Вирус сделал папки ярлыками. Что делать если папки на флешке стали ярлыками

Файла на флешке стали ярлыками, что делать? Думаете, что информация полностью утеряна? Выход есть! Ответы на вопросы как восстановить все данные и удалить вирус ищите в этой статье.

Файлы и папки на флешке превратились в ярлыки, с чем связано

• Все папки на съёмном носителе заменились ярлыками.
• Вместо локальных дисков на ПК появились ярлыки.

• Самым распространенным является вирус, что делает папки невидимыми, а вместо них отображаются ярлыки. Это адское сочетание Worm и Trojan. Многие пользователи, впервые столкнувшись с подобной проблемой дважды кликают курсором на ярлык папки в надежде их открыть, и запускают зловредные программы.
• Второй вариант - это Trojan, он собирает все файлы на устройствах и переносит их в одну скрытую папку. После этого создает один общий ярлык, пользователь может получить доступ, к файлам только открыв его. И снова после двойного клика вирус начинает вредоносно распространяться по компьютеру, устанавливать шпионские программы и копировать персональные данные.

Как восстановить поврежденные файлы на флешке

Попав на компьютер пользователя или съёмный носитель, зловредный вирус создает папку RECYCLER и прописывается там. Папка скрыта, в ней вредоносный код – это своеобразная маскировка. Параллельно с этим все папки, которые были на флешке становиться невидимыми. Вирус создает ярлыки, которые его активируют.
После того, как флешку с вирусом подключают к компьютеру и кликают по ярлыку папки, вредоносная команда запускается. Если у вас на ПК нет антивируса, последствия могут быть печальными. Начиная от взломов паролей, до установки бэкдора.
Есть несколько простых вариантов, для удаления вируса:

• При помощи Total Commander или другого файлового менеджера.
• Используя загрузочный диск или загрузочную флешку.
• При помощи командной строки.

1. Скачайте, и установит файловый менеджер.
2. Двойным кликом запустите программу.
3. Найдите подключенную флешку (левый правый угол).
4. В первые секунды, кажется, что все хорошо, но стоит присмотреться - папок не видно, а видны ярлыки.
5. Зайдите в раздел конфигурация – настройки. Установите галочки напротив: показывать скрытые файлы и системные файлы. После этих манипуляций на флешке станут видны папки, которые были скрыты.
6. Все ярлыки удалите.
7. Теперь нужно вернуть прежний вид папок. Выделите нужную папку. Откройте вкладку «файл» - изменить атрибуты. Удалите отметки напротив: только для чтения, архивный, системный, скрытый, системный.
8. Последняя немаловажная деталь. Удалите папку RECYCLER, в которой и спрятался вирус.

1. Зайдите меню «Пуск» и кликните на «Выполнить».
2. В открывшейся строке введите «cmd» и подтвердите команду.
3. Появится командная строка. В ней пропишите «cd /d X:\». Х – буква, под которой отображается ваша флешка.
4. Следующий шаг пропишите – «attrib -s -h /d /s».

Третий вариант - используя загрузочный диск Live DVD или загрузочную флешку.
Это способ подойдет более опытным пользователям, так для его осуществления необходим загрузочный диск или флешка. А не у всех они есть под рукой.

Удаляем вирус, создающий ярлыки на флешке. Пошаговая инструкция

Избавиться от вируса, который поселился на вашей флешке можно при помощи антивируса. Воспользуйтесь, например бесплатной версией Dr.Web CureIt или Касперским.
Если установить программу нет возможности или вирусы обнаружить он не смог, воспользуйтесь ручным методом.
Другие способы отображения информации на зараженной флешке были описаны в предбудущем разделе.

• Первым делом вирус нужно найти. Через проводник возвращаем папкам видимость. (Показать скрытые папки и файлы, показать защищенные и системные файлы).
• Заходим на флешку. Открывает свойства любого ярлыка. Видим в поле «Объект» - RECYCLER. Это и есть вирус.
• Находим на флешке папку с таким названием, удаляем ее целиком. В профилактических целях проверьте наличие вируса в системных файлах C:\windows, C:\windows\system32.

Бывают случаи, когда вирусы прячутся под расширением.bat/.cmd/.vbs. Если нашли что-то подобное на съемном носителе, просмотрите их код и удалите.
После проведения всех действий вирус будет полностью обезврежен.

Лечение флешки от вируса по видео инструкции

ТОП программ, которые сберегут Вашу флешку от вирусов

• Shortcut Virus Remover 3.1. - самая известная программа для удаления вирусов. Программу не нужно устанавливать, скачайте и откройте архив. Кликните на программу, в открывшемся окне выберите проверку внешнего накопителя.
• HFV Cleaner Pro - лучшая программа для борьбы с Worm и Trojan. На компьютер ее устанавливать не нужно. При первом открытии программа попросит ввести нужный вам пароль. Найдите флешку и удалите вирус. Восстановите видимость папок и остальных файлов.
• Shortcut Virus Remover BAT – небольшой файл, который после одного клика поможет удалить вредоносную программу.
• UsbFix - программа, которая проводит полную проверку и очистку флешки от вредоносных объектов. С ее помощью можно проверить персональный компьютер. Программа постоянно обновляется.

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки .

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».


Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:


Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить ).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

• cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
• attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: .

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

• сносим Windows (1,5-2 часа, самый быстрый способ);
• устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
• записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

• F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Папки превратились в ярлыки

Если на флешке вместо папок появились ярлыки — это верный признак того, что поработал вирус. Как правило, такие приключения случаются на компьютерах, на которых не установлен надежный антивирус, например KIS (Kaspersky Internet Security).

Итак, если папки стали ярлыками, не щелкайте по этим ярлыкам , так как каждый такой ярлык запускает вирус повторно, что может привести к заражению других компьютеров.

В результате действия вируса вместо папок отображаются ярлыки

В результате действия вируса, все ваши папки делаются скрытыми и системными — они есть на флешке, но вы их не видите. Вместо ваших файлов отображаются ярлыки название которых совпадает с названием ваших папок. Если вы посмотрите занятый объем флешки, то увидите, что он большой, т.е. ваши папки с файлами никуда не делись.

Удаляем вирусы и восстанавливаем папки на флешке

На чужом компьютере я заразил две своих флешки + мне доверили еще одну зараженную флешку, так что я попробовал восстановить папки двумя способами:

1. При помощи Kaspersky Internet Security (KIS);
2. При помощи утилиты Dr.Web CureIt.

Вариант 1. Заражена только флешка — используем KIS (для подготовленных пользователей)

Вы заразили флешку на чужом компьютере, а ваш компьютер чист от вирусов (или вы так думаете). Также на вашем компьютере установлен надежный антивирус.

В этом случае, можно проверить флешку при помощи установленного антивируса, например при помощи Kaspersky Internet Security. При помощи KIS я проверил две зараженные флешки, вот результат проверки (кликабельно):

Результат проверки при помощи KIS 2013

Найдены две разновидности вирусов:

• Worm.Win32.Ngrbot.wmf
• Worm.Win32.Ngrbot.wim

Сами же вирусы скрываются под разными именами, например под именем «+ОБ-9.exe» — это ничто иное, как сам вирус — исполняемый файл.

К сожалению, антивирус Касперского удалил только файлы вирусов , т.е. он не удалил ярлыки и не восстановил папки. В подобных случаях удалять ярлыки нужно вручную, а затем еще сделать папки видимыми.

Сделать папки видимыми можно через командную строку (вызывается через «cmd»):

cd /d буква флешки:\ <- нажимаем ENTER
attrib -s -h /d /s <- нажимаем ENTER

Если вы не сильны в работе с командной строкой, то воспользуйтесь вторым вариантом.

Вариант 2. Заражены флешка и компьютер — используем Dr. Web CureIt (для чайников)

Дынный вариант подходит для чайников, так как утилита Dr. Web CureIt все сделает сама:

1. Удалит вирусы с флешки и компьютера;
2. Удалит ярлыки, которые запускали файл вируса;
3. Восстановит папки на флешке — сделает их видимыми.

Если заражение флешки произошла на вашем домашнем ПК — это может говорить о том, что есть проблемы с антивирусной защитой:

• Установлен ненадежный антивирус;
• Давно не обновлялись антивирусные базы.

Необходимо удалить вирус как с компьютера, так и с флешки. Проведите полную проверку компьютера при помощи бесплатной лечащей утилиты Dr. Web CureIt . Для этого в настройках поставьте галочку на против пункта «Мой комьпютер» — будут выбраны все диски компьютера: жесткие диски, CD-ROM и флешки.

Будем искать вирус на всех дисках

Утилита обнаружила 54 угрозы, которые были успешно обезврежены.

CureIt обнаружила и обезвредила 54 копии вируса

В лаборатории Доктор Веб, данный вирус числится как BackDoor.IRC.NgrBot.42 (у Касперского Worm.Win32.Ngrbot).

Все папки стали видимыми и теперь можно пользоваться флешкой.

Dr.Web CureIt удали вирусы, ярлыки, восстановил папки

Выводы

Если вирус превратил ваши папки в ярлыки — воспользуйтесь бесплатной лечащей утилитой Dr. Web CureIt, которая справится с проблемой на «автомате».

Не забывайте, что на домашнем компьютере должен быть установлен надежный антивирус, который необходимо регулярно обновлять.

Николай Переделкин

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду.

Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени.

Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка

Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт:

Attrib "*" -s -h -a -r /s /d

Сохраняем его как run.bat и держим под рукой.

Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр:

1. «Пуск» - «Выполнить» и пишем «regedit»;
2. Открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer»;
4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

1. скопировать run.bat в корень флешки и запустить;
2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
4. теперь осталось удалить с корня все файлы, кроме этой папки.
5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей!

Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.

Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки - вы должны это понимать что это вирус.

Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.

Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но - при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.

Вирус уникален также тем, что распространяется только при помощи флешок.

Так вот, теперь перейдем к самому главному - как исправить эту ситуацию.

Лечение от вируса на флешки, который создает ярлык

Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R . Появится черное окошко, то есть консоль. В нее пишем следующее:

cd /d F : (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
attrib -s -h -a -r /s /d *.* (*.* - это маска, означает что «лечить» будем все файлы на флешке);

После этого мы можем открыть флешку и увидеть что все файлы на месте.

После этого необходимо удалить все файлы, и оставить только autorun.inf .

Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее .

Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.

Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf , как правило он находится в ветке svchost.exe .

Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle ) - обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.

После этого нам нужно попасть во временную папку Temp , пусть который такой: C:\users\%username%\AppData\Local\Temp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif , мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше - скорее всего да.

Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.

Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать