Ярлыки вместо файлов на флешке, как решить

Содержание

На флешке вместо папок ярлыки – что делать?

Ярлыки вместо файлов на флешке, как решить

При попытке загрузки информации с флеш-памяти, иногда обнаруживается, что на флешке вместо папок ярлыки. При этом эти ярлыки занимают столько же места на съемном носителе, сколько и обычные папки с информацией.

Становится понятно, что информация с флеш-карты никуда не пропала, просто вирус сделал ее недосягаемой для пользователя. А пользователь видит на своей флеш-карте вместо папок ярлыки.

Как исправить данную ситуацию, что вызывает такую проблему, как нужно и не нужно поступать пользователю в этой ситуации?

Профилактика проблемы

Естественно, чтобы избежать заражения собственного компьютера и флеш-карты, следует не писать на съемный носитель файлы и папки из подозрительных источников. Все новые файлы следует сканировать антивирусной утилитой.

Но если, несмотря на все предосторожности, на флешке появились ярлыки вместо папок – пользователь может себя поздравить. Съемный носитель заражен одним из вирусов – трояном. Юзер лихорадочно пытается открыть исчезнувшие папки, кликая на ярлыки. Вот открывать подозрительные ярлыки на флешке как раз и не стоит.

Дело в том, что эти иконки скрывают в себе не одну программу, а две. Одна из них запускает файл, который был первоначально записан, а вторая – вредоносная программа, запускающая вирус с зараженного внешнего устройства в ПК пользователя. Именно это ПО предлагает пользователю вместо папок ярлыки.

Что делать в такой ситуации? Порядок действий описан ниже.

Отключаем автозапуск

Чтобы уберечь от заражения вирусами ваш компьютер и избежать проблем, связанных с превращением папок в ярлыки на флешке, в порядке профилактики требуется сканировать антивирусной программой все внешние носители, подключаемые к ПК.

По умолчанию, все внешние устройства запускаются на компьютере или ноутбуке в режиме автозапуска, и пользователь попросту не успевает «просветить» подозрительную флешку. А когда появляются на флешке вместо папок ярлыки, сканировать зараженный компьютер уже поздно.

Поэтому, если к компьютеру или ноутбуку часто подключаются внешние носители информации, функцию автозапуска следует отключить, чтобы предотвратить заражение компьютера.

Заблокировать функцию автозапуска в операционной системе Windows можно способом, описанным ниже.

Заходим в меню «Пуск», затем – «Панель управления», ищем опцию «Автозапуск». Снимаем галочку с функции «Использовать автозапуск для всех устройств и носителей».

После этого при подключении внешнего накопителя операционная система будет спрашивать разрешения запустить его. В этом случае пользователь всегда может перед запуском просканировать антивирусной программой внешние устройства и избежать заражения собственного персонального компьютера.

Если же вирус уже работает и пользователь наблюдает на флешке вместо папок ярлыки, то требуется провести комплекс работ по удалению вредоносных программ и восстановлению собственных файлов и папок. Эта работа выполняется в несколько этапов.

Отображение скрытых папок и файлов

Если у вас на компьютере стоит ОС Windows XP, то, чтобы попасть на нужную опцию, требуется пройти такой путь:

«Пуск» – «Мой компьютер» – «Меню» – «Сервис» – «Свойства папки» – «Вкладка» – «Вид». Открывшаяся вкладка «Вид» предлагает два параметра, с которыми нужно выполнить такие действия:

  • Параметр «Скрывать защищенные сист. файлы (рекомендуется)» – нужно снять галочку.
  • Параметр «Показывать скрытые папки и файлы» – согласиться с показом скрытых папок и файлов.

Если установлена операционная система Windows 7, нужные опции находим таким путем:

«Пуск» – «Панель управления» – «Оформление» – «Персонализация» – «Параметры папок» – «Вкладка» – «Вид».

После этого все скрытые и системные файлы станут видны пользователю.

Анализ файлов и папок на флешке

Теперь нужно перейти в меню флеш-карты и сделать полный анализ всех скрытых файлов, хранящихся на съемном носителе. Для этого заходим в свойствах каждого ярлыка в опцию «Объект».

Обычно все имеющиеся ярлыки, вместо папок появившиеся на флешке, осуществляют запуск одной и той же программы. Для того чтобы обезвредить вирус, нужно выяснить, в какой из папок находится вредоносный код.

Строка исполняемого кода выглядит примерно так:

Как видно, в папке RECYCLER содержатся посторонние файлы – вирусы, которые ответственны за то, что на флешке вместо папок – ярлыки. Папку RECYCLER на съемном носителе нужно будет удалить.

После удаления запуск ярлыков уже не будет представлять опасности для операционной системы пользователя.

Для окончательной проверки удаления вируса, который вызывает ярлыки на флешке, нужно сделать вот что.

Для операционной системы Win7 путь будет следующим:

  • C:\ user\имя пользователя \appdata\roaming\.

Для ОС Win XP следует выбрать такой путь:

  • C:\document&setting\имя пользователя\ local setting\ application data\.

Иногда по указанному пути обнаруживается файл с расширением .ехе. Это приложение и представляет собой искомый вирус. Ярлыки вместо папок появляются именно из-за него. Поэтому все приложения с этим расширением, найденные по указанному пути, следует удалить.

Лечение флешки

После того как будет удалена вредоносная программа, предлагающая пользователю ярлыки вместо папок, лечение флешки следует провести одним из нижеприведенных способов.

Ведь папки, сохраненные на съемном носителе, по-прежнему остаются невидимыми, и пользоваться ими пока невозможно. Сначала нужно удалить все ярлыки, сохраненные в папке. Они не несут уже никакой полезной информации, поэтому их можно удалить с флешки совершенно безболезненно.

Информация, сохраненная в папках, на флешке осталась. Извлечь ее можно нижеперечисленными способами.

Способ, использующий командную строку

Открываем командную строку. Для этого нажимаем «Пуск». В открывшейся строке поиска набираем сочетание букв cmd и нажимаем Enter. В окне, которое открывается на мониторе, следует ввести такую команду:

В этом выражении f обозначает флешку с файлами. Если в вашем случае флеш-память обозначается другой латинской буквой, следует ввести в строку именно ее.

Затем нажимаем Enter и далее вводим следующую команду:

и нажимаем Enter.

После выполнения данной команды атрибуты будут сброшены, и папки появятся в области видимости пользователя.

Способ, использующий текстовый файл

Заходим через «Мой компьютер» в наш съемный носитель информации, кликаем на пустое пространство правой клавишей мыши. Через опцию «Создать» рождаем текстовый документ с расширением *.txt. Назовем файл, например, 123. Открываем созданный файл и прописываем в нем такую строку:

Затем текстовый файл нужно закрыть, а изменения в нем – сохранить. Следующим шагом нужно переименовать расширение файла: вместо *.txt нужно сделать *.bat. К примеру, файл можно назвать 123.bat. После переименования кликаем на этот файл два раза мышкой.

Появляется пустое черное окно, как при вызове командной строки. Теперь нужно подождать, пока файл выполнит свою работу. Время зависит от того, сколько информации было на флешке. Для полностью загруженной флешки объемом 8 Гб понадобилось пятнадцать минут, чтобы информация полностью восстановилась.

После того как файлик выполнит свою работу, черное окно исчезнет само.

После этой процедуры на флеш-карте появляются все нужные файлы, ранее исчезнувшие папки пользователя. Внимательно просмотрев содержимое флешки, можно заметить, что в меню появилась еще одна дополнительная папка. Чаще всего она называется RECYCLER. Эта новая папка содержит тот самый вирус, который превратил данные с флешки в ярлыки. Естественно, папку следует немедленно удалить.

Что делать после восстановления данных

После того как данные на флеш-карте восстановятся, следует перенести их на свой компьютер или ноутбук. Это делается для того, чтобы закончить лечение флеш-карты и окончательно исключить возможность повреждения или заражения файлов. Для этого опытные пользователи рекомендуют отформатировать флешку. Сделать это можно одним из нижеперечисленных способов.

Способы форматирования флеш-карт

  • Способ первый. Заходим в «Мой компьютер», наводим курсор на флешку, нажимаем на правую клавишу мышки и в представленном меню находим опцию «Форматировать». Этот способ – самый быстрый и удобный.
  • Способ второй. Использовать специальные утилиты для форматирования внешних носителей информации. Одной из самых популярных бесплатных утилит является HP USB Disk Format Tool. Интерфейс программы очень простой, порядок действий понятен даже самым неопытным пользователям.
  • Третий способ подразумевает форматирование флешки при помощи командной строки. Для этого нажимаем «Пуск», потом «Выполнить».

В открывшейся строке следует набрать сочетание букв CMD и нажать Enter.

После этого открывается командная строка, в которой следует набрать такую команду:

  • Convert f : /fs:ntfs /nosecurity /x.

Первая f обозначает букву флеш-накопителя. Если в вашем случае флешка обозначается другой литерой, следует поставить перед двоеточием именно ее. После выполнения команды ваш накопитель будет отформатирован и преобразован в NTFS.

Отформатировав флешку, можно заново перенести на нее нужные данные. На будущее, конечно, следует записывать на съемный носитель только проверенные данные, предварительно проверив файлы антивирусной программой, не давать флеш-карту посторонним людям и самостоятельно следить за здоровьем собственного персонального компьютера или ноутбука.

Источник: http://fb.ru/article/171130/na-fleshke-vmesto-papok-yarlyiki---chto-delat

На флешке ярлыки вместо папок, что делать?

Ярлыки вместо файлов на флешке, как решить

Данная неприятная ситуация достаточно распространена нынче. От переносных носителей отбоя нет. А люди не сильно заморачиваются насчет антивирусов. Идеальные условия для маленького, но очень неприятного вируса.

Действительно, ведь если кто-то увидит на флешке ярлыки вместо папок, то он вряд ли обрадуется. Наоборот, пользователь начнет ругаться с тем, у кого он побывал с флешкой или кому он эту флешку отдавал.

Но криком делу не поможешь.

А так же не поможешь кликами по содержимому больной флешки. Запомните, если Вы встретили такой вирус, не трогайте ничего из того что видите! Ничего не открывайте и не запускайте! И еще, не паникуйте зря, Ваши документы в целости и сохранности. Научимся же тому, как вытащить свои документы на свет и избавиться от вируса.

Что не нужно делать, если вместо ваших файлов вы видите ярлыки

Кстати, почему нельзя запускать ярлыки и приложения, которые находятся на флешке? Все довольно просто. Если Вы запустите ярлык, то Вы перед собой увидите ту папку, имя которой оно носит. А в папке будет все Ваши документы. Вроде бы проблема решена, но не все так просто. В данных ярлыках установлен двойной запуск.

Первый из них запускает папку, на которую ссылается ярлык. А вот второй, незаметно для пользователя, запускает тело самого вируса. То что у Вас на флешке одни ярлыки, вовсе не говорит о том, что вирус на Вашем компьютере. Ну а если Вы открыли ярлык или запустили приложение, поздравляю, теперь вирус и на Вашем компьютере.

Дело усложнилось.

Избавляемся от ярлыков на флешке

Вернуть Ваши файлы не стоит особого труда. Для этого Вам нужно узнать, какая буква получена Вашей флешкой, на которых все файлы превратились в ярлыки. Узнать это Вы сможете в окне Мой компьютер. Указывается она в скобках после имени флешки. Узнав и запомнив букву диска, открываем командную строку. Вводим следующие команды:

f: attrib -s -h /d /s

Первая команда переводит нас в корень флешки. Буква f, в зависимости от буквы Вашей флешки, может быть другой. Вторая команда снимает атрибуты «скрытый» и «системный» со всех файлов на флешке(Так же можете более подробно почитать про команду attrib).

Благодаря этим атрибутам Вы и не видели свои файлы, но видели созданные ярлыки, которые были лишены этих атрибутов. Теперь, Вы можете заглянуть в свою флешку и убедиться в том, что Ваши файлы в сохранности. Все остальные ярлыки можете удалить.

Но я посоветую не делать этого. Пока что.

Удаляем вирус, который на флешке превращает папки в ярлыки

Нам нужно удалить вирус. Если Вы не успели кликнуть ни по одному ярлыку, то Вы не подхватили вирус с флешки. Но возможно и то, что он у Вас уже был на компьютере, а флешка была чиста. Самый лучший способ проверить, есть ли на компьютере вирус, это, после тех двух команд, удалить все лишние ярлыки с флешки. После чего отключить флешку и заново подключить. Тут возможно два варианта:

  • Флешка чиста от ярлыков, и это значит что вируса на компьютере нет.
  • Флешка снова в ярлыках — вирус сидит в Вашем компьютере.

Первая группа будьте внимательны в будущем. Не разбрасывайте флешку направо и налево. На данный момент Ваш компьютер чист от вируса, поэтому чтение остального материала для Вас необязательно. Вторая группа — читаем дальше, если хотим удалить вирус, превративший содержимое флешки в ярлыки.

Удаление вируса будет состоять из двух направлений атаки:

  • Удаление вируса с компьютера.
  • Удаление вируса с флешки.

Один из этих вирусов активен, другой нет. Для начала разберемся с активным, потому что он постоянно будет втыкать палки в колеса.

Можете почитать мою статью про то, как удалить вирусы, там довольно доступно объясняется процесс удаления вирусов, который можно и нужно применять в данном случае. Так же, Вы можете поискать вирус во вкладке Процессы окна Диспетчер задач.

 Процесс данного вируса носит довольно нечленораздельное название. В ней нет логики, это простая абракадабра. Можете узнать месторасположение данного файла. Дальше так же есть два способа действия:

  • Вы уверены в том, что это вирус. В таком случае остановите данный процесс и удалите вирус.
  • Вы не уверены в том, что это вирус. В таком случае остановите процесс.

Далее флешку, содержимое которого превратилось в одни ярлыки, необходимо почистить способом, который обсуждался выше. И еще раз прошу, не трогайте ни один ярлык, иначе вся операция пойдет насмарку. После этого выньте и заново подключите флешку. Если Вы не видите в ней ярлыков и всё вроде бы чётко, значит Вы сделали все правильно.

Удаляем вирус из автозагрузки

Но расслабляться рано. Те, кто просто остановил процесс, должны перейти в папку, где находится вирус и удалить его. Так же нужно зачистить автозагрузку. Как это нужно сделать можно узнать из той же статьи про то, как удалить вирус. Почистить автозагрузку компьютера необходимо и для первой, и для второй группы.

Проделав это, я обычно перезагружал компьютер. Потом снова перепроверял флешку — появятся ли ярлыки или нет. Рекомендую Вам поступать так же.

Почему такие вирусы редко замечают антивирусы?

Многие, увидев такие ярлыки, пытаются просканировать компьютер и флешку с помощью антивируса. Но, в основном, это безрезультатно.

Почему? Потому что тело вируса, который превращает папки в ярлыки — это обычный bat-файл, который содержит в себе команды, которые пользователь может выполнить как в графическом интерфейсе, так и в консоли. А антивирус не должен мешать пользователю работать. И bat-вирусы как раз-таки и подпадают под это правило.

Определить что внутри bat-файла — нежелательный код или безобидные команды — довольно тяжело. Убедиться в этом можно на собственном опыте, если попробовать создать обычный bat-вирус.

Если Вы пострадали от данного вируса и хотите, чтобы никакую больше флеш-карту нельзя было бы подключить к компьютеру, можно закрыть доступ для чтения с внешних носителей.

Источник: http://about-windows.ru/virusy-i-xakery/virusy/otkryli-fleshku-a-tam-vmesto-vashix-dokumentov-odni-yarlyki/

Ярлыки вместо файлов на флешке, как решить

Ярлыки вместо файлов на флешке, как решить

Дорогие друзья, сегодня мы с вами узнаем, как исправить проблему, когда папки и файлы на флешке стали ярлыками. Конечно, эта проблема крайне неприятная и требует незамедлительного оперативного вмешательства.

Прежде чем что-либо делать, рекомендуется отложить флешку в сторону, вытащив её из порта USB компьютера или ноутбука, и ознакомится с теоретической частью этого вопроса.

Давайте узнаем: как эта проблема могла появиться на вашем устройстве? Каков принцип работы такого вредоносного кода? Это поможет не только прояснить текущую ситуацию, но и предупредить её будущее появление. Итак, как можно было занести вирус?

  • Самым распространённым источником является интернет, который включает в себя огромное количество информации. Она, естественно, фильтруется, но гарантировать безопасность работы в сети даже при наличии антивирусного программного обеспечения на компьютере никто не может. Поэтому рекомендуется очень аккуратно загружать и скачивать файлы в интернете. Если имеется хотя бы малейшее сомнение в безопасности ресурса, сразу же закрывайте страницу браузера.
  • При частом использовании флеш-накопителя на учёбе или работе также имеется риск заразить её вирусом. Например, если вы вставляете её в рабочий компьютер одного из сотрудников, то очень легко заполучить вредоносный код: не факт, что ваш коллега беспокоится за безопасность своего устройства как вы. Есть вероятность, что его компьютер просто кишит вирусами. Особенно такой исход событий знаком студентам, которые вставляют свои флешки в университетские компьютеры, которые не всегда отличаются своей чистотой в плане вирусных атак.

Конечно, это не значит, что надо положить устройство хранения и переноса информации дома в тумбочку и никогда не доставать. Просто нужно соблюдать элементарные правила безопасности, способные снизить риск заражения устройства вредоносным кодом. Это лучше, чем каждый раз хвататься за голову, переживая за сохранность информации на флешке или любом другом носителе.

Теперь немного поговорим о принципе работы такого вируса. Для начала он скрывает все файлы и папки на вашей флешке (ну или почти все), создаёт ярлык для каждого из них, который ссылается на сам вирус вместе с папкой назначения.

То есть получается своего рода «размножение» опасного кода. Желательно, вообще, его не открывать, так как код может проникнуть не только в другие папки носителя, но и на сам компьютер или ноутбук.

Вообще, крайне не рекомендуется в принципе открывать такую флешку.

Первый способ

Теперь, когда мы уже немного познакомились с причиной и следствием обсуждаемой проблемы, можно перейти и к способам устранения неполадки.

Прежде всего стоит отметить, что для применения некоторых способов вам может потребоваться активное подключение к интернету.

Обратите внимание, что такой способ подходит также для случая, когда флешка отображается как ярлык. Если вы готовы начать, то поехали:

  1. Для начала вставьте флешку в порт USB. Ни в коем случае не запускайте её и тем более не открывайте файлы и папки в ней. Если вы это сделали, то следующий пункт вам придётся выполнять не только для носителя информации, но и для всего ПК (то есть, проверить локальные диски, хранилища и так далее).
  2. Установите антивирусное программное обеспечение на свой компьютер или ноутбук, если таковое отсутствует на устройстве. Затем проведите сканирование и полное очищение флешки от вредоносных кодов. После того как процедура очищения завершится, сделайте сканирование ещё раз.
  3. Установите отображение скрытых файлов и папок. Для этого перейдите в меню «Пуск», введите в поле поиска «Показ скрытых файлов и папок». Владельцы операционной системы Windows 10 должны просто нажать на значок лупы нижней панели задач. Установите чёрный кружок напротив пункта «Показывать скрытые файлы, папки и диски». Нажмите «Применить», ОК, затем закройте диалоговое окно.
  4. Зайдите в вашу флешку и найдите папку с именем RECYCLER. Удалите её безвозвратно с устройства вместе со всем её содержимым. То же самое проделываем с ярлыками папок и файлов. Заодно проверьте: появились ли скрытые документы (отображаются полупрозрачными иконками)? Если нет, то вероятно вирус удалил их. Удостовериться в этом можно проанализировав объём занятого хранилища.
  5. Выделите скрытую информацию и нажмите по ней правой кнопкой мыши. Выберите пункт «Свойства», снимите галочку с пункта «Скрытый». Кликните ОК и закройте диалоговое окно.
  6. Если такой способ вам не помог, так как пункт меню о скрытости отображается серым цветом и не даёт себя изменить, то делаем следующее. Создаём на флешке файл блокнота (кликаем правой кнопкой мыши по пустому пространству, затем нажимаем «Создать» и «Текстовый документ» или «Блокнот»). Откройте его и введите туда такой код:

attrib -s -h -r -a /s /d

Закройте файл блокнота и сохраните его. Теперь переименуйте его так:

test1.bat

То есть, получится, что вы создали файл-программу с разрешением bat, который поможет вам решить проблему. Для этого запустите его от имени администратора, нажав по нему правой кнопкой мыши и выбрав соответствующий пункт меню. Дождитесь окончания процесса. После этого можно будет проверить носитель информации. Должна исправиться неполадка, когда открывается флешка как ярлык.

Можно воспользоваться ещё одним методом, который проделает вышеописанные процедуры (кроме сканирования антивирусом) в автоматическом режиме. Может помочь, если ярлык самой флешки на флешке. Но обратите внимание, что способ не всегда 100-процентно рабочий. Всё же лучше воспользоваться ручным способом, представленным ранее. При полной готовности, приступим:

  1. Создайте файл блокнота на флешке, как в шестом пункте предыдущей инструкции. Только код теперь будет другой:

:lableclsset /p disk_flash=»Vveditebukvuvasheifleshki: »cd /D %disk_flash%:if %errorlevel%==1 gotolableclscd /D %disk_flash%:del *.lnk /q /fattrib -s -h -r autorun.*del autorun.* /Fattrib -h -r -s -a /D /Srd RECYCLER /q /s

explorer.exe %disk_flash%:

  1. Сохраните этот файл и переименуйте его на testbat.
  2. Посмотрите букву вашей флешки через «Мой компьютер». Например, она может быть такая: «Nastroyvse (F:)». Значит, буква устройства будет F. Запоминаем её.
  3. Запустите бат-файл от имени администратора уже знакомым вам способом.
  4. Программа запросит у вас букву вашей флешки. Напишите ту, которую вы запомнили из третьего пункта выше. Введите её и нажмите Готово!

Рекомендации

Когда беда будет уже позади, всё равно нужно будет проделать некоторые операции, которые отмечены в этом рекомендательном блоке. Не игнорируйте их, так как они обезопасят ваши устройства ещё больше и заметут следы вирусной атаки.

  • Обязательно проверьте системные папки компьютера или ноутбука на наличие остатков вируса. Для этого перейдите по следующему пути, где имя вы указываете именно своего компьютера:

C:\users\ваше имя пользователя\appdata\roaming\

В этой папке не должны быть никаких файлов с разрешением .exe. Поэтому удалите все такие, если они есть в указанном месте.

  • После проведения всех восстановительных работ обязательно ещё раз просканируйте флешку и компьютер антивирусным программным обеспечением, чтобы удостовериться в безопасности.
  • Рекомендуется скопировать ваши файлы на компьютер, затем отформатировать флешку. Только после этого можно вернуть документы на носитель информации. Это поможет избавиться от дополнительных проблем и неполадок.

Подведём итоги

Источник: http://NastroyVse.ru/devices/raznoe/fajly-na-fleshke-stali-yarlykami.html

Борьба с вирусом на флешках «Вместо папок — ярлыки»

Ярлыки вместо файлов на флешке, как решить

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.

По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны.

Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Шаг 1. Отобразить скрытые файлы и папки

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь:  «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».

Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов

Зараженная флешка выглядит так, как показано на рисунке ниже:
Чтобы не удалять все файлы с флешки,  можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке).

Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:
Нас интересует строка «Объект».  Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.

exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:
%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3.  Восстановление прежнего вида папок

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Путь 1:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\  нажать ENTER,  где f:\ — это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

Путь 2:

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s  в него, переименовать файл в 1.bat и запустить его.

3.  В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: Bat файл для смены атррибутов. 

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут! 

4. После этого,  можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые  файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек  — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а  папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

  • сносим Windows (1,5-2 часа, самый быстрый способ);
  • устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
  • записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

Дополнение от KRIZ (будет в помощь):

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

Работает отлично.  Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Оболочкой где подгружены практически всё что нужно для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не важно какая у вас операционка стоит хоть ЛИНУКС данный способ использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»

Источник: http://voffa.ru/viral/borba-s-virusom-na-fleshkax-vmesto-papok-yarlyki.html

Вирус на флешке — папки стали ярлыками! Решение!

Ярлыки вместо файлов на флешке, как решить

Сегодня я хочу поговорить об одном уже весьма стареньком вирусе, модификации которого до сих пор будоражат компьютеры пользователей не заботящихся о собственной безопасности.

Смысл его деструктивной деятельности заключается в том, что он скрывает содержимое съемного диска и подменяет его ссылками на исполняемый файл, которые умело маскирует с помощью изменения их атрибутов. Всё рассчитано на то, что ничего не подозревающий пользователь не заметит, что вместо папок ярлыки и попытается их открыть.

Таким образом этот троян и кочует от компьютера к компьютеру, поражая незащищённые операционные системы одну за другой.
Если же на очередном ПК будет стоять хорошая антивирусная программа типа Касперского или DrWeb, то она, конечно же, сразу его засечёт и удалит сам исполняемый EXE-файл или скрипт.

Но вот изменить атрибуты, из-за которых папки стали ярлыками на флешке, антивирус не в состоянии и Вам придётся делать это вручную. Как это сделать я сейчас и расскажу.

Вычищаем заразу окончательно!

Для начала надо окончательно убедиться, что вируса нет ни на компьютере, ни на USB-диске. Для этого обновляем базы антивирусной программы и проверяем сначала одно, потом другое. Если у Вас её нет — настоятельно рекомендую его установить.

Например, отлично себя зарекомендовал бесплатный антивирус Касперского. Так же можно воспользоваться одноразовым сканером DrWeb CureIT.
После этого надо зайти в панель управления Windows и открыть раздел «Параметры папок».

В открывшемся окне переходим на вкладку «Вид»:

Здесь необходимо снять галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов». А вот флажок «Показывать скрытые файлы, папки и диски» надо наоборот поставить.

Это делается для того, чтобы увидеть всё, что вредоносная программа могла скрыть от пользователя.
Следующим шагом нужно будет вручную подчистить остатки жизнедеятельности зловреда. Обязательно проверьте чтобы на флешке не осталось файла сценария автозапуска — autorun.

inf. Затем стоит удалить папку RECYCLER (Кстати, в ней-то обычно EXE-шник вируса и лежит).
На жестком диске надо обратить внимание на папки пользователей, а особенно — на C:\Users\\Appdata\Roaming\.

Именно сюда пытается прятаться всякая зараза, а потому в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT.

Возвращаем пропавшие папки обратно

Следующим этапом нужно вернуть обратно папки, которые стали ярлыками на USB-накопителе. Вот тут начинается самое интересное.

Дело в том, что в зависимости от модификации, способ с помощью которого вирус спрятал директории может быть разным. В самом простом случае достаточно зайти на флешку. Там вы увидите скрытые папки (их отображение мы включили выше).

Надо просто на каждой из них кликнуть правой кнопкой, открыть её свойства и снять галочку «Скрытый».

А вот если поработал более продвинутый зловред, то скорее всего эта галочка будет недоступна и так просто снять атрибут «скрытый» с папки после вируса у Вас не получится.

В этом случае прямо в корне флешки создаём текстовый файлик, в котором надо скопировать вот эту строчку:

attrib -h -r -s -a /D /S

Закрываем текстовый редактор и меняем ему расширение с *.TXT на *.BAT.
Кликаем на файлике правой кнопкой и в контекстном меню выбираем пункт «Запуск от имени Администратора».

После этого папки должны стать видимыми.
Если что-то непонятно — смотрим видео-инструкцию:

Автоматизированный вариант

Для тех, кто не любит всё делать вручную, предпочитая положиться на скрипты, тоже есть отличный способ. Заключается он в том, что на съёмном накопителе надо опять же создать BAT-файл, открыть его блокнотом и скопировать туда вот такой код:

:lable cls set /p disk_flash=”Input USB Drive Name: ” cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:

Закрываем текстовый редактор и сохраняем изменения. Запускаем скрипт на исполнения. В начале он попросит указать букву, под которой флешка отображается в Проводнике. После этого он удалить папку RECYCLER, файл автозапуска autorun.

inf и вернёт атрибуты папкам, которые стали ярлыками. Этот вариант отлично работает в большинстве случаев на «ура».

Но если вдруг Вам попадётся более хитрая модификация такого вируса, то всё же Вам придётся закатать рукава и поработать руками.

Источник: https://nastroisam.ru/virus-papki-stali-yarlyikami/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.