Green-sell.info

Новые технологии
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

На флешки файлы как ярлыки

KINGSLON

Заработок, финансы, создание и продвижение сайтов

Популярные публикации

  • Вирус создал ярлык флешки на флешке 399 просмотров
  • Samsung Galaxy S8 скидка 80 % 141 просмотр
  • Наборщик текста страховой взнос 122 просмотра
  • ТОП популярных хэштегов ВКонтакте 72 просмотра
  • Шрифт как ВКонтакте на фото 69 просмотров
  • Развод копия Galaxy S8 59 просмотров
  • Развод с QIWI кошельком 47 просмотров
  • Как восстановить удаленную страницу ВКонтакте 44 просмотра
  • Сообщество было заблокировано за резкую смену тематики 37 просмотров
  • Развод сборка ручек на дому 32 просмотра

Вирус создал ярлык флешки на флешке

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли.

Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.

По запросу «ярлык флешки на флешке» поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

cd /d X: (вместо Х вы вводите букву каталога вашей флешки)

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.

Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

Process Explorer v16.20

Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe .

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf .

Во временной папке Temp ( C:users%username%AppDataLocalTemp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:Users<Имя пользователя>AppDataRoaming скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

Похожие публикации:

Навигация по записям

71 комментарий

У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

У меня тоже самое. Что делать?

Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

Благодарю за отзыв, рад что смог помочь

Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:UsersДмитрийAppDataRoamingWinset Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.

Когда я словил вирус, Касперский его еще не обнаруживал.

Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

Файлы на флешке стали ярлыками, что делать?

Файлы на флешке стали ярлыками, что делать? Думаете, что информация полностью утеряна? Выход есть! Ответы на вопросы как восстановить все данные и удалить вирус ищите в этой статье.

Содержание

Файлы и папки на флешке превратились в ярлыки, с чем связано

Почти у каждого пользователя компьютером возникала проблема, когда папки на флешке переставали отображаться, а вместо них появлялись ярлыки. Такой типа вируса может заразить ПК, телефон и любое другое портативное устройство и папки перестанут отображаться.
Как быстро и правильно решить такую проблему? Подробное описание вы найдёте в этой статье.
Также Вы узнаете о типах вирусов и их особенностях.

Читать еще:  Как снять битлокер с флешки

Вирус после, которого файлы становятся ярлыками, бывает двух типов:

  • Все папки на съёмном носителе заменились ярлыками.
  • Вместо локальных дисков на ПК появились ярлыки.

Подробнее о каждом из типов.

  • Самым распространенным является вирус, что делает папки невидимыми, а вместо них отображаются ярлыки. Это адское сочетание Worm и Trojan. Многие пользователи, впервые столкнувшись с подобной проблемой дважды кликают курсором на ярлык папки в надежде их открыть, и запускают зловредные программы.
  • Второй вариант — это Trojan, он собирает все файлы на устройствах и переносит их в одну скрытую папку. После этого создает один общий ярлык, пользователь может получить доступ, к файлам только открыв его. И снова после двойного клика вирус начинает вредоносно распространяться по компьютеру, устанавливать шпионские программы и копировать персональные данные.

Как восстановить поврежденные файлы на флешке

Попав на компьютер пользователя или съёмный носитель, зловредный вирус создает папку RECYCLER и прописывается там. Папка скрыта, в ней вредоносный код – это своеобразная маскировка. Параллельно с этим все папки, которые были на флешке становиться невидимыми. Вирус создает ярлыки, которые его активируют.
После того, как флешку с вирусом подключают к компьютеру и кликают по ярлыку папки, вредоносная команда запускается. Если у вас на ПК нет антивируса, последствия могут быть печальными. Начиная от взломов паролей, до установки бэкдора.

Есть несколько простых вариантов, для удаления вируса:

  • При помощи Total Commander или другого файлового менеджера.
  • Используя загрузочный диск или загрузочную флешку.
  • При помощи командной строки.

Вариант первый — Total Commander.

  • Скачайте, и установит файловый менеджер.
  • Двойным кликом запустите программу.
  • Найдите подключенную флешку (левый правый угол).
  • В первые секунды, кажется, что все хорошо, но стоит присмотреться — папок не видно, а видны ярлыки.
  • Зайдите в раздел конфигурация – настройки. Установите галочки напротив: показывать скрытые файлы и системные файлы. После этих манипуляций на флешке станут видны папки, которые были скрыты.
  • Все ярлыки удалите.
  • Теперь нужно вернуть прежний вид папок. Выделите нужную папку. Откройте вкладку «файл» — изменить атрибуты. Удалите отметки напротив: только для чтения, архивный, системный, скрытый, системный.
  • Последняя немаловажная деталь. Удалите папку RECYCLER, в которой и спрятался вирус.

Вариант второй — при помощи командной строки.

  • Зайдите меню «Пуск» и кликните на «Выполнить».
  • В открывшейся строке введите «cmd» и подтвердите команду.
  • Появится командная строка. В ней пропишите «cd /d X:». Х – буква, под которой отображается ваша флешка.
  • Следующий шаг пропишите – «attrib -s -h /d /s».

Выполнив все пункты в правильной последовательности, информация на вашей флешке будет восстановлена.

Третий вариант — используя загрузочный диск Live DVD или загрузочную флешку.
Это способ подойдет более опытным пользователям, так для его осуществления необходим загрузочный диск или флешка. А не у всех они есть под рукой.

Удаляем вирус, создающий ярлыки на флешке. Пошаговая инструкция

Избавиться от вируса, который поселился на вашей флешке можно при помощи антивируса. Воспользуйтесь, например бесплатной версией Dr.Web CureIt или Касперским.
Если установить программу нет возможности или вирусы обнаружить он не смог, воспользуйтесь ручным методом.
Другие способы отображения информации на зараженной флешке были описаны в предыдущем разделе.

  • Первым делом вирус нужно найти. Через проводник возвращаем папкам видимость. (Показать скрытые папки и файлы, показать защищенные и системные файлы).
  • Заходим на флешку. Открывает свойства любого ярлыка. Видим в поле «Объект» — RECYCLER. Это и есть вирус.
  • Находим на флешке папку с таким названием, удаляем ее целиком. В профилактических целях проверьте наличие вируса в системных файлах C:windows, C:windowssystem32.

И в следующих папках: в Windows 7, 8, 10 — C:usersимя_пользователяappdataroaming. Если найдете похожие файлы с расширением «exe», значит это вирус и его необходимо удалить.

Бывают случаи, когда вирусы прячутся под расширением .bat/.cmd/.vbs. Если нашли что-то подобное на съемном носителе, просмотрите их код и удалите.
После проведения всех действий вирус будет полностью обезврежен.

Борьба с вирусом на флешках «Вместо папок — ярлыки»

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».

Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

Вот тот самый путь: RECYCLER6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Читать еще:  Как определить какая видеокарта в ноутбуке

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f: нажать ENTER, где f: — это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: Bat файл для смены атррибутов.

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

  • сносим Windows (1,5-2 часа, самый быстрый способ);
  • устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
  • записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Оболочкой где подгружены практически всё что нужно для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не важно какая у вас операционка стоит хоть ЛИНУКС данный способ использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»

Папки на флешке стали ярлыками! Что делать?

Вирус который делает папки на флешке ярлыками, а сами папки становятся скрытыми. Это встречается довольно часто.

Открывать такие ярлыки не в коем случаи нельзя. В ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей папки. Открыв такой ярлык вы заразите компьютер этим вирусом.

Но не стоит паниковать. Этот вирус можно удалить. Все файлы на флешке можно восстановить. И так все по порядку.

Для начало необходимо отобразить файлы на флешки

На самом деле все Ваши файлы не пропали. Вирус сделал файлы невидимыми (скрытыми) и на них сделал ярлыки. Открыть ваши скрытые файлы просто для этого нужно:

Если у вас Windows XP, то заходим в «Мой компьютер» → в верхнем меню выбираем «Сервис» → затем «Свойства папки» . В появившемся окне выбираем вкладку «Вид». На вкладке «Вид» ищем пункт «Скрывать защищенные системные файлы (рекомендуется)» и снимаем галочку. Далее в пункте «Показывать скрытые файлы и папки» ставим галочку.

Если у Вас Windows 7, то нужно нажать кнопку «Пуск» (в левом нижнем углу) и выбрать «панель управления». В панели управления выбираем пункт «Оформление и персонализация» → «Параметры папок». В появившемся окне выбираем вкладку «Вид». На вкладке «Вид» ищем пункт «Скрывать защищенные системные файлы (рекомендуется)» и снимаем галочку. Далее в пункте «Показывать скрытые файлы и папки» ставим галочку.

