Вместо папок ярлыки как исправить. На флешке все файлы стали ярлыками: как исправить и удалить вирус?

Подробности

Категория: Безопасность

Сотворено 31.01.2020 08:53

Просмотров: 3515

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлычки. Выясним как удалить данный вирус и при этом сохранить все файлы.

Суть данного вируса заключается в том, что он прячет содержимое флешки и заменяет его ссылками на исполняемый файл, который умело маскирует с помощью конфигурации их атрибутов.

Убеждаемся, что папки и файлы целые

Для этого зажимаем Windows + R и вставляем команду «control.exe folders» раскроется окно с параметрами папок перебегаем на вкладку вид и ищем там два параметра:

• Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
• Показывать сокрытые файлы и папки — устанавливаем переключатель.

Теперь ваши папки на флешке будут видны, но они будут прозрачными.

Находим и удаляем вирус через характеристики ярлыка

Кликаем правой клавишей на ярлычек «свойства» там нас интересует строчка «Объект». Она достаточно длинноватая, но в ней есть путь к вирусу. В моем случае, строчка двойного пуска смотрелась так:

• «%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support»

Как мы лицезреем сам вирус имеет заглавие 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вкупе с папкой Recycle.

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr.Web CureIt! он себя отлично зарекомендовал. Запускаем антивирус избираем флешку и ждем пока он отыщет и удалит вирусы.  Потом необходимо вернуть обычные атрибуты для файлов и папок это можно сделать 2-мя способами.

Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD жмем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:

• cd /d f: надавить ENTER, где f: — это буковка вашей флешки ( с помощью данной команды мы перебегаем на флешку)
• attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.
• Расшифровка атрибутов R – разрешает либо запрещает атрибут «Только для чтения», S – превращает файл либо папку в системный, H – скрываем либо показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё последующий текст attrib -s -h /d /s и сохраняем с заглавием 1.bat и опосля запускаем его.
Если файлов много, то может быть будет нужно несколько минут для выполнения команды. Так же ежели есть возможность используем Dr.Web LiveDisk

Автономный способ удаления вируса

В блокноте создаем файл и копируем туда ниже перечисленный текс опосля сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени админа. Опосля пуска комп попросит ввести буковку, подобающую вашей флешке, что необходимо сделать. Опосля этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлычками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=”Vvedite bukvu vashei fleshki: “
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Удаление вируса через реестр

В неких вариантах вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками последующие ветки реестра на наличие подозрительных записей:

• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun – эти программы запускаются при загрузке компьютера
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun – программы, автоматом запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программы

Удаление вируса вручную

• Во временной папке Temp C:users%username%AppDataLocalTemp ищем файл с необыкновенным расширением .pif и удаляем его (можно пользоваться поиском).
• Проверяем также папку C:Users<<Пользователь>>AppdataRoaming. в ней не обязано быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.

Восстановление системы

Если вирус не так давно возник, то данный метод может помочь.
Нажимаем Windows + R раскроется окно выполнить вставляем туда «rstrui.exe» раскроется окошко восстановление системы жмем дальше избираем подходящую точку выставления по дате позже система спросит вы убеждены жмем «OK» и начнётся процесс выставления системы. Опосля восстановления обязано покажется окошко о успешно окончании процесса.

На этом, пожалуй, все в большинстве случаев выше перечисленные методы должны удалить вирусные ярлычки, но ежели они не посодействовали, то копируем сокрытые файлы на комп и делаем полное форматирование флешки позже копируем обратно и меняем атрибуты.

Современные антивирусы уже научились перекрыть autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке достаточно издавна разгуливает новейший тип вирусов 1-го семейства, просто — очередные трояны. Инфецирование ими можно сходу найти невооруженным взором без всяких антивирусов, основной признак — это все папки на флешке перевоплотился в ярлыки.

Если на флешке чрезвычайно принципиальные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтоб удостовериться в наличии файлов — вот это делать, совершенно не стоит!

Проблема в том, что в этих ярлычках записано по две команды, 1-ая — пуск и установка вируса в ПК, 2-ая — открытие Вашей драгоценной папки.

Чистить флешку от таковых вирусов будем пошагово.

Шаг 1. Показать сокрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
2. Показывать сокрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, необходимо пройти незначительно иной путь:  «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».

Для вас необходимы такие же характеристики и их необходимо включить аналогичным образом. Сейчас Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Чистка флешки от вирусов.

Зараженная флешка смотрится так, как показано на рисунке ниже:

Чтоб не удалять все файлы с флешки,  можно поглядеть, что запускает хоть какой из ярлычков (обычно они запускают один и тот же файл на той же флешке). Для этого необходимо поглядеть характеристики ярлычка, там Вы отыщите двойной пуск — 1-ый открывает Вашу папку, а 2-ой — запускает вирус:

Нас интересует строчка «Объект».  Она достаточно длинноватая, но в ней просто отыскать путь к вирусу, почаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строчка двойного пуска смотрелась так:

Вот тот самый путь: RECYCLER6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вкупе с папкой — сейчас клик по ярлычку не небезопасен (если вы до этого не успели его запустить).

Шаг 3.  Восстановление прежнего вида папок.

1. Удаляем все ярлычки наших папок — они не нужны.
2. Папки у нас прозрачные — это означает, что вирус загрузчик отметил их системными и сокрытыми. Просто так эти атрибуты Для вас не отключить, потому необходимо пользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Путь 1:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:

• cd /d f:  нажать ENTER,  где f: — это буковка нашей флешки (может отличатся от примера)
• attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.

Путь 2:

1. Сделать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s  в него, переименовать файл в 1.bat и запустить его.

3.  В случае, когда у Вас не выходит сделать таковой файл — Вы сможете скачать мой: Bat файл для смены атррибутов. 

Если файлов много, то может быть будет нужно время на выполнение команды, время от времени до 10 минут! 

4. Опосля этого,  можно возвратятся к первому шагу и вернуть прежний вид папок, то есть, скрыть системные сокрытые  файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что конкретно Ваш ПК разносит этот вирус по флешкам, можно просмотреть перечень действий в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с заглавием схожим на FS..USB…, заместо точек  — какие или буковкы либо цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а скрывается он в виде драйвера и найти его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а  папки стают ярлычками снова?

Скажу сходу, у меня таковой ситуации не было. Как вылечивать точно — я не знаю. Выходов из ситуации я вижу три:

• сносим Windows (1,5-2 часа, самый стремительный способ);
• устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем комп «полными проверками» пока не найдём вирус (часа 3-4 традиционно, зависит от мощности ПК и количества файлов);
• записываем DrWeb LiveCD на диск либо флешку, загружаемся с него и штудируем компьютер.

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — постоянно отвечу, время от времени с задержкой.

Сейчас остальные читают: