнить» сочетанием клавиш «Win+R» и вводим команду «regedit»
В реестре переходим по ветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
Изменить ассоциацию файла, неправильно сопоставленного какой-либо программе, можно без вмешательства в реестр.
Изменение ассоциации файла программе настраивается через элемент Панели управления «Программы по-умолчанию».
Для этого откроем панель управления «Пуск / Панель управления» и выберем элемент «Программы по умолчанию»
Выбираем пункт «Сопоставление типов файлов или протоколов конкретным программам»
Выбираем расширение файла, для которого необходимо изменить ассоциацию, и нажимаем кнопку «Изменить программу»
Указываем программу, при помощи которой необходимо открывать данный файл.
5 thoughts on “ Восстановление ассоциации файлов lnk и изменение ассоциаций файлов в Windows ”
Сколько мучался, наверно лет 6 с этой проблемой, но так как не особо мешала, не исправлял, а тут понадобилось и бац. Все помог способ с редактированием реестра. Спасибо за инструкцию
Может вирус подхватил. Попробуй просканировать антивирусом.
А если при попытке открыть реестр открывается как просмотр фотографий? То есть эта ерундовина затронула даже файл «regedit»?
Такое тоже возможно. Попробуйте воспользоваться сторонней программой для редактирования реестра.
Токсичные ярлыки в Windows: старый артефакт, не забытый хакерами, но частично забытый криминалистами
В одной из прошлых статей мы рассказывали о таком криминалистическом артефакте, как Windows 10 Timeline, об утилитах для его анализа и о том, какие сведения из него можно извлечь при расследовании инцидентов. Сегодня мы поговорим о ярлыках Windows. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, в каких атаках они используются и как детектировать подобные файлы.
LNK-файлы (ярлыки windows, shortcut files) — служебные файлы, которые, как правило, автоматически создаются операционной системой Windows, когда пользователь открывает файлы. Windows использует их для быстрого доступа к конкретному файлу. Также часть LNK-файлов может быть вручную создана пользователем, например, для удобства работы.
Ярлыки на рабочем столе:
Расположение LNK-файлов
| Для операционных систем Windows 7—Windows 10 | C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Recent |
| Для операционной системы Windows XP | C:\Documents and Settings\%User profile%\Recent |
Однако существует множество иных мест, где исследователь может найти LNK-файлы:
Содержимое ярлыков
До того, как Microsoft опубликовала информацию о формате LNK-файлов [1], исследователи предпринимали попытки самостоятельно описать этот формат [2, 3]. Сложность исследований заключалась в том, что разные ярлыки содержат разные сведения. И при переходе от ярлыка к ярлыку может меняться количество содержащихся в нем сведений о конкретном файле. Кроме того, в Windows 10 в LNK-файлах появились новые поля, которых не было в предыдущих версиях операционной системы.
Итак, какую же информацию содержит LNK-файл? Belkasoft Evidence Center отображает три секции с информацией об LNK-файле: Метаданные, Происхождение и Файл.
Наиболее важные из сведений, представленных в секции Метаданные:
В секции Файл дан MAC-адрес устройства, на котором был создан ярлык. Эта информация может помочь идентифицировать устройство, на котором данный файл был создан.
Следует отметить, что MAC-адрес устройства, зафиксированный в LNK-файле, может отличаться от реального. Поэтому этот параметр иногда не является достоверным.
При проведении исследований следует обращать внимание на временные метки LNK-файла, так как время его создания, как правило, соответствует либо времени создания этого файла пользователем, либо времени первого обращения к файлу, ассоциированного с данным ярлыком. Время изменения файла обычно соответствует времени последнего обращения к файлу, с которым ассоциирован ярлык.
Восстановление LNK-файлов
В каталоге Recent, который описан выше, находится до 149 LNK-файлов. Что же делать, когда нужный нам ярлык удален? Конечно же, нужно попробовать восстановить его! Восстановление LNK-файлов можно произвести с использованием сигнатуры заголовка файла hex:4C 00 00 00.
Чтобы задать заголовок файла, нужно пройти в меню программы: Инструменты — Настройки, перейти во вкладку Карвинг, нажать кнопку Добавить и создать новую сигнатуру. Более подробно о методах карвинга с помощью Belkasoft Evidence Center можно прочитать в статье «Carving and its Implementations in Digital Forensics» [4].
Добавление пользовательской сигнатуры (header):
Использование LNK-файлов атакующими в инцидентах информационной безопасности
На каждом Windows-компьютере могут находиться сотни и тысячи ярлыков. Поэтому найти ярлык, использованный атакующими для компрометации компьютера, часто не проще, чем иголку в стоге сена.
Компрометация атакуемой системы
Более 90% вредоносных программ распространяются через электронную почту. Как правило, вредоносные электронные письма содержат либо ссылку на сетевой ресурс, либо специальным образом подготовленный документ, при открытии которого в компьютер пользователя загружаются вредоносные программы. Также в хакерских атаках часто применяются LNK-файлы.
Секция Метаданные вредоносного LNK-файла:
Как правило, подобный LNK-файл содержит PowerShell-код, который исполняется при попытке открытия пользователем присланного ему ярлыка. Как видно на скриншоте выше, такие ярлыки можно легко обнаружить с помощью Belkasoft Evidence Center: в метаданных присутствует путь до исполняемого powershell.exe. В поле Аргументы приведены аргументы команды PowerShell и закодированная полезная нагрузка.
Закрепление в скомпрометированной системе
Один из методов использования LNK-файлов в хакерских атаках — закрепление в скомпрометированной системе. Чтобы «вредонос» запускался каждый раз при запуске операционной системы, можно сделать LNK-файл со ссылкой на исполняемый файл вредоносной программы (или, например, на файл, содержащий код загрузчика) и поместить ярлык по адресу C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Тогда при старте операционной системы будет происходить запуск «вредоноса». Такие ярлыки можно найти во вкладке Файловая система программы Belkasoft Evidence Center.
Ярлык PhonerLite.lnk, находящийся в автозагрузке:
Исследование LNK-файлов
LNK-файлы — это криминалистический артефакт, который анализировался криминалистами еще при исследовании древних версий операционной системы Windows. Поэтому, в той или иной мере, анализ этих файлов поддерживают практически все программы для криминалистического анализа. Однако по мере эволюции Windows эволюционировали и файлы ярлыков. Сейчас в них есть поля, отображение которых ранее считалось нецелесообразным, и, соответственно, часть криминалистических программ не отображает эти поля. При этом анализ содержимого данных полей актуален при расследовании инцидентов информационной безопасности и хакерских атак.
Для исследования LNK-файлов мы рекомендуем использовать Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (Eric Zimmerman’s tools). Эти программы позволяют быстро проанализировать все файлы ярлыков, находящиеся на исследуемом компьютере, и вычленить те, которые нужно проанализировать более тщательно.
Исследование LNK-файлов с помощью Belkasoft Evidence Center
Так как фактически все примеры, данные выше, подготовлены с помощью Belkasoft Evidence Center, описывать ее дополнительно нет смысла.
Исследование LNK-файлов с помощью AXIOM
AXIOM — одна из топовых утилит для компьютерной криминалистики в настоящее время. Собранная программой информация о файлах ярлыков, находящихся в исследуемой системе Windows, сгруппирована в разделе Operating system:
Значение полей, отображаемое для конкретного ярлыка:
Как видно из скриншота выше, в обнаруженный программой ярлык интегрирована команда для запуска PowerShell и набор инструкций, которые исполнятся, когда пользователь кликнет на ярлык. Подобный ярлык требует от исследователя дополнительного анализа.
Исследование LNK-файлов с помощью LECmd
Комплект утилит «Eric Zimmerman’s tools» хорошо зарекомендовал себя при расследовании инцидентов. В этот комплект входит утилита командной строки LECmd, которая предназначена для анализа LNK-файлов.
Объем данных об анализируемом LNK-файле, которые выводит эта утилита, просто поражает.
Информация, извлеченная из анализируемого LNK-файла утилитой LECmd:
Выводы
LNK-файлы — один из старейших артефактов Windows, который известен компьютерным криминалистам. Тем не менее, он используется в хакерских атаках, и о его исследовании не стоит забывать при расследовании инцидентов информационной безопасности.
Огромное число программ для компьютерной криминалистики поддерживают, в той или иной степени, анализ этого артефакта Windows. Однако не все из них отображают содержимое полей ярлыков, анализ которых необходим при расследовании. Поэтому стоит аккуратно подходить к выбору программных инструментов, которые попадут в набор специалиста, расследующего инциденты.
Расширение ink как избавиться
Данное расширение указывает на то что это ярлык. ярлыки создаются на рабочем столе для быстрого запуска программ, находящихся в «неудобных» местах
Какое было расширение до этого?
tolia1936m, Упорядочить → Представление → Строка меню (появится строка Вид, Правка. ) → Там идем: Сервис → Свойства папки → Вид → Отмечаем Скрывать расширения для зарегистрированных типов файлов → ОК
после этого должны исчезнуть
Данное расширение указывает на то что это ярлык. ярлыки создаются на рабочем столе для быстрого запуска программ, находящихся в «неудобных» местах
Какое было расширение до этого?
дошел до»скрывать разрешение зарегистрированных типов файлов» там стояла галочка. Как отметить эту запись?
«отмечаем»-ставим галочку? Она там была. Или что другое?
