Расширение lnk как избавиться

Могу ли я удалить файлы LNK?

Опасны ли файлы LNK?

Некоторые вредоносные программы устанавливают вредоносные файлы LNK как часть своей полезной нагрузки. Вредные файлы LNK также часто распространяются на зараженных съемных дисках; в таких случаях вредоносные файлы, на которые они ссылаются, скрываются на съемном диске, а файл LNK виден.

Как удалить файлы .lnk?

lnk файл вредоносной программы:

1. В меню «Пуск» Windows нажмите «Выполнить».
2. В поле Открыть введите regedit и нажмите ОК. …
3. В меню Правка выберите Найти.
4. В диалоговом окне «Найти» введите Advanced Virus Remover (3). …
5. Щелкните правой кнопкой мыши имя параметра реестра и выберите в меню команду Удалить.
6. Нажмите Да в диалоговом окне Подтверждение удаления значения.

Что такое файлы .lnk?

Файл. lnk связано с классом файлов, известным как Shell Items. Эти файлы двоичного формата содержат информацию, которая может использоваться для доступа к другим объектам данных в оболочке Windows (графический интерфейс пользователя). Файлы ярлыков LNK — это один из типов элементов оболочки.

Как мне вернуть LNK к значениям по умолчанию?

перейдите к этому ключу: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer FileExts . lnk >> просто удалите ключи, выделенные желтым, как показано на фото ниже. и выйдите из системы и снова включите ..

LNK-файл — это вирус?

LNK, значит, на вашем компьютере может быть поврежден ключ реестра. … Ошибка расширения LNK может быть вызвана неудачным обновлением Windows, неисправным драйвером или, в некоторых редких случаях, компьютерным вирусом. LNK — это расширение файла ярлыка, используемого Microsoft Windows для указания на исполняемый файл. LNK означает LiNK.

Какая программа открывает .lnk файлы?

Открытие. lnk в Блокноте: просто перетащите их в окно Блокнота. Если вы откроете их через диалоговое окно «Открыть», Блокнот откроет исполняемый файл, на который указывает расширение.

Как мне изменить файл с LNK на EXE?

Как конвертировать LNK в EXE

1. Найдите папку, содержащую файл ярлыка LNK.
2. Щелкните правой кнопкой мыши файл LNK и выберите «Свойства». Выберите вкладку «Ярлык». …
3. Удалите кавычки вокруг текста и сотрите последнюю часть имени файла, содержащую расширение EXE. …
4. Нажмите клавишу Enter.

Как конвертировать файлы .INK?

Пять шагов для открытия файлов INK

1. Шаг 1. Дважды щелкните файл. Найдите значок файла INK и дважды щелкните его. …
2. Шаг 2: Найдите другую программу. …
3. Шаг 3. Проверьте тип файла. …
4. Шаг 4. Получите помощь от разработчика. …
5. Шаг 5. Найдите универсальный просмотрщик файлов.

Как я могу удалить ярлык вируса?

Как я могу удалить ярлык вируса с USB-накопителя?

1. Подключите внешний жесткий диск к ПК и щелкните правой кнопкой мыши «Пуск», выберите «Поиск».
2. Введите: Командная строка в поле поиска и нажмите «Командная строка», чтобы открыть ее.
3. Введите: E: и нажмите «Enter». …
4. Тип: del *. …
5. Введите: attrib -h — r -s / s / d E: *.

Где хранятся файлы LNK?

Атрибуты, связанные с целевым файлом (т.е. доступный только для чтения, скрытый, архивный и т. Д.). Файлы LNK — это профили пользователей, специфичные для каждого пользователя в системе. Файлы LNK, созданные Windows, хранятся в папке C: Users AppData Roaming Microsoft Windows Recent.

Как использовать файлы LNK?

Файл можно создать в Windows, щелкнув правой кнопкой мыши файл, папку или исполняемую программу и выбрав «Создать ярлык». Файлы LNK обычно используют тот же значок, что и их целевой файл, но добавляют небольшую изогнутую стрелку, чтобы указать, что файл указывает на другое местоположение.

Какие расширения файлов наиболее опасны?

Какие четыре самых опасных типа файлов?

1. Файлы ZIP и RAR. Киберпреступники любят прятать вредоносные программы в файлах. …
2. Документы Microsoft Office. Файлы Microsoft Office, все документы Word (DOC, DOCX), электронные таблицы Excel (XLS, XLSX, XLSM), презентации и шаблоны также очень популярны у киберпреступников. …
3. PDF-файлы. …
4. Образы дисков IMG и ISO.

Как мне вернуть свои ярлыки в нормальное состояние?

Начните с выбора значка, который вы хотите восстановить, из значков, отображаемых в окне «Настройки значков рабочего стола» — в нашем случае это ПК. Нажмите или коснитесь кнопки «Восстановить по умолчанию». Значок мгновенно возвращается к значению по умолчанию. После восстановления значка по умолчанию для ярлыка щелкните или коснитесь «ОК» или «Применить», чтобы сохранить изменения.

Как мне восстановить любое расширение файла или программу по умолчанию в исходное состояние?

Восстановление предыдущих версий файлов и папок (Windows)

1. Щелкните файл или папку правой кнопкой мыши и выберите «Восстановить предыдущие версии». …
2. Перед восстановлением предыдущей версии файла или папки выберите предыдущую версию, а затем нажмите кнопку «Открыть», чтобы просмотреть ее и убедиться, что это именно та версия, которую вы хотите. …
3. Чтобы восстановить предыдущую версию, выберите предыдущую версию и нажмите «Восстановить».

Что это за файл — LNK и как его открыть?

lnk — это файлы ярлыков Windows. Это просто указатели в Windows, указывающие на ваши исходные файлы. Dropbox не может переходить по этим ссылкам, поэтому вам нужно поместить исходные файлы в папку Dropbox, чтобы синхронизировать их.

Источник

Восстановление ассоциации файлов lnk и изменение ассоциаций файлов в Windows

Все программы в момент установки их в Windows прописывают в реестр свои ассоциации к файлам, с которыми они работают. Иногда при неграмотных действиях пользователя некоторые ассоциации могут изменится. Если добавить ассоциацию к ярлыкам, имеющим расширение .lnk, то программы с рабочего стола перестанут открываться. Разберемся почему так получается и как устранить.

Когда пользователь пытается открыть файл, который не имеет ассоциации, Windows предложит указать программу, с помощью которой можно это сделать. Но пользователь уверен, что ему по почте прислали именно документ в формате Word и пытается открыть файл программой Word.

В результате все файлы имеющие такое же расширение ассоциируются с этой программой.

Если в Windows появилась ассоциация ярлыков, то все ярлыки станут неработоспособными и программы с рабочего стола открываться не будут.

Восстановить ассоциацию файлов lnk можно через реестр путем удаления соответствующей записи.

Открываем окно «Выполнить» сочетанием клавиш «Win+R» и вводим команду «regedit»

В реестре переходим по ветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\

И удаляем раздел .lnk

После этого достаточно выйти из учетной записи пользователя и зайти обратно. Windows добавит в реестр правильный раздел .lnk и ярлыки будут нормально функционировать.

Изменить ассоциацию файла, неправильно сопоставленного какой-либо программе, можно без вмешательства в реестр.

Изменение ассоциации файла программе настраивается через элемент Панели управления «Программы по-умолчанию».

Для этого откроем панель управления «Пуск / Панель управления» и выберем элемент «Программы по умолчанию»

Выбираем пункт «Сопоставление типов файлов или протоколов конкретным программам»

Выбираем расширение файла, для которого необходимо изменить ассоциацию, и нажимаем кнопку «Изменить программу»

Указываем программу, при помощи которой необходимо открывать данный файл.

3 thoughts on “ Восстановление ассоциации файлов lnk и изменение ассоциаций файлов в Windows ”

Сколько мучался, наверно лет 6 с этой проблемой, но так как не особо мешала, не исправлял, а тут понадобилось и бац. Все помог способ с редактированием реестра. Спасибо за инструкцию

4ет у меня не полу4илось хоть удалил лнк! как и пишет комьютер и тд лнк ! по4ти на всех програмах так пишет и иконки не открываются и измененные

Может вирус подхватил. Попробуй просканировать антивирусом.

Источник

Токсичные ярлыки в Windows: старый артефакт, не забытый хакерами, но частично забытый криминалистами

В одной из прошлых статей мы рассказывали о таком криминалистическом артефакте, как Windows 10 Timeline, об утилитах для его анализа и о том, какие сведения из него можно извлечь при расследовании инцидентов. Сегодня мы поговорим о ярлыках Windows. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, в каких атаках они используются и как детектировать подобные файлы.

LNK-файлы (ярлыки windows, shortcut files) — служебные файлы, которые, как правило, автоматически создаются операционной системой Windows, когда пользователь открывает файлы. Windows использует их для быстрого доступа к конкретному файлу. Также часть LNK-файлов может быть вручную создана пользователем, например, для удобства работы.

Ярлыки на рабочем столе:

Расположение LNK-файлов

Для операционных систем Windows 7—Windows 10	C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Recent
Для операционной системы Windows XP	C:\Documents and Settings\%User profile%\Recent

Однако существует множество иных мест, где исследователь может найти LNK-файлы:

• на рабочем столе (обычно такие ярлыки создают пользователи для быстрого доступа к документам и приложениям);
• для документов, открываемых в Microsoft Office, LNK-файлы находятся по пути: C:\Users\%User profile%\AppData\Roaming\Microsoft\Office\Recent\ (для операционных систем Windows 7—Windows 10);
• иногда вместо документов пользователи пересылают ярлыки по электронной почте, и, соответственно, получатели их скачивают. Поэтому третье место, где встречаются ярлыки, — каталог C:\Users\%User profile%\Downloads (для операционных систем Windows 7—Windows 10);
• в каталоге Startup
• и т.д.

Ярлыки в каталоге Recent:

Содержимое ярлыков

До того, как Microsoft опубликовала информацию о формате LNK-файлов [1], исследователи предпринимали попытки самостоятельно описать этот формат [2, 3]. Сложность исследований заключалась в том, что разные ярлыки содержат разные сведения. И при переходе от ярлыка к ярлыку может меняться количество содержащихся в нем сведений о конкретном файле. Кроме того, в Windows 10 в LNK-файлах появились новые поля, которых не было в предыдущих версиях операционной системы.

Итак, какую же информацию содержит LNK-файл? Belkasoft Evidence Center отображает три секции с информацией об LNK-файле: Метаданные, Происхождение и Файл.

Наиболее важные из сведений, представленных в секции Метаданные:

• исходный путь файла и его временные метки (полный путь, время доступа к целевому файлу (UTC), время создания целевого файла (UTC), время изменения целевого файла (UTC)).
• тип привода;
• серийный номер тома (серийный номер привода);
• метка тома;
• NetBIOS-имя устройства;
• размер целевого файла (байт) — размер файла, с которым ассоциирован ярлык.

На скриншоте выше есть поля Droid файла и Оригинальный Droid файла. DROID (Digital Record Object Identification) — индивидуальный профиль файла. Эта структура (droid файла) может использоваться службой отслеживания ссылок (Link Tracking Service), чтобы определить, был ли файл скопирован или перемещен.

В секции Файл дан MAC-адрес устройства, на котором был создан ярлык. Эта информация может помочь идентифицировать устройство, на котором данный файл был создан.

Следует отметить, что MAC-адрес устройства, зафиксированный в LNK-файле, может отличаться от реального. Поэтому этот параметр иногда не является достоверным.

При проведении исследований следует обращать внимание на временные метки LNK-файла, так как время его создания, как правило, соответствует либо времени создания этого файла пользователем, либо времени первого обращения к файлу, ассоциированного с данным ярлыком. Время изменения файла обычно соответствует времени последнего обращения к файлу, с которым ассоциирован ярлык.

Восстановление LNK-файлов

В каталоге Recent, который описан выше, находится до 149 LNK-файлов. Что же делать, когда нужный нам ярлык удален? Конечно же, нужно попробовать восстановить его! Восстановление LNK-файлов можно произвести с использованием сигнатуры заголовка файла hex:4C 00 00 00.

Чтобы задать заголовок файла, нужно пройти в меню программы: Инструменты — Настройки, перейти во вкладку Карвинг, нажать кнопку Добавить и создать новую сигнатуру. Более подробно о методах карвинга с помощью Belkasoft Evidence Center можно прочитать в статье «Carving and its Implementations in Digital Forensics» [4].

Добавление пользовательской сигнатуры (header):

Использование LNK-файлов атакующими в инцидентах информационной безопасности

На каждом Windows-компьютере могут находиться сотни и тысячи ярлыков. Поэтому найти ярлык, использованный атакующими для компрометации компьютера, часто не проще, чем иголку в стоге сена.

Компрометация атакуемой системы

Более 90% вредоносных программ распространяются через электронную почту. Как правило, вредоносные электронные письма содержат либо ссылку на сетевой ресурс, либо специальным образом подготовленный документ, при открытии которого в компьютер пользователя загружаются вредоносные программы. Также в хакерских атаках часто применяются LNK-файлы.

Секция Метаданные вредоносного LNK-файла:

Как правило, подобный LNK-файл содержит PowerShell-код, который исполняется при попытке открытия пользователем присланного ему ярлыка. Как видно на скриншоте выше, такие ярлыки можно легко обнаружить с помощью Belkasoft Evidence Center: в метаданных присутствует путь до исполняемого powershell.exe. В поле Аргументы приведены аргументы команды PowerShell и закодированная полезная нагрузка.

Закрепление в скомпрометированной системе

Один из методов использования LNK-файлов в хакерских атаках — закрепление в скомпрометированной системе. Чтобы «вредонос» запускался каждый раз при запуске операционной системы, можно сделать LNK-файл со ссылкой на исполняемый файл вредоносной программы (или, например, на файл, содержащий код загрузчика) и поместить ярлык по адресу C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Тогда при старте операционной системы будет происходить запуск «вредоноса». Такие ярлыки можно найти во вкладке Файловая система программы Belkasoft Evidence Center.

Ярлык PhonerLite.lnk, находящийся в автозагрузке:

Исследование LNK-файлов

LNK-файлы — это криминалистический артефакт, который анализировался криминалистами еще при исследовании древних версий операционной системы Windows. Поэтому, в той или иной мере, анализ этих файлов поддерживают практически все программы для криминалистического анализа. Однако по мере эволюции Windows эволюционировали и файлы ярлыков. Сейчас в них есть поля, отображение которых ранее считалось нецелесообразным, и, соответственно, часть криминалистических программ не отображает эти поля. При этом анализ содержимого данных полей актуален при расследовании инцидентов информационной безопасности и хакерских атак.

Для исследования LNK-файлов мы рекомендуем использовать Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (Eric Zimmerman’s tools). Эти программы позволяют быстро проанализировать все файлы ярлыков, находящиеся на исследуемом компьютере, и вычленить те, которые нужно проанализировать более тщательно.

Исследование LNK-файлов с помощью Belkasoft Evidence Center

Так как фактически все примеры, данные выше, подготовлены с помощью Belkasoft Evidence Center, описывать ее дополнительно нет смысла.

Исследование LNK-файлов с помощью AXIOM

AXIOM — одна из топовых утилит для компьютерной криминалистики в настоящее время. Собранная программой информация о файлах ярлыков, находящихся в исследуемой системе Windows, сгруппирована в разделе Operating system:

Значение полей, отображаемое для конкретного ярлыка:

Как видно из скриншота выше, в обнаруженный программой ярлык интегрирована команда для запуска PowerShell и набор инструкций, которые исполнятся, когда пользователь кликнет на ярлык. Подобный ярлык требует от исследователя дополнительного анализа.

Исследование LNK-файлов с помощью LECmd

Комплект утилит «Eric Zimmerman’s tools» хорошо зарекомендовал себя при расследовании инцидентов. В этот комплект входит утилита командной строки LECmd, которая предназначена для анализа LNK-файлов.

Объем данных об анализируемом LNK-файле, которые выводит эта утилита, просто поражает.

Информация, извлеченная из анализируемого LNK-файла утилитой LECmd:

Выводы

LNK-файлы — один из старейших артефактов Windows, который известен компьютерным криминалистам. Тем не менее, он используется в хакерских атаках, и о его исследовании не стоит забывать при расследовании инцидентов информационной безопасности.

Огромное число программ для компьютерной криминалистики поддерживают, в той или иной степени, анализ этого артефакта Windows. Однако не все из них отображают содержимое полей ярлыков, анализ которых необходим при расследовании. Поэтому стоит аккуратно подходить к выбору программных инструментов, которые попадут в набор специалиста, расследующего инциденты.

Источник