Вместо папок ярлыки как исправить. На флешке все файлы стали ярлыками: как исправить и удалить вирус?

Вирус ярлычек на флешке лечение

Подробности
Категория: Безопасность
Сотворено 31.01.2020 08:53
Просмотров: 3515

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлычки. Выясним как удалить данный вирус и при этом сохранить все файлы.

 

 

 

Суть данного вируса заключается в том, что он прячет содержимое флешки и заменяет его ссылками на исполняемый файл, который умело маскирует с помощью конфигурации их атрибутов.

Убеждаемся, что папки и файлы целые

Для этого зажимаем Windows + R и вставляем команду «control.exe folders» раскроется окно с параметрами папок перебегаем на вкладку вид и ищем там два параметра:

  • Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  • Показывать сокрытые файлы и папки — устанавливаем переключатель.

Теперь ваши папки на флешке будут видны, но они будут прозрачными.

Находим и удаляем вирус через характеристики ярлыка

Кликаем правой клавишей на ярлычек «свойства» там нас интересует строчка «Объект». Она достаточно длинноватая, но в ней есть путь к вирусу. В моем случае, строчка двойного пуска смотрелась так:

  • «%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support»

Как мы лицезреем сам вирус имеет заглавие 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вкупе с папкой Recycle.

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr.Web CureIt! он себя отлично зарекомендовал. Запускаем антивирус избираем флешку и ждем пока он отыщет и удалит вирусы.  Потом необходимо вернуть обычные атрибуты для файлов и папок это можно сделать 2-мя способами.

Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD жмем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:

  • cd /d f: надавить ENTER, где f: — это буковка вашей флешки ( с помощью данной команды мы перебегаем на флешку)
  • attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.
  • Расшифровка атрибутов R – разрешает либо запрещает атрибут «Только для чтения», S – превращает файл либо папку в системный, H – скрываем либо показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё последующий текст attrib -s -h /d /s и сохраняем с заглавием 1.bat и опосля запускаем его.
Если файлов много, то может быть будет нужно несколько минут для выполнения команды. Так же ежели есть возможность используем Dr.Web LiveDisk

Читайте также  Подключить на компьютер скайп. Как настроить Скайп на компьютерe — Полная инструкция

Автономный способ удаления вируса

В блокноте создаем файл и копируем туда ниже перечисленный текс опосля сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени админа. Опосля пуска комп попросит ввести буковку, подобающую вашей флешке, что необходимо сделать. Опосля этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлычками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=”Vvedite bukvu vashei fleshki: “
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Удаление вируса через реестр

В неких вариантах вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками последующие ветки реестра на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun – эти программы запускаются при загрузке компьютера
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun – программы, автоматом запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программы

Удаление вируса вручную

  • Во временной папке Temp C:users%username%AppDataLocalTemp ищем файл с необыкновенным расширением .pif и удаляем его (можно пользоваться поиском).
  • Проверяем также папку C:Users<<Пользователь>>AppdataRoaming. в ней не обязано быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.

Восстановление системы

Если вирус не так давно возник, то данный метод может помочь.
Нажимаем Windows + R раскроется окно выполнить вставляем туда «rstrui.exe» раскроется окошко восстановление системы жмем дальше избираем подходящую точку выставления по дате позже система спросит вы убеждены жмем «OK» и начнётся процесс выставления системы. Опосля восстановления обязано покажется окошко о успешно окончании процесса.

На этом, пожалуй, все в большинстве случаев выше перечисленные методы должны удалить вирусные ярлычки, но ежели они не посодействовали, то копируем сокрытые файлы на комп и делаем полное форматирование флешки позже копируем обратно и меняем атрибуты.

Борьба с вирусом на флешках «Вместо папок — ярлыки»

Современные антивирусы уже научились перекрыть autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке достаточно издавна разгуливает новейший тип вирусов 1-го семейства, просто — очередные трояны. Инфецирование ими можно сходу найти невооруженным взором без всяких антивирусов, основной признак — это все папки на флешке перевоплотился в ярлыки.

Если на флешке чрезвычайно принципиальные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтоб удостовериться в наличии файлов — вот это делать, совершенно не стоит!

Проблема в том, что в этих ярлычках записано по две команды, 1-ая — пуск и установка вируса в ПК, 2-ая — открытие Вашей драгоценной папки.

Чистить флешку от таковых вирусов будем пошагово.

Шаг 1. Показать сокрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  2. Показывать сокрытые файлы и папки — устанавливаем переключатель.
Читайте также  Самсунг приложение остановлено. Устранение ошибки «Приложение Google остановлено» на Samsung

Если у Вас Windows 7, необходимо пройти незначительно иной путь:  «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».

Для вас необходимы такие же характеристики и их необходимо включить аналогичным образом. Сейчас Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Чистка флешки от вирусов.

Зараженная флешка смотрится так, как показано на рисунке ниже:

Чтоб не удалять все файлы с флешки,  можно поглядеть, что запускает хоть какой из ярлычков (обычно они запускают один и тот же файл на той же флешке). Для этого необходимо поглядеть характеристики ярлычка, там Вы отыщите двойной пуск — 1-ый открывает Вашу папку, а 2-ой — запускает вирус:

Нас интересует строчка «Объект».  Она достаточно длинноватая, но в ней просто отыскать путь к вирусу, почаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строчка двойного пуска смотрелась так:

Вот тот самый путь: RECYCLER6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вкупе с папкой — сейчас клик по ярлычку не небезопасен (если вы до этого не успели его запустить).

Шаг 3.  Восстановление прежнего вида папок.

1. Удаляем все ярлычки наших папок — они не нужны.
2. Папки у нас прозрачные — это означает, что вирус загрузчик отметил их системными и сокрытыми. Просто так эти атрибуты Для вас не отключить, потому необходимо пользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Путь 1:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:

  • cd /d f:  нажать ENTER,  где f: — это буковка нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.

Путь 2:

1. Сделать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s  в него, переименовать файл в 1.bat и запустить его.

3.  В случае, когда у Вас не выходит сделать таковой файл — Вы сможете скачать мой: Bat файл для смены атррибутов. 

Если файлов много, то может быть будет нужно время на выполнение команды, время от времени до 10 минут! 

4. Опосля этого,  можно возвратятся к первому шагу и вернуть прежний вид папок, то есть, скрыть системные сокрытые  файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что конкретно Ваш ПК разносит этот вирус по флешкам, можно просмотреть перечень действий в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с заглавием схожим на FS..USB…, заместо точек  — какие или буковкы либо цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а скрывается он в виде драйвера и найти его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а  папки стают ярлычками снова?

Скажу сходу, у меня таковой ситуации не было. Как вылечивать точно — я не знаю. Выходов из ситуации я вижу три:

  • сносим Windows (1,5-2 часа, самый стремительный способ);
  • устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем комп «полными проверками» пока не найдём вирус (часа 3-4 традиционно, зависит от мощности ПК и количества файлов);
  • записываем DrWeb LiveCD на диск либо флешку, загружаемся с него и штудируем компьютер.
Читайте также  Как вставить корень в экселе. Функция КОРЕНЬ в Excel и примеры ее использования при расчетах

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — постоянно отвечу, время от времени с задержкой.

Дополнение от KRIZ (будет в помощь):

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ числа вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с таковыми вирусам изобрёл собственный метод борьбы с внедрением всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и внедрение не памяти твердого, а оперативной.

Работает непревзойденно.  Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое увлекательное во время данного процесса как и с Life CD от Интернета вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Оболочкой где подгружены фактически всё что необходимо для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не принципиально какая у вас операционка стоит хоть ЛИНУКС данный метод использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»

Дополнение от Николая с моими пометками:

Создаем файл для удаления вируса с флешки и одновременного открытия папок. В текстовый файл вписываем команды, без моих пометок в скобках, сохраняем файл, переименовываем его в Antivir.bat. Загружаем на зараженную флешку и запускаем.
Перечень команд:

Если папка RECYCLE.bin не удаляется либо возникла снова

Cама по для себя папка Recycle.Bin не небезопасна — она возникает автоматом, так как это папка корзины Windows. Традиционно в настройках корзины — установлено резервировать 10% от каждого диска, потому на всех дисках С, D, E и т.д., не считая DVD возникает эта сокрытая папка. Вот ежели в данной нам папке есть файлы с раcширением EXE либо BAT — тогда их стоит удалить.

Я запустил файл на флешке, но ничего не происходит

Файл, который Вы скачали у меня либо написали сами, можно считать самодостаточной програмкой, но у неё нет окон, статуса выполнения и т.д. Ежели на флешке много папок и файлов, то процедура может занимать до 5-10 минут, просто подождите.

Я получил ошибку – Нет доступа

Ежели Вы делаете эту функцию на работе, может быть у Вас нет прав админа ПК. Попытайтесь сделать тоже самое в безопасном режиме либо на другом ПК.

Сейчас остальные читают:

Оставьте комментарий