Вирусы на флешке

Удаление вируса.

Удалить такой вирус не сложно, сложно после удаления, восстановить все как было ранее, так как вирус не только делает ваши данные скрытыми и обычно помечает как системные, но и создает ярлыки. А если файлов и папок было много, то удалять мусора придется немало.

Для начала давайте удалим сам вирус, который и создает ярлыки. Для этого нам нужно включить видимость скрытых папок, и системных файлов. Сделать вы это можете зайдя в панель управления, которая находится в меню Пуск. (Если у вас Windows 8 то выберите из приложений «Панель управления»). Далее выбираем «Параметры папок» и нажимаем на вкладку «Вид» . В конце списка вы увидите свойства, в которых нужно убрать галочки, скрытия защищенных системных файлов и расширения для зарегистрированных типов файлов, а также переключить на пункт «Показывать скрытые файлы, папки и диски», если он не стоял ранее. Затем нажать кнопку «Применить». В итоге, на флешке Вы будете видеть и сами скрытые данные и ярлыки, которые нам и нужно удалить.

Правой кнопкой мыши кликаем на любой ярлык, который создал вирус, смотрим на какой файлик указывает этот ярлык и путь к нему. Обычно это файлик с форматом .ехе, находящийся в папке RECYCLER. Удаляем её(она находится в корне нашего диска) и все ярлыки созданные вирусом. Если на флешке есть файлик autorun.inf-его тоже следует удалить.

на всякий случай зайдите в папку:

Для Windows 7 C:\users\ваше имя пользователя\appdata\roaming\
Для Windows XP C:\Documents and Settings\имя пользователя\Local Settings\Application Data\

Если там обнаружатся файлы с расширением .exe, удалите их — их там быть не должно.

После всех удалений осталась одна проблемка- данные скрыты, причем изменить это стандартным способом не получается, так как галочка «скрытый» в свойстве ваших данных, неактивна и отображается серым цветом. На этот случай я написал bat файл для изменения атрибутов(свойств). Скачать его можете Поместите bat файлик в корень вашей флешки и откройте его. После этого все ваши данные должны быть восстановлены.

Также, можно удалить данный вирус с флешки другим образом. Он показан на видео. Удачи!

Сегодня я хочу поговорить об одном уже весьма стареньком вирусе, модификации которого до сих пор будоражат компьютеры пользователей не заботящихся о собственной безопасности. Смысл его деструктивной деятельности заключается в том, что он скрывает содержимое съемного диска и подменяет его ссылками на исполняемый файл, которые умело маскирует с помощью изменения их атрибутов. Всё рассчитано на то, что ничего не подозревающий пользователь не заметит, что вместо папок ярлыки и попытается их открыть. Таким образом этот троян и кочует от компьютера к компьютеру, поражая незащищённые операционные системы одну за другой.
Если же на очередном ПК будет стоять хорошая антивирусная программа типа Касперского или DrWeb, то она, конечно же, сразу его засечёт и удалит сам исполняемый EXE-файл или скрипт. Но вот изменить атрибуты, из-за которых папки стали ярлыками на флешке, антивирус не в состоянии и Вам придётся делать это вручную. Как это сделать я сейчас и расскажу.

Вычищаем заразу окончательно!

Для начала надо окончательно убедиться, что вируса нет ни на компьютере, ни на USB-диске. Для этого обновляем базы антивирусной программы и проверяем сначала одно, потом другое. Если у Вас её нет — настоятельно рекомендую его установить. Например, отлично себя зарекомендовал бесплатный антивирус Касперского. Так же можно воспользоваться одноразовым сканером DrWeb CureIT.
После этого надо зайти в панель управления Windows и открыть раздел «Параметры папок». В открывшемся окне переходим на вкладку «Вид»:

Здесь необходимо снять галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов». А вот флажок «Показывать скрытые файлы, папки и диски» надо наоборот поставить. Это делается для того, чтобы увидеть всё, что вредоносная программа могла скрыть от пользователя.
Следующим шагом нужно будет вручную подчистить остатки жизнедеятельности зловреда. Обязательно проверьте чтобы на флешке не осталось файла сценария автозапуска — autorun.inf. Затем стоит удалить папку RECYCLER (Кстати, в ней-то обычно EXE-шник вируса и лежит).
На жестком диске надо обратить внимание на папки пользователей, а особенно — на C:\Users\<<Пользователь>>\Appdata\Roaming\. Именно сюда пытается прятаться всякая зараза, а потому в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT.

Возвращаем пропавшие папки обратно

Следующим этапом нужно вернуть обратно папки, которые стали ярлыками на USB-накопителе. Вот тут начинается самое интересное. Дело в том, что в зависимости от модификации, способ с помощью которого вирус спрятал директории может быть разным. В самом простом случае достаточно зайти на флешку. Там вы увидите скрытые папки (их отображение мы включили выше). Надо просто на каждой из них кликнуть правой кнопкой, открыть её свойства и снять галочку «Скрытый».

А вот если поработал более продвинутый зловред, то скорее всего эта галочка будет недоступна и так просто снять атрибут «скрытый» с папки после вируса у Вас не получится.

В этом случае прямо в корне флешки создаём текстовый файлик, в котором надо скопировать вот эту строчку:

attrib -h -r -s -a /D /S

Закрываем текстовый редактор и меняем ему расширение с *.TXT на *.BAT.
Кликаем на файлике правой кнопкой и в контекстном меню выбираем пункт «Запуск от имени Администратора».

После этого папки должны стать видимыми.
Если что-то непонятно — смотрим видео-инструкцию:

Автоматизированный вариант

Для тех, кто не любит всё делать вручную, предпочитая положиться на скрипты, тоже есть отличный способ. Заключается он в том, что на съёмном накопителе надо опять же создать BAT-файл, открыть его блокнотом и скопировать туда вот такой код:

:lable cls set /p disk_flash=»Input USB Drive Name: » cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:

Закрываем текстовый редактор и сохраняем изменения. Запускаем скрипт на исполнения. В начале он попросит указать букву, под которой флешка отображается в Проводнике. После этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлыками. Этот вариант отлично работает в большинстве случаев на «ура».
Но если вдруг Вам попадётся более хитрая модификация такого вируса, то всё же Вам придётся закатать рукава и поработать руками.

Опубликовано: 13.03.2016

Если в один прекрасный момент вы замечаете, что все папки стали ярлыками (с весом по 2 Килобайта), знайте: с флешкой поработал вирус! И возможно, что вирус все еще на флешке или уже в вашем компьютере/ноутбуке!

Обычно все папки становятся скрытыми или превращаются в ярлыки после использования флешки на зараженном вирусами компьютере или ноутбуке. Аналогичная беда может случиться с внешним жестким диском при подключении его к зараженному вирусами компьютеру. При этом вы видите только список ярлыков, которые никуда не ведут и каждый раз выбивают ошибку при открытии.

Вирус достаточно старый, он легко определяется любым современным антивирусом, но вот папки, которые стали ярлыками или скрытыми, антивирус не восстанавливает. Снимать атрибут «скрытый» с папки придется в ручном режиме!

Что делать, когда все папки стали ярлычками

Итак, рассмотрим пошаговую инструкцию ваших действий, если все папки на флешке стали ярлыками.

1. Очень важно запустить проверку флешки (или всего компьютера) антивирусом с последней базой данных.

2. После работы антивируса, скорее всего, ярлыки с флешки будут удалены.

3. После проверки антивируса вам придется отобразить скрытые папки и сделать их видимыми. Для этого необходимо снять флажок в свойствах папки «Скрытый», что не всегда получается из-за блокировки опции. Это хорошо видно на скриншоте:

Как лечить флешку от вирусов (№1)

Первое, что нужно сделать – проверить флешку, съемный жесткий диск или весь компьютер на вирусы. Для этого можно использовать Антивирус Аваст.

Полезная статья (открывайте в новой вкладке браузера): «»

На втором шаге необходимо запустить программу Total Commander. Если такой программы у вас нет, скачайте и установите ее прямо сейчас.

Полезная статья (открывайте в новой вкладке браузера): “”

В настройках Total Commander важно отобразить скрытые файлы и папки. Для этого входим в меню «Конфигурация» — «Настройка». Переключаемся на вкладку «Содержимое панелей» — ставим галочку/флажок в поле «Показывать скрытые файлы». После этого обязательно жмем «Применить» или «ОК».

