Вместо папок ярлыки как исправить. На флешке все файлы стали ярлыками: как исправить и удалить вирус?

от

Вирус ярлычек на флешке лечение

Подробности
Категория: Безопасность
Сотворено 31.01.2020 08:53
Просмотров: 3515

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлычки. Выясним как удалить данный вирус и при этом сохранить все файлы.

 

 

 

Суть данного вируса заключается в том, что он прячет содержимое флешки и заменяет его ссылками на исполняемый файл, который умело маскирует с помощью конфигурации их атрибутов.

Убеждаемся, что папки и файлы целые

Для этого зажимаем Windows + R и вставляем команду «control.exe folders» раскроется окно с параметрами папок перебегаем на вкладку вид и ищем там два параметра:

  • Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  • Показывать сокрытые файлы и папки — устанавливаем переключатель.

Теперь ваши папки на флешке будут видны, но они будут прозрачными.

Находим и удаляем вирус через характеристики ярлыка

Кликаем правой клавишей на ярлычек «свойства» там нас интересует строчка «Объект». Она достаточно длинноватая, но в ней есть путь к вирусу. В моем случае, строчка двойного пуска смотрелась так:

  • «%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support»

Как мы лицезреем сам вирус имеет заглавие 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вкупе с папкой Recycle.

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr.Web CureIt! он себя отлично зарекомендовал. Запускаем антивирус избираем флешку и ждем пока он отыщет и удалит вирусы.  Потом необходимо вернуть обычные атрибуты для файлов и папок это можно сделать 2-мя способами.

Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD жмем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:

  • cd /d f: надавить ENTER, где f: — это буковка вашей флешки ( с помощью данной команды мы перебегаем на флешку)
  • attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.
  • Расшифровка атрибутов R – разрешает либо запрещает атрибут «Только для чтения», S – превращает файл либо папку в системный, H – скрываем либо показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё последующий текст attrib -s -h /d /s и сохраняем с заглавием 1.bat и опосля запускаем его.
Если файлов много, то может быть будет нужно несколько минут для выполнения команды. Так же ежели есть возможность используем Dr.Web LiveDisk

Читайте также  Мигает и не включается телефон. 7 причин почему телефон не включается и вибрирует

Автономный способ удаления вируса

В блокноте создаем файл и копируем туда ниже перечисленный текс опосля сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени админа. Опосля пуска комп попросит ввести буковку, подобающую вашей флешке, что необходимо сделать. Опосля этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлычками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=”Vvedite bukvu vashei fleshki: “
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Удаление вируса через реестр

В неких вариантах вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками последующие ветки реестра на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun – эти программы запускаются при загрузке компьютера
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun – программы, автоматом запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программы

Удаление вируса вручную

  • Во временной папке Temp C:users%username%AppDataLocalTemp ищем файл с необыкновенным расширением .pif и удаляем его (можно пользоваться поиском).
  • Проверяем также папку C:Users<<Пользователь>>AppdataRoaming. в ней не обязано быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.

Восстановление системы

Если вирус не так давно возник, то данный метод может помочь.
Нажимаем Windows + R раскроется окно выполнить вставляем туда «rstrui.exe» раскроется окошко восстановление системы жмем дальше избираем подходящую точку выставления по дате позже система спросит вы убеждены жмем «OK» и начнётся процесс выставления системы. Опосля восстановления обязано покажется окошко о успешно окончании процесса.

На этом, пожалуй, все в большинстве случаев выше перечисленные методы должны удалить вирусные ярлычки, но ежели они не посодействовали, то копируем сокрытые файлы на комп и делаем полное форматирование флешки позже копируем обратно и меняем атрибуты.

Борьба с вирусом на флешках «Вместо папок — ярлыки»

Современные антивирусы уже научились перекрыть autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке достаточно издавна разгуливает новейший тип вирусов 1-го семейства, просто — очередные трояны. Инфецирование ими можно сходу найти невооруженным взором без всяких антивирусов, основной признак — это все папки на флешке перевоплотился в ярлыки.

Если на флешке чрезвычайно принципиальные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтоб удостовериться в наличии файлов — вот это делать, совершенно не стоит!

Проблема в том, что в этих ярлычках записано по две команды, 1-ая — пуск и установка вируса в ПК, 2-ая — открытие Вашей драгоценной папки.

Чистить флешку от таковых вирусов будем пошагово.

Шаг 1. Показать сокрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  2. Показывать сокрытые файлы и папки — устанавливаем переключатель.
Читайте также  Размытая камера на телефоне. Почему камера на телефоне может мутно снимать

Если у Вас Windows 7, необходимо пройти незначительно иной путь:  «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».

Для вас необходимы такие же характеристики и их необходимо включить аналогичным образом. Сейчас Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Чистка флешки от вирусов.

Зараженная флешка смотрится так, как показано на рисунке ниже:

Чтоб не удалять все файлы с флешки,  можно поглядеть, что запускает хоть какой из ярлычков (обычно они запускают один и тот же файл на той же флешке). Для этого необходимо поглядеть характеристики ярлычка, там Вы отыщите двойной пуск — 1-ый открывает Вашу папку, а 2-ой — запускает вирус:

Нас интересует строчка «Объект».  Она достаточно длинноватая, но в ней просто отыскать путь к вирусу, почаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строчка двойного пуска смотрелась так:

Вот тот самый путь: RECYCLER6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вкупе с папкой — сейчас клик по ярлычку не небезопасен (если вы до этого не успели его запустить).

Шаг 3.  Восстановление прежнего вида папок.

1. Удаляем все ярлычки наших папок — они не нужны.
2. Папки у нас прозрачные — это означает, что вирус загрузчик отметил их системными и сокрытыми. Просто так эти атрибуты Для вас не отключить, потому необходимо пользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Путь 1:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Раскроется темное окно командной строчки в ней необходимо ввести такие команды:

  • cd /d f:  нажать ENTER,  где f: — это буковка нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s надавить ENTER — эта команда сбросит атрибуты и папки станут видимыми.

Путь 2:

1. Сделать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s  в него, переименовать файл в 1.bat и запустить его.

3.  В случае, когда у Вас не выходит сделать таковой файл — Вы сможете скачать мой: Bat файл для смены атррибутов. 

Если файлов много, то может быть будет нужно время на выполнение команды, время от времени до 10 минут! 

4. Опосля этого,  можно возвратятся к первому шагу и вернуть прежний вид папок, то есть, скрыть системные сокрытые  файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что конкретно Ваш ПК разносит этот вирус по флешкам, можно просмотреть перечень действий в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с заглавием схожим на FS..USB…, заместо точек  — какие или буковкы либо цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а скрывается он в виде драйвера и найти его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а  папки стают ярлычками снова?

Скажу сходу, у меня таковой ситуации не было. Как вылечивать точно — я не знаю. Выходов из ситуации я вижу три:

  • сносим Windows (1,5-2 часа, самый стремительный способ);
  • устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем комп «полными проверками» пока не найдём вирус (часа 3-4 традиционно, зависит от мощности ПК и количества файлов);
  • записываем DrWeb LiveCD на диск либо флешку, загружаемся с него и штудируем компьютер.
Читайте также  Что делать с аудиокассетами. Как оцифровать аудиокассеты в домашних условиях

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — постоянно отвечу, время от времени с задержкой.

Дополнение от KRIZ (будет в помощь):

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ числа вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с таковыми вирусам изобрёл собственный метод борьбы с внедрением всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и внедрение не памяти твердого, а оперативной.

Работает непревзойденно.  Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое увлекательное во время данного процесса как и с Life CD от Интернета вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Оболочкой где подгружены фактически всё что необходимо для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не принципиально какая у вас операционка стоит хоть ЛИНУКС данный метод использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»

Дополнение от Николая с моими пометками:

Создаем файл для удаления вируса с флешки и одновременного открытия папок. В текстовый файл вписываем команды, без моих пометок в скобках, сохраняем файл, переименовываем его в Antivir.bat. Загружаем на зараженную флешку и запускаем.
Перечень команд:

Если папка RECYCLE.bin не удаляется либо возникла снова

Cама по для себя папка Recycle.Bin не небезопасна — она возникает автоматом, так как это папка корзины Windows. Традиционно в настройках корзины — установлено резервировать 10% от каждого диска, потому на всех дисках С, D, E и т.д., не считая DVD возникает эта сокрытая папка. Вот ежели в данной нам папке есть файлы с раcширением EXE либо BAT — тогда их стоит удалить.

Я запустил файл на флешке, но ничего не происходит

Файл, который Вы скачали у меня либо написали сами, можно считать самодостаточной програмкой, но у неё нет окон, статуса выполнения и т.д. Ежели на флешке много папок и файлов, то процедура может занимать до 5-10 минут, просто подождите.

Я получил ошибку – Нет доступа

Ежели Вы делаете эту функцию на работе, может быть у Вас нет прав админа ПК. Попытайтесь сделать тоже самое в безопасном режиме либо на другом ПК.

Сейчас остальные читают:

Оставьте комментарий