Удаляем вирус из флешки

Флешка зараженная вирусом выглядит так:

Для того, чтобы узнать где находится вирус, нужно:

  • правой кнопкой мыши нажать на любой ярлык на флешки
  • выбрать свойства

В строке «Объект» будет прописан двойной запуск — первый открывает Вашу папку, а второй — запускает вирус.

Строка очень длинная, но в ней легко можно найти путь к вирусу. Чаще всего вирус представлен такого типа 12651515.exe (название может быть любым), который в основном находиться в папке Recycle. В этом примере строка двойного запуска выглядит так:

«%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support»

Отсюда мы видим что вирус находиться в папке RECYCLER и называется 6dc09d8d.exe. (%windir%system32cmd.exe /c “start %cd%RECYCLER6dc09d8d.exe &&%windir%explorer.exe %cd%support)

Удаляем из флешки папку вместе с вирусом. После этого запуск любого ярлыка не опасен.

Восстанавливаем файлы на флешке

Теперь смело удаляем все ярлыки. Но наши файлы по прежнему являются скрытыми и системными (они прозрачные). Просто так эти атрибуты не убрать. Для восстановления начальных атрибутов нашим файлам существует несколько способов:

Первый способ

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f: нажать ENTER, где f: — это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

Второй способ

1. Создать текстовый файл на флешки.

2. Записать в него команду attrib -s -h -r -a /s /d , переименовать файл в 1.bat и запустить его.

3. Скачать файл сброса атрибута. Распакуйте архив → скопируйте файл «1.bat» на флешку → запустите этот файл. Если файлов на флешке много, то процесс снятия атрибутов может затянутся до 15 минут.

Для предотвращения заражения вирусами настоятельно рекомендуем пользоваться антивирусными программами. Проверьте компьютер на вирусы. После подключения флешки проверяйте ее на вирусы. Проверить флешку можно антивирусом «Касперский». Как пользоваться Касперским легально и бесплатно можете прочитать в этой статье Журнальные ключи для Касперского 2017

Папки на флешке стали ярлыками

Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками. Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

  1. Первая запускает и устанавливает вирус на Ваш ПК
  2. Вторая открывает интересующую Вас папку
Читать еще:  Прошивка через флеш тоол

Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е. им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.

Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?

  1. В проводнике Windows включаем отображение скрытых и системных фалов.
    • В Windows XP: Пуск-> Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки».
    • В Windows 7 путь немного другой: Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые.
    • Для Windows 8/10 инструкция есть в статье Показать скрытые папки в Windows 8.
  2. Открываем содержимое флешки, и видим на нем множество ярлыков на папки (обратите внимание на значок ярлыка у иконок папок). Теперь нужно открыть свойства любого ярлыка на папку (ПКМ -> Свойства). Они будут выглядеть примерно так: Нас интересует значения поля Target (Объект). Строка, указанная в нем довольно длинная, и может выглядит примерно так:
    %windir%system32cmd.exe /c «start %cd%RECYCLERe3180321.exe &&%windir%explorer.exe %cd%backup

В этом примере RECYCLERe3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:windows, C:windowssystem32 и в профиле текущего пользователя (о них чуть ниже)).

Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:

  • в Windows 7, 8 и 10 — C:usersимя_пользователяappdataroaming
  • в Windows XP — C:Documents and Settingsимя_пользователяLocal SettingsApplication Data

Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде .bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Проверка системы на наличие команд автозапуска вируса

В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun – эти программы запускаются при загрузке компьютера
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun – программы, автоматически запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).

Другие способы автозапуска программ в системе описаны в статье Управление автозапуском программ в Windows 8.

Восстанавливаем вид каталогов и доступ к папкам

После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Ручной способ восстановления атрибутов скрытых папок на флешке

  1. Открываем командную строку с правами администратора
  2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
    cd /d f:
    , где f: — это буква диска, назначенная флешке (в конкретном случае может отличаться)
    attrib -s -h /d /s
    , команда сбрасывает атрибуты S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.

В результате все данные на накопителе становятся видимыми.

Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов

Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.

С этого сайта скачайте файл clear_attrib.bat (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:

:lbl
cls
set /p disk_flash=»Enter flash drive: «
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.

Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector