Ярлыки вместо файлов на флешке, как решить
Решаем проблему со скрытием вирусом файлов на флешке
Скрытие находящихся на флешке файлов — одна из самых безобидных проблем, с которыми сталкиваются жертвы вирусов. Однако в большинстве случаев подобные угрозы продолжают дальше распространяться по ПК в поисках информации, например, платежных данных. Поэтому их требуется как можно скорее обнаружить и удалить
При этом важно сохранить файлы, что мы и попытаемся сделать далее
Шаг 2: Удаление остаточных записей в реестре
Не всегда после полного удаления вируса с ПК программным методом стираются абсолютно все файлы, связанные с ним. Некоторые приложения и утилиты умело маскируются под дружелюбный софт и запускаются каждый раз, как происходит старт операционной системы. Обычно такие записи остаются в реестре, поэтому их нужно удалить, а сделать это можно так:
- Вызовите функцию «Выполнить», зажав комбинацию клавиш Win + R. Затем введите там выражение , нажмите на клавишу Enter или кнопку «ОК».
В редакторе реестра перейдите по пути , где отыщите директорию под названием «Run».
В ней присутствуют ключи программ, которые запускаются автоматически. Найдите там подозрительные или незнакомые записи, кликните по ним ПКМ и выберите «Удалить».
После этого рекомендуется перезагрузить компьютер, чтобы изменения вступили в силу.
Обычно подобные записи, генерируемые вредоносным программным обеспечением, имеют случайное название, состоящее из набора символов, поэтому отыскать его не составит труда. Помимо этого, каждый пользователь знает, что установлено у него на ПК — это тоже поможет найти лишнюю запись.
Шаг 3: Отключение подозрительных служб
Некоторые угрозы оставляют после себя небольшие скрипты, называемые службами. Обычно их обнаруживает антивирус и удачно удаляет, но самые изощренные вирусы могут оставаться на ПК незамеченными. Из-за этого юзеру рекомендуется самостоятельно просмотреть список текущих служб и отыскать там подозрительную утилиту. Удалить ее, скорее всего, не получится, но после отключения она перестанет наносить вред устройству.
- Откройте утилиту «Выполнить» (Win + R). Впишите там и кликните на «ОК».
Переместитесь во вкладку «Службы».
Просмотрите список всех служб, выделите галочками те, которые связаны с вредоносными данными, и отключите их. После этого примените изменения и перезагрузите ПК.
Если вы не уверены в какой-либо из служб, всегда можно найти информацию о ней в интернете, чтобы убедиться в ее причастности к вирусам или безопасности.
Шаг 4: Изменение атрибутов файлов
Если объекты на съемном носителе были поражены вирусом, сейчас они либо удалены, либо имеют присвоенный атрибут, делающий их скрытыми, системными и недоступными для изменения. Поэтому юзеру придется вручную удалить все эти атрибуты, чтобы получить оставшиеся на флешке файлы.
- Откройте «Пуск» и запустите «Командную строку» от имени администратора. Сделать это можно и через «Выполнить», введя там .
В разделе «Этот компьютер» узнайте букву, которая присвоена USB-накопителю. Она пригодится для выполнения дальнейших действий.
В консоли введите , где H — название флешки. Подтвердите выполнение команды, нажав Enter.
После этого остается только подождать завершения операции, об этом свидетельствует появившаяся строка ввода
Теперь важно описать действие каждого аргумента, чтобы у вас не осталось вопросов по использованию рассмотренной команды:
- — буква накопителя, всегда выставляется индивидуально, в соответствии с подключенным устройством;
- — указывает формат всех файлов. По аналогии можно установить, например, ;
- — отвечает за обработку всех файлов и каталогов;
- — обрабатывает все файлы с указанным разрешением; Получается, что /d и /s, установленные вместе, позволяют применить атрибуты ко всем объектам сразу.
- или — добавление или отмена атрибутов;
- — атрибут для скрытия файлов;
- — только чтение;
- — атрибут для присвоения статуса «Системный».
Теперь вы знаете все об основных аргументах команды attrib, что позволит изменять атрибуты файлов и папок напрямую через консоль, экономя свое время и силы.
Шаг 5: Восстановление удаленных данных
Нередки такие случаи, когда после снятия атрибутов пользователь не получает доступ к некоторым файлам, что хранились на флешке до момента действия вируса. Возникновение подобной ситуации означает, что эта информация была удалена антивирусом или самой угрозой. Выходит, что без дополнительного ПО здесь не обойтись — придется применять средство по восстановлению удаленных файлов. При этом каждый такой инструмент работает по своему алгоритму, из-за чего не всегда восстанавливаются все элементы. Детальное руководство по трем способам возвращения файлов ищите в нашем материале, перейдя по указанной далее ссылке.
Подробнее: Инструкция по восстановлению удаленных файлов на флешке
Total Comander — спаситель папок флешки
Еще один вариант подручного средства
для отображения скрытых вирусом папок — использование удобного Total Comander
. Многие пользователи применяют его для быстрого перехода по файлам и папкам. Скачать командер можно по следующей
.
Работать в командере намного проще и быстрее, чем в том же интерфейсе ОС Windows. Открывается диалоговое окно программы. На верхней панели нужно нажать опцию — «Конфигурация».
Выбор Конфигурации
Далее выбирается «Содержимое панелей», потом «настройка» и выбирается «отображение файлов». После ставится галка на параметре — «скрыть/отобразить скрытые файлы», также можно поставить галочку и на соседнем пункте «отобразить системные файлы». И нажимается ОК.
Выбор отображения скрытых файлов
Для удобства пользователя все отображенные новые файлы отмечает программа красным восклицательным знаком.
Все отмеченные таким образом файлы следует сделать видимыми на постоянной основе. Для этого кликают правой кнопкой мыши, при наведении курсора на сам испорченный файл. Выбирается в меню — «Свойства». В открывшемся окне убирают все галки на параметрах файла.
Устранение скрытых параметров
Если после этих манипуляций все файлы в папке восстановились, убрались ярлыки и флешка вновь нормально работает, то все хорошо.
Нужно только снова проверить ее антивирусом
. Если же поправить атрибуты файлов не удалось, то придется воспользоваться собственноручно написанной мини-программой.
Что нужно делать?
Если вы случайно удалили важные документы или файлы, не паникуйте. Во-первых, от этого лучше не станет, а во-вторых, вы потеряете драгоценное время. Кроме того, было бы плохой идеей форматировать устройство, так как в этом случае процесс восстановления утерянного будет куда длительней и сложнее. Выполните несколько элементарных действий. Для начала просто перезагрузите компьютер, достаньте флешку из порта через «безопасное извлечение». После вставьте ее, возможно, проблема исчезнет. Еще можно попробовать проверить файловую систему носителя на наличие системных ошибок. Для этого перейдите в свойства флешки и найдите раздел «сервис». Дальше кликните на «выполнить проверку». Перед началом процедуры желательно поставить все галочки. Исправление будет осуществляться автоматически. Есть небольшая вероятность того, что это поможет. Однако на практике это помогает примерно в 10% случаев. Давайте посмотрим, как восстановить файлы на флешке при помощи дополнительного ПО.
Как обнаружить вирус
Ваша случай не новый и далеко не единичный. Эта зараза уже давно гуляет по интернету. Причем внутреннее хранилище компьютера он не трогает, а флэшки кушает с удовольствием. Обнаружить такой вирус и поставить диагноз зараженному устройству очень просто: ярлыки вместо папок, что тут не понятного.
Сразу предупрежу: ни в коем случае, ни при каких обстоятельствах, не пытайтесь эти папки открыть. К сожалению, большинство пользователей, увидев такую картину, сразу же полезут шариться по этим папкам в поисках своих файлов. А вдруг это шутка такая от коллеги? Но увы, как показывает статистика, это не шутки. Пытаясь открыть такую папку, вы лишь запустите вирус и более того, установите его на свой компьютер.
Удаляем вирус, скрывающий папки на флешке
В принципе я уже все рассказал, а удалить вирус можно как в ручную ( в этом случае если вы не активировали сам вирус) так и просто антивирусом.
Если вы не активировали, т.е. на запустили вирус, а вирус запускается если вы запустили сам ярлык на флешке, но я сомневаюсь, что вы этого не сделали 🙂 Просто запустив его, вирус сработал и скорее всего уже скопировался на компьютер. Если же не запустили, то идем на флешку нажимаем правой кнопкой мыши на ярлык папки и выбираем «Свойства». В строке «Объект» есть длинная строчка, где и есть что-то наподобие: …start %cd%RECYCLER\4dfg5s.exe…, т.е это посередине где-то, а RECYCLER\4dfg5s.exe это и есть сам вирус на флешке в папке «RECYCLER» вирус «4dfg5s.exe» Просто удалим эту строку «RECYCLER\4dfg5s.exe» Теперь можно запустить и ярлыки нам не страшны, а желательно просто удалить ярлыки и одним из выше перечисленных способов отобразить скрытые папки.
Если же вирус появляется постоянно после записи файлов на флешку, то проблема не с флешкой, а с компьютером, т.е. вирус сидит в компьютере. А почистить его можно каким-нибудь мощным антивирусом, утилита CureIT! от Доктор Веб (Dr.Web) подойдет как ни кстати. С помощью нее вы найдете заразу без проблем. Так же можно попробовать утилиту от Касперского — «Kaspersky Virus Removal Tool», тоже достаточно мощный инструмент.
На этом, пожалуй все, сегодня я рассказал как отобразить скрытые папки, если на флешке вместо папок ярлыки.
Создаём значок в программе Paint
И в первую очередь, что мы должны сделать, так это вырезать нужную часть изображения. К тому же обрезать должны так, чтоб все стороны были одного размера. Если не подогнать пропорции сторон, то значок получится квадратный, а изображение приплюснутое.
Обрезаем. На панели программы выбираем инструмент “Выделить ” В параметрах выделения указываем фигуру “Прямоугольная область ” Левой клавишей мышки выделяем фрагмент фото. Удерживая клавишу, смотрим, как изменяется размер в нижней панели программы.
Подогнали размер, жмём кнопку “Обрезать “
Теперь фотография получилась квадратная, продолжаем.
После обрезки меняем размер будущего значка. Жмём “Изменить размер ” Изменяем в пикселях и вводим размер 64 по вертикали и горизонтали. Сохраняем “ОК “
Проверка системы на наличие команд автозапуска вируса
В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).
Другие способы автозапуска программ в системе описаны в статье Управление автозапуском программ в Windows 8.
Инструкция: Как исправить, если папки на флешке стали ярлыками
Изобретательность разработчиков вирусного программного обеспечения не знает границ, и никого не удивить обычными «Троянами», которые воруют данные, или рекламными баннерами, для закрытия которых мошенники требуют направить им платное СМС. Оригинальным является вирус, который проникает на внешний накопитель (флешку или жесткий диск) и превращает все папки в ярлыки, вернее, так считает пользователь.
На деле же вирусное приложение скрывает реальные папки с данными и подменяет их ярлыками с аналогичным названием. Нажимая на вирусные ярлыки, с флешки инсталлируются на компьютер вредоносные программы. Если у пользователя компьютера не установлено антивирусное программное обеспечение, он рискует серьезно заразить компьютер вредоносными программами, которые впоследствии могут привести к потере личных данных, важных файлов и другим проблемам.
Важно: Если папки на флешке заменились на ярлыки, не нажимайте на них, даже если они имеют названия вроде «Как решить проблему», «Прочти меня», «ReadMe» и другие. Подобным образом злоумышленники вынуждают пользователя активировать свое вирусное программное обеспечение
Что делать, если папки на флешке стали ярлыками
Как было сказано выше, главное в подобной ситуации не идти на уловки вируса и не жать на созданные им файлы. Чтобы избавиться от вирусных ярлыков и не навредить своим файлам, сделать необходимо следующее:
- Нажать правой кнопкой мыши на один из файлов, который был создан вирусным приложением. В выпадающем меню выберите пункт «Свойства». Посмотрите путь до исполняющего файла, который будет запущен после нажатия на ярлык. Чаще всего это файл с расширением .exe, который располагается в папке Recycler на флешке;
- Определившись с файлом, который является вирусным, необходимо найти его и удалить с флешки. Если он находился в папке Recycler, можно также удалить и ее;
- Далее проверьте флешку на наличие файла под названием autorun.inf. Чаще всего он также располагается в корневой папке накопителя. Данный файл служит для того, чтобы автоматически запускать вирус в работу при установке флешки в компьютер. Если такой файл удастся найти, удалите его;
- После этого необходимо очистить компьютер от вредоносных файлов, которые могли на него проникнуть. Лучше всего это сделать с помощью антивируса, но некоторые вирусные файлы можно удалить и самостоятельно. Необходимо очистить от всех файлов с расширением .exe следующие папки:
Обратите внимание: Чтобы увидеть папку AppData, а также некоторые другие, потребуется изначально включить в «Панели управления» отображение скрытых файлов и папок. Для этого:
Для этого:
- Нажмите правой кнопкой мыши на «Пуск» и выберите пункт «Панель управления»;
- Далее откроется окно, где в правом верхнем углу необходимо переключить сценарий отображения на «Крупные значки» или «Мелкие значки»;
- В списке доступных пунктов меню выберите «Параметры проводника»;
- Откроется окно настройки, где необходимо переключить на вкладку «Вид»;
- В ней прокрутите список дополнительных параметров до самого низа и включите «Показывать скрытые файлы, папки и диски». Также надо убрать галочку с пункта «Скрывать расширения для зарегистрированных типов файлов».
Избавившись от вируса, можно переходить к устранению проблем, которые образовались в результате его действий.
Как сделать видимыми скрытые папки после действий вируса
Вредоносное приложение, как отмечалось выше, скрывает папки, а вместо них создает ярлыки. После удаления вируса папки остаются скрытыми. Обычно их можно сделать видимыми, если нажать на них правой кнопкой мыши, выбрать «Свойства» и на вкладке «Общие» убрать галочку из пункта «Скрытый».
Однако проблема данного вируса, который превращает папки на флешке в ярлыки, в том, что пропадает возможность снять галочку с параметра скрытости, поскольку атрибут становится неактивным.
Чтобы изменить данное свойство и вновь сделать папку видимой, необходимо создать в корне флешки документ «Блокнот». Когда он будет создан, откройте его и пропишите в нем команду:
Далее выберите пункты «Файл» — «Сохранить как». Дайте файлу любое название, но в конце пропишите .bat – расширение для него. После того как блокнот в указанном расширении будет сохранен в корневой папке флешки, необходимо нажать на него правой кнопкой мыши и запустить от имени администратора. После этого будет выполнена команда, в результате которой у пользователя появится возможность вновь сделать видимыми скрытые папки.
Вирус на флешке — папки стали ярлыками! Решение!
Сегодня я хочу поговорить об одном уже весьма стареньком вирусе, модификации которого до сих пор будоражат компьютеры пользователей не заботящихся о собственной безопасности.
Смысл его деструктивной деятельности заключается в том, что он скрывает содержимое съемного диска и подменяет его ссылками на исполняемый файл, которые умело маскирует с помощью изменения их атрибутов. Всё рассчитано на то, что ничего не подозревающий пользователь не заметит, что вместо папок ярлыки и попытается их открыть.
Таким образом этот троян и кочует от компьютера к компьютеру, поражая незащищённые операционные системы одну за другой.Если же на очередном ПК будет стоять хорошая антивирусная программа типа Касперского или DrWeb, то она, конечно же, сразу его засечёт и удалит сам исполняемый EXE-файл или скрипт.
Но вот изменить атрибуты, из-за которых папки стали ярлыками на флешке, антивирус не в состоянии и Вам придётся делать это вручную. Как это сделать я сейчас и расскажу.
Вычищаем заразу окончательно!
Для начала надо окончательно убедиться, что вируса нет ни на компьютере, ни на USB-диске. Для этого обновляем базы антивирусной программы и проверяем сначала одно, потом другое. Если у Вас её нет — настоятельно рекомендую его установить.
Например, отлично себя зарекомендовал бесплатный антивирус Касперского. Так же можно воспользоваться одноразовым сканером DrWeb CureIT.После этого надо зайти в панель управления Windows и открыть раздел «Параметры папок».
В открывшемся окне переходим на вкладку «Вид»:
Здесь необходимо снять галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов». А вот флажок «Показывать скрытые файлы, папки и диски» надо наоборот поставить.
inf
Затем стоит удалить папку RECYCLER (Кстати, в ней-то обычно EXE-шник вируса и лежит).На жестком диске надо обратить внимание на папки пользователей, а особенно — на C:Users\AppdataRoaming
Именно сюда пытается прятаться всякая зараза, а потому в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT.
Возвращаем пропавшие папки обратно
Следующим этапом нужно вернуть обратно папки, которые стали ярлыками на USB-накопителе. Вот тут начинается самое интересное.
Дело в том, что в зависимости от модификации, способ с помощью которого вирус спрятал директории может быть разным. В самом простом случае достаточно зайти на флешку. Там вы увидите скрытые папки (их отображение мы включили выше).
Надо просто на каждой из них кликнуть правой кнопкой, открыть её свойства и снять галочку «Скрытый».
А вот если поработал более продвинутый зловред, то скорее всего эта галочка будет недоступна и так просто снять атрибут «скрытый» с папки после вируса у Вас не получится.
В этом случае прямо в корне флешки создаём текстовый файлик, в котором надо скопировать вот эту строчку:
attrib -h —r -s -a /D /S
Закрываем текстовый редактор и меняем ему расширение с *.TXT на *.BAT.Кликаем на файлике правой кнопкой и в контекстном меню выбираем пункт «Запуск от имени Администратора».
После этого папки должны стать видимыми.Если что-то непонятно — смотрим видео-инструкцию:
Автоматизированный вариант
Для тех, кто не любит всё делать вручную, предпочитая положиться на скрипты, тоже есть отличный способ. Заключается он в том, что на съёмном накопителе надо опять же создать BAT-файл, открыть его блокнотом и скопировать туда вот такой код:
:lable cls set /p disk_flash=»Input USB Drive Name: » cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:
Закрываем текстовый редактор и сохраняем изменения. Запускаем скрипт на исполнения. В начале он попросит указать букву, под которой флешка отображается в Проводнике. После этого он удалить папку RECYCLER, файл автозапуска autorun.
inf и вернёт атрибуты папкам, которые стали ярлыками. Этот вариант отлично работает в большинстве случаев на «ура».
Но если вдруг Вам попадётся более хитрая модификация такого вируса, то всё же Вам придётся закатать рукава и поработать руками.
Папки на флешке стали ярлыками
Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками. Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:
- Первая запускает и устанавливает вирус на Ваш ПК
- Вторая открывает интересующую Вас папку
Т.е
пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте
В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл папки на флешке, т.е. им назначены соответствующие атрибуты (скрытый, архивный). Наша задача: уничтожить вирус и снять эти атрибуты.
Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками
Избавляемся от вируса.
Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса, если же его нет – то вручную. Как же найти файлы зловреда?
- В проводнике Windows включаем отображение скрытых и системных фаловВ Windows XP: Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки »В Windows 7 путь немного другой Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые
- Открываем содержимое флешки, выбираем любой ярлык на папку и смотрим его свойства. Они будут выглядеть примерно так:Нас интересует значения поля Target (Объект). Строка указанная в нем довольно длинная и выглядит примерно так: %windir%\system32\cmd.exe /c «start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backup
В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Удаляем этот файл, а можно и папку целиком. Теперь клик по ярлыку не опасен!
Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах: в Windows 7 — C:\users\имя_пользователя\appdata\roaming\ в WindowsXP — C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\
Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).
Ручной способ:
- Открываем командную строку (Пуск->Выполнить->набираем cmd->Enter)
- В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
- cd /d f:\ , где f:\ — это буква диска флешки (в конкретном случае может отличаться)
- attrib -s -h /d /s , команда сбрасывает атрибуты скрытости и папки становятся видимыми.
Автоматизация с помощью файла сценария
С сайта качаем файл clear_attrib.bat (263 б) (прямая ссылка)
и запускаем его. Файл содержит следующий код:
При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, восстанавливает атрибуты на каталогах, удаляет папку с вирусом RECYCLER и, наконец, отрывает в проводнике флешку.
Как восстановить удаленную информацию трояном?
Если вы желаете произвести восстановление информации, которую удалил данный вредитель, нужно применить программу Hetman Partition Recovery. Так как данный софт применяет низкоуровневую опцию в работе с накопителем, данный софт обогнёт блок трояна и сможет прочитать вашу информацию.
Скачиваем и устанавливаем софт. Затем, нужно проанализировать съёмный носитель, который подвергся заражению.
Важно: нужно восстановить данные перед очисткой флешки от вредителя. Также, отличным вариантом удаления вируса с внешнего носителя является команда DiskPart
Она позволит деинсталлировать все данные с носителя
Также, отличным вариантом удаления вируса с внешнего носителя является команда DiskPart. Она позволит деинсталлировать все данные с носителя.