Вирус: все папки на флешке превратились в ярлыки

Вирус: все папки на флешке превратились в ярлыки

Довольно часто встречающийся сегодня вирус, когда все папки на флешке становятся скрытыми, а вместо них появляются ярлыки с теми же названиями, но способствующие распространению вредоносной программы, у многих вызывает некоторые затруднения. Не слишком сложно удалить этот вирус, сложнее бывает избавиться от его последствий — убрать атрибут скрытый у папок, учитывая что в свойствах этот атрибут неактивен. Давайте по порядку рассмотрим, что делать, если такая напасть как скрытые папки и ярлыки вместо них случилась с вами.

Примечание: проблема, когда из-за вируса на флешке исчезают все папки (становятся скрытыми), а вместо них появляются ярлыки, достаточно распространена. Чтобы в будущем защититься от таких вирусов, рекомендую обратить внимание на статью Защита флешки от вирусов.

Такой вирус может проявлять себя по-разному:

• папки и файлы превратились в ярлыки;
• часть из них вообще исчезла;
• несмотря на изменения, объем свободной памяти на флешке не увеличился;
• появились неизвестные папки и файлы (чаще с расширением «.lnk»).

Прежде всего, не спешите открывать такие папки (ярлыки папок). Так Вы собственноручно запустите вирус и только потом откроете папку.

К сожалению, антивирусы через раз находят и изолируют такую угрозу. Но все же, проверить флешку не помешает. Если у Вас установлена антивирусная программа, кликните правой кнопкой по зараженному накопителю и нажмите на строку с предложением провести сканирование.

Если вирус удалится, то это все равно не решит проблему исчезнувшего содержимого.

Еще одним решением проблемы может стать обычное форматирование носителя информации. Но способ этот довольно радикальный, учитывая что Вам может понадобиться сохранить данные на ней. Поэтому рассмотрим иной путь.

Шаг 1: Делаем видимыми файлы и папки

Скорее всего, часть информации вообще будет не видна. Так что первым делом нужно заняться этим. Вам не понадобится никакое стороннее ПО, так как в данном случае можно обойтись и системными средствами. Все, что Вам нужно сделать, заключается вот в чем:

1. В верхней панели проводника нажмите «Упорядочить» и перейдите в «Параметры папок и поиска».

Теперь все, что было скрыто на флешке, будет отображаться, но иметь прозрачный вид.

Не забудьте вернуть все значения на место, когда избавитесь от вируса, чем мы и займемся далее.

Шаг 2: Удаляем вирус

Каждый из ярлыков запускает файл вируса, а, следовательно, «знает» его расположение. Из этого и будем исходить. В рамках данного шага сделайте вот что:

1. Кликните по ярлыку правой кнопкой и перейдите в «Свойства».
2. Обратите внимание на поле объект. Именно там можно отыскать место, где хранится вирус. В нашем случае это «RECYCLER5dh09d8d.exe», то есть, папка RECYCLER, а «6dc09d8d.exe» – сам файл вируса.

Шаг 3: Восстанавливаем нормальный вид папок

Осталось снять атрибуты «скрытый» и «системный» с Ваших файлов и папок. Надежнее всего воспользоваться командной строкой.

Откройте окно «Выполнить» нажатием клавиш «WIN» + «R». Введите туда cmd и нажмите «ОК».

где «i» – буква, присвоенная носителю. Нажмите «Enter».

Теперь в начале строки должно появиться обозначение флешки. Введите

Так сбросятся все атрибуты и папки снова станут видимыми.

Альтернатива: Использование пакетного файла

Можно создать специальный файл с набором команд, который проделает все эти действия автоматически.

Создайте текстовый файл. Пропишите в нем следующие строки:

attrib -s -h /s /d
rd RECYCLER /s /q
del autorun.* /q
del *.lnk /q

Первая строка снимает все атрибуты с папок, вторая – удаляет папку «Recycler», третья – удаляет файл автозапуска, четвертая – удаляет ярлыки.
Нажмите «Файл» и «Сохранить как».

Файл назовите «Antivir.bat».

При активации этого файла Вы не увидите ни окон, ни строки состояния – ориентируйтесь по изменениям на флешке. Если на ней много файлов, то возможно, придется подождать 15-20 минут.

Что делать, если через некоторое время вирус снова появился

Может случиться так, что вирус снова себя проявит, при этом флешку Вы не подключали к другим устройствам. Напрашивается один вывод: вредоносное ПО «засело» на Вашем компьютере и будет заражать все носители.
Из ситуации есть 3 выхода:

1. Сканировать ПК разными антивирусами и утилитами, пока проблема не решится.
2. Использовать загрузочную флешку с одной из лечащих программ (Kaspersky Rescue Disk, Dr.Web LiveCD, Avira Antivir Rescue System и прочие).

Специалисты говорят, что такой вирус можно вычислить через «Диспетчер задач». Для его вызова используйте сочетание клавиш «CTRL» + «ALT» + «ESC». Следует искать процесс с примерно таким названием: «FS…USB…», где вместо точек будут случайные буквы или цифры. Найдя процесс, можно кликнуть по нему правой кнопкой и нажать «Открыть место хранения файла». Выглядит это так, как показано на фото ниже.

Но, опять-таки он не всегда запросто удаляется с компьютера.

Выполнив несколько последовательных действий, можно вернуть все содержимое флешки в целости и сохранности. Чтобы избежать подобных ситуаций, почаще пользуйтесь антивирусными программами.

Возвращаем пропавшие папки обратно

Следующим этапом нужно вернуть обратно папки, которые стали ярлыками на USB-накопителе. Вот тут начинается самое интересное. Дело в том, что в зависимости от модификации, способ с помощью которого вирус спрятал директории может быть разным. В самом простом случае достаточно зайти на флешку. Там вы увидите скрытые папки (их отображение мы включили выше). Надо просто на каждой из них кликнуть правой кнопкой, открыть её свойства и снять галочку «Скрытый».

А вот если поработал более продвинутый зловред, то скорее всего эта галочка будет недоступна и так просто снять атрибут «скрытый» с папки после вируса у Вас не получится.

В этом случае прямо в корне флешки создаём текстовый файлик, в котором надо скопировать вот эту строчку:

Закрываем текстовый редактор и меняем ему расширение с *.TXT на *.BAT.
Кликаем на файлике правой кнопкой и в контекстном меню выбираем пункт «Запуск от имени Администратора».

После этого папки должны стать видимыми.
Если что-то непонятно — смотрим видео-инструкцию:

Автоматизированный вариант

Для тех, кто не любит всё делать вручную, предпочитая положиться на скрипты, тоже есть отличный способ. Заключается он в том, что на съёмном накопителе надо опять же создать BAT-файл, открыть его блокнотом и скопировать туда вот такой код:

Закрываем текстовый редактор и сохраняем изменения. Запускаем скрипт на исполнения. В начале он попросит указать букву, под которой флешка отображается в Проводнике. После этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлыками. Этот вариант отлично работает в большинстве случаев на «ура».
Но если вдруг Вам попадётся более хитрая модификация такого вируса, то всё же Вам придётся закатать рукава и поработать руками.

Помогло? Посоветуйте друзьям!

Метод I: Инструмент Removal Tool

Во-первых, скачайте архив, содержащий 2 файла: Trojorm Removal Tool и Fixfolder по этой ссылке. Сразу же после загрузки, извлеките два файла с помощью Winrar или любого другого архиватора и скопируйте их на флешку. Далее запустите сначала «Trojorm Removal Tool» и следуйте инструкциям в командной строке. Затем откройте файл «Fixfolder» с помощью блокнота и измените H: в соответствии с буквой вашей зараженной флешки (к примеру D:, F:, G: и т.д.).

Сохраните файл после редактирования и запустите его двойным щелчком мыши. Или нажмите правой кнопкой мыши > Открыть с помощью и выберите «Microsoft Windows Based Script Host». После этого ярлыки должны исчезнуть а все нужные (скрытые до этого) файлы появиться.

Как почистить флешку от вирусов

Если вы знаете, что на вашей флешке есть вирус, то ее нельзя подключать к компьютерам на которых нет антивируса. Найдите ПК, на котором установлен хороший платный антивирус и убедитесь, что антивирус запущен и работает. Только после этого к нему можно подключать флешку. После подключения откройте окно «Мой компьютер», кликните правой кнопкой по флешке и выберите пункт «Проверить на вирусы».

Многие антивирусы умеют исправлять зараженные флешки. Они сами удаляют вирусы и созданные вирусом ярлыки, после чего делают скрытые файлы снова видимыми. Поэтому есть вероятность, что после проверки на вирусы проблема уже будет решена. Если нет, проблему с ярлыками можно исправить самостоятельно.

Вирус на флешке: ярлыки вместо папок

Вы подключили флешку к компьютеру, а там ярлыки вместо папок какие-то? – Проблема на лицо, на вашу флешку закрался вирус. Будем выгонять его в этой статье.

Где можно заразиться и как выявить

Этот вирус уже довольно давно разгуливает по сети, а также сидит на компьютерах пользователей. Папки на жёстком диске он не трогает, а вот флешку портит на раз. Определить, что вы заразились именно таким вирусом очень легко – все папки на флешке превратись в ярлыки (рисунок ниже).

Самое главное, что не стоит делать – это пытаться открывать эти папки. Проблема в том, что в этих ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие папки.

Чистка флешки от вируса

Чистку будем провожать в несколько шагов.

1. Отобразить скрытые файлы и папки

Нам нужно попасть в свойства папок, для этого переходим по следующему пути:

• Панель управления – Свойства Проводника – вкладка Вид (для Windows 10);
• Пуск – Панель Управления – Оформление и персонализация – Параметры папок – вкладка Вид (для Windows 7).

Проделаем 2 действия:

• Скрывать защищенные системные файлы (рекомендуется) – снять галочку;
• Показывать скрытые файлы и папки – установить переключатель.

2. Удаляем вирус

Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл). Для этого нужно посмотреть свойства ярлыка, там вы обнаружите двойной запуск – первый открывает вашу папку, а второй – запускает вирус:

Нас интересует строка Объект . Она довольно длинная, но сам вирус легко определить по имени типа 189595.exe в папке Recycle на самой флешке.

Путь RECYCLER897frtj.exe и есть вирус на вашей флешке (имя может быть любое).
Удаляем его вместе с папкой.

3. Восстанавливаем вид папок

Теперь ярлыки можно удалить, они больше не нужны. Ваши папки стали скрытыми (выглядят как прозрачные). Просто так атрибут скрытности не снять, поэтому придётся прибегнуть к “великой” командной строке.

Для этого есть 2 пути:

Нажимаем Win + R и вводим команду cmd , в открывшемся окне (рисунок ниже) вводим последовательно 2 команды:

• cd /d f: нажать ENTER , где f: – это буква нашей флешки;
• attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.

Создайте текстовый файл на флешке и запишите в него команду attrib -s -h /d /s , сохраните под именем 1.bat. Далее просто запустите этот файл. Также вы можете скачать уже готовый файл для смены атрибутов .

При большом количестве файлов восстановление может занять минут 10, не паникуйте.

Теперь возвращаемся к 1-ому шагу и ставим параметры в их первоначальное состояние.

Обязательно проверьте флешку с помощью вашего антивируса или лечащей утилиты. Об этом у меня есть статьи: выбор антивируса и лечащие утилиты . Помимо флешки не забудьте проверить и сам компьютер.

Как понять, что ваш компьютер переносчик

Если вы подозреваете свой компьютер в распространении вируса по флешкам, то можно отследить процессы в диспетчере задач. Открыть его вы можете через комбинацию клавиш Ctrl+Shift+ Ecs . Поищите процесс с названием похожим на FS..USB…, вместо точек какие либо буквы или цифры.

Также в поиске вируса на своём компьютере может помочь утилита Autoruns.

Будьте аккуратны с флешками и не суйте в какой попало компьютер, мало ли что.

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:Users<Имя пользователя>AppDataRoaming скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

Похожие публикации:

Восстанавливаем вид каталогов и доступ к папкам

После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Дополнительно: восстановление ярлыков файлов в исходный формат

Загрузите и установите бесплатное программное обеспечение для восстановления данных EaseUS. Следуйте данному руководству и восстановите свои данные.

Шаг 1: Запустите Мастер Восстановления Данных EaseUS

Выберите раздел диска или место хранения, где вы потеряли файлы и нажмите кнопку “Сканировать”.

Шаг 2: EaseUS Мастер Восстановления начнет процесс сканирования для поиска потерянных данных

Процесс сканирования автоматически начнёт поиск всех файлов.

Шаг 3: Предварительный просмотр и восстановление потерянных файлов

Вы можете отфильтровать результаты сканирования по типу файла, выбрать найденные файлы и нажать кнопку “Восстановить”, чтобы возвратить их. Сохраните файлы в другом безопасном месте на вашем устройстве хранения.

Последние статьи – Также в программе EaseUS

Вам представлена лучшая программа для восстановления данных жесткого диска 2018 …

На этой странице мы расскажем о лучшей программе для восстановления файлов Adobe…

Если вы потеряли файлы при вирусной атаке, вы можете попробовать два возможных с…

Безвозвратное удаление файлов/папок с жестких дисков или устройств хранения данн…