Далее переключаемся на флешку и видим, что все папки стали скрытыми (на этом этапе антивирус уже должен удалить все ярлыки, которые заражены вирусами).

Как только настройка Total Commander закончится, вы убедитесь, что папки и файлы никуда с флешки или HDD не пропали, не удалились, а только стали скрытыми, переходим к следующей процедуре. При этом программу Total Commander не закрываем!

Идем в меню Виндовс 7 – «Пуск» и в строке поиска вводим “CMD” (без кавычек). Примечание: в Виндовс XP эта опция доступна через панель меню «Пуск» — «Выполнить».

Запускаем найденную программу CMD – это системная командная строка.

В командной строке, если все папки стали скрытыми на флешке, нужно вручную снять атрибуты. Возможно, у вас получилось бы это через свойства папки, но часто опция «Скрытый» блокируется. По этой причине нам и нужна командная строка.

В командной строке прямым английским текстом пишем:

attrib –s –h –r “полный путь к скрытой папке на флешке” (жмем Enter на клавиатуре)

Полный путь к папке на флешке можете подсмотреть в Total Commander. В нашем примере получились следующие наборы команд:

attrib –s –h –r “G:\01-загрузки” (жмем Enter)
attrib –s –h –r “G:\02-работа” (жмем Enter)
attrib –s –h –r “G:\03-музыка” (жмем Enter)
attrib –s –h –r “G:\04-видео” (жмем Enter)

ВАЖНО: путь к скрытым папкам на флешке вы должны вписать свой личный!!! Указанные выше адреса – это только примеры из нашего конкретного случая. У вас путь к папке будет совершенно другой – подсмотрите его в Total Commander после активизации скрытых файлов.

После ввода команды attrib –s –h –r “ ПОЛНЫЙ ПУТЬ к ПАПКЕ НА ФЛЕШКЕ ” (Enter) папка мгновенно становится видимой и открытой. Фактически команда (attrib –s –h –r) снимает все атрибуты с той папки, путь к которой мы указываем далее.

Как только вы проделаете все эти процедуры, проблема будет решена. И вовсе не беда, что все папки на флешке стали ярлыками или скрытыми, если вы уже знаете, как лечить флешку после вирусов!

После завершения всех операций настоятельно рекомендуем установить в дополнение к Avast бесплатный и злой антивирус Malwarebytes Anti-Malware, который защитит ваш компьютер или ноутбук в будущем.

Как лечить флешку от вирусов (№2)

Если по каким-то причинам вам не хочется возиться с командной строкой, а информации на флешке не слишком много, можно сделать следующее:

А) ПРОВЕРЯЕМ ФЛЕШКУ НА ВИРУСЫ ОБНОВЛЕННЫМ АНТИВИРУСОМ!!! А потом действуем по следующей схеме:

Б) открываем первую скрытую папку на флешке
В) перемещаем всю информацию из скрытой папки в компьютер
Г) удаляем пустую скрытую папку
Д) создаем новую нормальную папку на флешке и задаем ей определенное имя
Е) возвращаем все данные с компьютера в новенькую папку, которая более не является скрытой. При этом вы даже можете назвать новую директорию точно так же, как и старую. Никто не заметит разницы!

Как лечить флешку от вирусов (№3)

Если же информация на флешке вас вообще мало интересует, если там нет ничего важного, просто проверяйте флешку на вирусы и смело форматируйте. Все данные с флешки при этом удалятся!!!

Хуже всего, конечно же, когда все папки стали ярлыками или скрытыми на вашем внешнем жестком диске HDD. В этом случае лучше повозиться, установить атрибуты через командную строку, но сохранить все файлы внешнего жесткого носителя. Ведь это не так уже и сложно.

Вирус превращает файлы и папки в ярлыки на флешке

Если это не ваша флешка и вам она уже досталась в таком виде, то очень ВАЖНО не кликать по этим ярлыкам. При первом же клике вирус который превращает файлы и папки в ярлыки на флешке будет активирован и заразит текущий компьютер. Поэтому именно от ваших действий зависит дальнейшее состояние компьютера. Если на нём нет антивируса или он отключен, вы получите ещё один источник заразы. Такой компьютер в дальнейшем будет все подключенные флешки заражать этим вирусом.
На самом деле чудес нет, вирус превращающий файлы и папки в ярлыки не «переделывает» их в ярлыки, он создаёт ярлык на ваш файл. Задача этого ярлыка ввести в вас в заблуждения, просто испугать, заставить кликнуть и таким образом заразить текущий компьютер. Поэтому я и предупредил в предыдущем пункте об опасности кликать на эти ярлыки.
Все файлы, ярлыки на которые вы видите никуда не удалены, они находятся на флешке, просты вирус скрыл их (поставил у них атрибут — скрытый файл). Таким образом, можете вздохнуть и не бояться , что ваши файлы пропали.
Для удаления вируса, который превращает файлы и папки в ярлыки на флешке выполните следующие действия:

  1. Скачайте Kaspersky virus removal tool http://www.spyware-ru.com/download/kaspersky-virus-removal-tool . Это программа разработанная Касперским для лечения заражённых компьютеров или отдельных дисков. Запустите программу и полностью проверьте компьютер и все диски. Удалите найденные вирусы.
  2. Удалите все ярлыки (только ярлыки) с флешки.
  3. Так как вирус скрыл все файлы, то вам нужно сменить их атрибуты, чтобы они снова стали видны. Для этого откройте Командную строку (Для этого нажмите одновременно клавиши Windows и X (русская Ч). В открывшемся меню выберите Командная строка (Администратор). Откроется черное окно.) В открывшемся окне введите E:\

    где E имя диска вашей флешки. Нажмите Enter. Далее введите команду:

    attrib -s -h /d /s

    и нажмите Enter.

  4. Это восстановит атрибуты ваших файлов. Обязательно воспользуйтесь этой инструкцией для лечения всех компьютеров, на которых использовалась заражённая флешка.

Лечение вируса

Если антивирус не убрал этот вирус сам (почему-то некоторые антивирусы не видят его), то можно поступить следующим образом: кликаем правой клавишей мыши по ярлыку папки, созданным этим вирусом, и смотрим в свойствах, на что именно указывает этот ярлык. Как правило, это некий файл с расширением .exe, находящийся в папке RECYCLER в корне нашей флешки. Смело удаляем этот файл и все ярлыки папок. Да и саму папку RECYCLER можно также удалить.

Если на флешке присутствует файл autorun.inf, то также удалите и его — этот файл провоцирует флешку автоматически что-то запускать после того, как Вы ее вставили в компьютер.

И еще один момент: на всякий случай пройдите в папку:

  • Для Windows 7 C:\users\ваше имя пользователя\appdata\roaming\
  • Для Windows XP C:\Documents and Settings\имя пользователя\Local Settings\Application Data\

И если там обнаружатся какие-либо файлы с расширением .exe, удалите их — их там быть не должно.

Кстати, если Вы не знаете, как отобразить скрытые папки, то на всякий случай вот что нужно сделать: зайдите (Windows 7 и Windows 8) в Панель управления, там выберите пункт “Параметры папок», вкладку «Вид» и ближе к концу списка установите опции, чтобы компьютер отображал и скрытые и системные файлы с папками. Желательно также убрать галочку «не отображать расширения зарегистрированных типов файлов». В итоге, на флешке Вы будете видеть и сами скрытые папки и ярлыки на них, до тех пор, пока последние не будут удалены.

Как убрать вирус и сделать папки видимыми

Нашел на просторах сети еще один способ избавиться от описанной проблемы. Этот способ, пожалуй, будет попроще, но не везде сработает. Однако в большинстве случаев он все же поможет привести USB флешку и данные на ней в нормальное состояние. Итак, создаем bat файл следующего содержания, после чего запускаем его от имени администратора:

:lable cls set /p disk_flash=»Vvedite bukvu vashei fleshki: » cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:

После запуска компьютер запросит ввести букву, соответствующую Вашей флешке, что и следует сделать. Затем, после того, как автоматически будут удалены ярлыки вместо папок и сам вирус, при условии нахождения его в папке Recycler, Вам будет показано содержимое вашего USB накопителя. После этого рекомендую, опять же, обратить на содержимое системных папок Windows, речь о которых шла выше, в первом способе избавиться от вируса.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *