Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.
Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.
Убеждаемся, что папки и файлы целые
Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать скрытые файлы и папки — устанавливаем переключатель.
Теперь ваши папки на флешке будут видны, но они будут прозрачными.
Находим и удаляем вирус через свойства ярлыка
Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:
- «%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support»
Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.
Удаляем вирус с помощью антивируса
Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы. Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.
Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f: нажать ENTER, где f: — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
- Расшифровка атрибутов R — разрешает или запрещает атрибут «Только для чтения», S — превращает файл или папку в системный, H — скрываем или показываем файлы и папки, D — обработка файлов и каталогов, +/- установка /удаление атрибута
Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk
Автономный метод удаления вируса
В блокноте создаем файл и копируем туда ниже перечисленный текс после сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени администратора. После запуска компьютер попросит ввести букву, соответствующую вашей флешке, что нужно сделать. После этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлыками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=»Vvedite bukvu vashei fleshki: «
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
Удаление вируса через реестр
В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программы
Удаление вируса вручную
- Во временной папке Temp C:users%username%AppDataLocalTemp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
- Проверяем также папку C:Users<<Пользователь>>AppdataRoaming. в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.
Восстановление системы
Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы. После восстановления должно появится окошко о удачно окончании процесса.
На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.
{youtube}a5FjQWEudOo{/youtube}
{youtube}45XfAmQc1dg{/youtube}
{youtube}8w3RSl8kGh8{/youtube}
Комментарии ()
Оставьте свой комментарий
ВНИМАНИЕ! Ни в коем случае не открывайте какие-то ярлыки или файлы на флешке – вы можете запустить вирус на свой ПК.
Всем привет! Сегодня столкнулся с такой проблемой – открываю я флешку, а на ней вместо файлов ярлыки. Сразу возник вопрос: а как это можно вылечить, и есть ли вероятность вернуть поврежденные данные. По началу даже испугался немного, так как на флешке были очень важные документы и фотографии с видео. Но в итоге мне удалось их восстановить, и сейчас я расскажу – как у меня это получилось.
Как я и догадывался, если все файлы или папки на флешке стали ярлыками, то значит там поработал вирус, и причина может быть только в этом. Может наблюдаться исчезновение некоторых папок, также объем самой флешки и занятой памяти не меняется и остается на прежнем уровне. Также у некоторых могут появиться другие файлы и папки с расширением «lnk».
Содержание
- ШАГ 1: Проверка антивирусом
- ШАГ 2: Возвращаем файлы
- ШАГ 3: Как удалить вирус?
- ШАГ 4: Вернуть обычный вид папкам
- ШАГ 5: Проверка компьютера
- Лечение флешки одним BAT файлом
- Задать вопрос автору статьи
ШАГ 1: Проверка антивирусом
Вообще сам вирус достаточно древний и существует ещё с годов так 2000х. Поэтому в первую очередь проверяем носитель антивирусной программой. Открываем «Мой компьютер», нажимаем правой кнопкой по флешке или жесткому диску и выбираем пункт сканирования.
Теперь может быть два сценария. Первый – антивирус не найдет вирус и не устранит его, тогда его придется выуживать вручную – об этом я расскажу чуть ниже. Второй – вирус удалится, но файлы все равно нужно будет возвращать.
ШАГ 2: Возвращаем файлы
Сразу скажу, что большая часть файлов и папок остались и просто скрыты, а вирус дополнительно создает из них ярлыки, чтобы запутать жертву. Чтобы увидеть все файлы, нужно:
- В верхнем меню найдите раздел «Упорядочить» и зайдите в «Параметры папок».
- На вкладке «Вид» пролистываем в самый низ и сначала убираем галочку, чтобы скрывались системные файлы, а потом установите параметр «Показывать скрытые файлы и папки» – смотрим на картинку ниже.
- В самом конце не забудьте нажать «Применить».
Если зайти на флешку, то все папки, которые ранее были скрыты будут отображаться, но будут иметь прозрачный (скрытый) вид. Чтобы вернуть им обратно состояние, нажмите правой кнопкой по файлику или папке и зайдите в «Свойства».
Сразу на первой вкладке «Общие» уберите галочку «Скрытый» и нажмите «Применить». Если файлов слишком много, то давайте сделаем их всех видимыми чуть позднее, а сейчас нужно полностью избавиться от вируса, если с этим не справился антивирусник.
ШАГ 3: Как удалить вирус?
Теперь давайте подумаем – а где может скрываться сам вирус? Файлы превратились в ярлыки, а этим самые ярлыки и запускают вредоносную программу, которая в дальнейшем должна распространиться на ваш компьютер. Следовательно, в параметрах ярлыков должно быть прописана команда или путь к запускаемому файлику. Итак, нажимаем правой кнопкой по любому ярлыку и выбираем «Свойства».
Сначала идет команда, но нас интересует конец строки. В самом конце есть запускаемый файлик «exe» – это и есть вирус. Чуть левее через косую черту идет расположение файла, то есть его папка. В моем случае это папка с названием «RECYCLER», но у вас может быть что-то другое.
Сама эта папка была тоже ранее скрыта, но после прошлых манипуляций она также будет отображаться как скрытая. Вам нужно просто выделить её и удалить – желательно в обход корзине, то есть нажмите одновременно на «Shift» и кнопку «Delete». Также не забудьте удалить все ярлыки.
ШАГ 4: Вернуть обычный вид папкам
Конечно можно сделать это вручную для каждой папки и файла, но если у вас большой жесткий диск, то займет это очень много времени. Поэтому лучше всего это сделать через командную строку:
- Найдите на клавиатуре вспомогательную клавишу «Windows» () и английскую R – нажмите на них одновременно.
- Прописываем команду из трех букв «cmd».
- Ещё раз откройте проводник и посмотрите – какую букву присвоила система вашей флешке. В моем случае это буква «E». Далее нужно прописать команду:
cd /d e:
Вместо «e» вставьте букву вашей флешки.
- Теперь вы увидите вот такую вот строчку, просто нажмите на «Enter», чтобы у папок и файлов применились параметры по умолчанию.
ПРИМЕЧАНИЕ! Если данной строки нет, то вам нужно запустить командную строку от имени администратора.
ШАГ 5: Проверка компьютера
Проблема в том, что частенько пользователи нечаянно открывают зловредные ярлыки и тем самым заражают вирусом свой компьютер. Ничего в этом страшного нет, сам грешил этим. Наша задача найти и удалить этот вирус. Первое, что вы должны сделать, так как это полностью проверить компьютер своей антивирусной программой – не важно, что у вас. Желательно перед этим обновить вирусные базы, возможно, этот вирус свежий и новый.
Если вам удалось его удалить, то радоваться рано – вам нужно следить, чтобы данная проблема не появилась вновь. Поэтому советую сохранить эту статью, так как далее я разберу варианты – когда вирус все же засел у вас на компьютере, не лечится и его нужно срочно удалять вручную.
Один из вариантов можно попробовать найти его в «Диспетчере задач» – чтобы туда попасть, нажмите на клавиши «Ctrl+Shift+Esc». Второй вариант – это нажать на нижнюю рабочую линию правой кнопкой и выбрать «Запустить диспетчер задач».
На вкладке «Процессы» установите сортировку по «Описанию», чтобы увидеть процессы без подписи. Наша задача найти вирус, чаще всего он имеет в своем названии слово «USB». Чтобы не отключить лишнее по каждому из процессов стоит погуглить название каждого (подозрительного) процесса.
Если его здесь не получается найти, то скорее всего он сидит в автозапуске. Автозапуск в Windows 10 находится тут же. В Windows 7 нужно нажать + R и ввести команду: «msconfig».
Отключите все кроме антивируса и драйвера для звуковой карты «Realtek». Путь к вирусу будет отображаться в столбце «Расположение» – просто пройдите туда и удалите его, если обнаружите. Также стоит обращать внимание на строку «Производитель» – обычно вирус никакой лицензионной подписи не имеет.
Файлы автозапуска также могут находиться и в других местах. Поэтому поводу есть отдельные инструкции по Windows 7 и Windows 10.
Лечение флешки одним BAT файлом
Если лень проделывать все вышеперечисленное, то можно создать файлик, который все это будет делать за вас. Для этого:
- На рабочем столе или в любой другой области компьютеру нажмите правой кнопкой и создайте текстовый файл.
- Назвать его можете как угодно – это не имеет значения. Зайдите теперь внутрь и пропишите 4 строчки:
attrib -s -h /s /d
rd RECYCLER /s /q
del autorun.* /q
del *.lnk /q
- Нажмите «Файл» и «Сохранить».
- Теперь закройте его, нажмите правой кнопкой и из списка выберите «Переименовать».
- Вместо «txt» впишите «bat». Точка перед этим обязательно должна стоять. Подтвердите изменение, нажав «Да».
Теперь он превратился в запускаемый «BAT» файлик. Чтобы его активировать, нажмите двойным щелчком мыши. После этого через консоль он проделает все те же самые действия, что вы делали чуть ранее: делаем папки видимыми, удаляем папку с вирусом и ярлыки.
ПРИМЕЧАНИЕ! Если данный способ не помог, то скорее всего папка у вируса называется как-то по-другому, поэтому нужно использовать ручное удаление.
Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли.
Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.
По запросу «ярлык флешки на флешке» поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.
Как исправить ситуацию
Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.
Вернуть файлы на флешку
Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:
cd /d X: (вместо Х вы вводите букву каталога вашей флешки)
attrib -s -h -a -r /s /d *.* (прописываете точно как указано)
Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.
Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).
Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.
Скачать лекарство от ярлыка флешки на флешке
Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.
Удалить вирус
Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.
Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.
.jpg)
Process Explorer v16.20
Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.
Жмем Ctrl + L и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe.
Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf.
Во временной папке Temp ( C:users%username%AppDataLocalTemp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
Всё, теперь вы точно удалили вирус и с флешки и с компьютера.
Дополнение:
Winset
Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.
Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:Users{Имя пользователя}AppDataRoaming скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.