• На флешке показывает только ярлык. Флешка создала ярлык самой себя? Это вирус

    Различные USB-накопители, SD-карты и прочие хранилища данных, подключаемых по USB, являются очень удобными устройствами, имеющиеся у большинства пользователей. Такие устройства можно взять куда угодно: на работу, отдых, в кафе, если вы там работаете. Это, конечно, все очень хорошо, но в какой-то момент с флешкой может случиться беда, о которой мы сегодня поговорим.

    У меня, а скорее всего и у других пользователей, случалась такая проблема, которая заключалась в том, что все документы, файлы папки на флешке превращались в ярлыки, также имелась странная папка, под названием .Trashes . Можно подумать, что это какой-то вирус, который испортил все файлы на USB-накопителе. Так что делать, если файлы на флешке превратились в ярлыки?

    В общем, если попробовать проверить флешку антивирусом, то есть вероятность, что он что-то там найдет нехорошее, как это произошло со мной. Если так и есть, можно произвести очистку этого «нехорошего». После перезагрузки компьютера, я зашел на USB-накопитель и все осталось как есть: остались ярлыками.

    В интернете есть очень хороший способ решения этой проблемы. Его я опишу здесь, чтобы помочь пользователям, если они столкнулись с такой неприятной проблемой.

    1 способ

    Для начала, в параметрах проводника, это делается в верхнем меню любой папки. Далее, запустим командную строку от имени администратора и введем туда следующую команду:

    attrib -h -r -s /s f:\*.*


    Кстати, не забудьте изменить f:\ на букву вашей флешки. Может получиться, например, так: attrib -h -r -s /s r :\*.*

    После того, как вы проделали работу, откройте флешку и убедитесь, что файлы и папки присутствуют, но ярлыки при этом могут остаться, это ничего страшного, главное, что теперь свои файлы вы можете переместить.

    Все файлы, не являющиеся ярлыками, перенесите в другое место, например, на компьютер. Теперь, отформатируйте флэшку, потом попробуйте на всякий случай еще раз просканировать USB-флэшку с помощью антивируса.

    Переместите нужные файлы обратно на флэшку. После всех вышеперечисленных действий ваша проблема должна быть решена.

    Второй способ

    Если с первым вариантом ничего не вышло, то есть еще один метод, заключающийся в том, что нужно создать bat файл с таким содержанием:

    Теперь, запускаем его от имени администратора, после чего, запущенная программа предложит ввести букву флешки, с которой возникла проблема. После этого, ярлыки и вирус будут удалены с флешки, а все, что у вас было на флешке останется в целости и сохранности.

    Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки - вы должны это понимать что это вирус.

    Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.


    Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но - при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.

    Вирус уникален также тем, что распространяется только при помощи флешок.

    Так вот, теперь перейдем к самому главному - как исправить эту ситуацию.

    Лечение от вируса на флешки, который создает ярлык

    Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R . Появится черное окошко, то есть консоль. В нее пишем следующее:

    cd /d F : (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
    attrib -s -h -a -r /s /d *.* (*.* - это маска, означает что «лечить» будем все файлы на флешке);

    После этого мы можем открыть флешку и увидеть что все файлы на месте.


    После этого необходимо удалить все файлы, и оставить только autorun.inf .

    Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее .

    Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.

    Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf , как правило он находится в ветке svchost.exe .


    Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle ) - обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.

    После этого нам нужно попасть во временную папку Temp , пусть который такой: C:\users\%username%\AppData\Local\Temp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif , мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше - скорее всего да.

    Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.

    Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать

    Приветствую, вас дорогие читатели. Уверен, что большинство пользователей у которых работа или хобби связанно с компьютером, встречались с одним очень вредным вирусом, который вместо файлов на флешке создавал ярлыки. Ну, а сами файлы, не удалялись, что очень радует, а просто становились невидимыми, доступ к которым можно было получить только . Кстати, о том как вернуть флешку к прежнему состоянию я описал .

    Обычно ко мне приходили пользователи с флешкой и просили просто . Но, недавно мне на глаза попался компьютер, в котором засел именно этот вирус — Microsoft Excel.WsF и при подключение любого флеш-накопителя он скрывал на нем все возможные файлы. Если честно, я первый раз встретил такой вирус непосредственно, на самом компьютере.

    При подключение флешки сразу было понятно, что ПК заражен вредоносной программой, потому как через мгновение на любом подключенном устройстве все документы и папки превращались в ярлыки. Вынув flash-накопитель, я начал . Она нашла несколько зараженных файлов, но это все было не то (в основном bat-файлы ярлыков с рекламой для различных браузеров ), конечно, я их удалил и запустил антивирус заново с полной проверкой. Но, на мое удивление, Cureit больше ничего не нашёл и оповестил, что угроз на компьютере не найдено, хотя проблема не решилась и вирус (Microsoft Excel.WsF ) по прежнему скрывал файлы.

    Следующим шагом, была чистка папки с временными файлами, как в ручную так и утилитой CСleaner. Рекомендую, ознакомиться с руководством того: с помощью разных утилит. А так же, с его продолжением, где подробно описано, что можно сделать если . Почистив все возможные папки от TEMP-файлов, вирус (Microsoft Excel.WsF ) продолжал портит файлы на флешка не обращая внимание на меня и на все мои действия.

    Как удалить вирус, который превращает файлы в ярлыки, этот вопрос никак не выходил у меня з головы. Но, зайдя в автозагрузку компьютера я понял, что все, на самом деле, очень просто.

    Удаляем вирус превращающий файлы в ярлыки

    Итак, удалив все временные файлы в моей любимой утилите ССleaner, я перешел на вкладку «». Как оказалось в списке autoruna было очень много различных программ, начиная от обновлений Google приложений и заканчивая браузером Amigo и MailUpdate . В общем, из всего этого списка я нашел один очень подозрительный процесс под названием «wscript.exe ». Удивило то, что в описание программы производителя указан Microsoft Office. Удивило меня это тем, что раньше такого процесса связанного с Office я не встречал. Но посмотрев на расположение файла стало понятно, что это и есть та команда запускающая вирусный скрип «Microsoft Excel.WsF », который превращает файлы в ярлыки.

    Что же нам нужно сделать, для удаления этого вируса. Сначала открываем « » и находим процесс под название wscript.exe, виделив его нажимаем на кнопку «Завершить процесс».

    Дальше, запускаем CCleaner и . И смотрим путь к нашему файлу. У меня он был таким: С:\Documents & Settings\User\Local Settings\Application Data\Microsoft Office\\Microsoft Excel.WsF. Для Windows 7 и 8 такой: C:\Users\UserName\AppData\Roaming\Microsoft Office\\Microsoft Excel.WsF.

    Зайдя в эту папку удаляем файлик, который был указан в пути, например в моем случае это: Microsoft Excel.WsF. Не забудьте, открыть доступ к отображению скрытых системных файлов, иначе вы его не увидите.

    Так, первый шаг по удалению вируса превращающего файлы в ярлыки, сделан. Теперь, возвращаемся обратно к автозагрузке, где нажав на вирус правой кнопкой мыши выбираем «Открыть в Regedit... ». В следствие чего, перед нами с выделением нужной для нас строки. Здесь, также просто удаляем все записи в которых встречаются слова Microsoft Excel.WsF. Это действие повторяем до тех пор, пока в реестр не будет очищен от всех записей где упоминается название вирусного файла. У меня нашло его в двух местах:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;

    Опять вернувшись обратно к автозагрузке ССleanera, отмечаем пункт с процессом wscript.exe, и нажав на кнопку «Удалить » убираем полностью его с автозагрузки.

    Теперь, закрыв утилиту идем к папке с временными файлами пользователя и полностью удаляем все её содержимое.

    Windows7 и Windows 8 : C:\Users\Игорь\AppData\Local\Temp

    Windows XP: С:\Documents & Settings\User\Local Settings\Temp

    Ну и наконец, не забудьте очистить корзину от тех файлов, которые мы удалили. После этого обязательно перезагрузите ПК, и проверяйте результат.

    При следующем подключение флешки, все файлы должны остаться на своих местах. По крайней мере, мне это помогло и пока все флешки опредиляются и работают без каких либо проблем. Но, если появятся вопросы или Вам нужна будет помощь, как всегда оставляйте коментарии и я постараюсь Вам помочь. В который раз, напомню Вам о подписке на сайт , которая позволит вам иметь под рукой бесплатные руковоства по востановлению рабочего состояния рабочего или домашнего компьютера.

    Сегодня речь пойдет об одном интересном вирусе, название которого я конечно не знаю или не запомнил.

    Обитал он в одной замечательной бюджетной организации, которую, то ли обязывают покупать платный, всем нам известный антивирус, то ли они так сами решили. Не знаю.

    Собственно это хорошо и правильно. Но, либо он (антивирус) не справляется со своей задачей, либо админ ленится, но так или иначе, вирус живет на компьютерах этой организации уже давно.

    И вот меня угораздило воткнуть подключить флешку к одному из компьютеров вышеупомянутой конторы организации.

    Особенность вируса такова — себя на Ваше устройство он не копирует (точнее копирует, но очень редко, и видимо лишь какая-то его разновидность), но напакостить успевает.

    Вирус скрыл папки и файлы на флешке

    Все ниже перечисленные симптомы, могут появиться как все одновременно, так и некоторые по отдельности:

    • Флешка якобы пуста — вы не видите ничего в проводнике.
    • На flash-диске не видно ни одного файла, но если посмотреть свойства диска, то становится понятно что он не пуст.
    • На диске что-то есть похожее на Ваши папки, и даже выглядит как они, но на самом деле, это EXE-файлы которые открывают «Проводник» Windows. Иногда на папке «Мои документы».
    • Вместо Ваших файлов, ярлыки, которые все же открывают Ваши файлы. Ну или не открывают…

    Как вылечить флешку от вируса скрывающего файлы

    Что делать если с Вами и вашей флешкой случилась такая неприятность.

    Совет №1. Ни в коем случае не форматировать флешку.

    Ваши данные там, они не испорчены, и мы сейчас их вернем:

    Запустите командную строку от имени Администратора. Введите команду

    attrib -h -r -s /d /s h:\*.* — где «h:\» — буква Вашей флешки.

    и нажмите

    Данная команда, сделает ваши файлы и папки видимыми.

    Давайте рассмотрим, что делает введенная нами команда:

    attrib — собственно запускает программу attrib

    ключ -h — очищает атрибут «скрытый файл».

    ключ -r — очищает атрибут файла «только для чтения».

    ключ -s — очищает атрибут «системного файла».

    ключ /s — распространяет действие только на файлы.

    ключ /d — распространяет действие на каталоги (папки) и файлы. Не работает без /s

    После этих действий, ваши файлы и папки станут видны. Вам лишь останется удалить (при помощи поиска) все файлы с расширением *.lnk (ярлыки) и name.exe которые выглядят как ваши папки (где name-имена ваших папок). Если есть файлы, которые не похожи на Ваши — тоже удаляйте.

    неОшибка.Ру — не несет ответственности за Ваши действия и возможную потерю информации. Все действия вы производите на свой страх и риск. Вы должны понимать то, что делаете, и к чему это приведет.

    Вы подхватили на флешку вирус, который был немедленно детектирован и удален антивирусом на домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками. Первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

    Первая запускает и устанавливает вирус на Ваш ПК
    Вторая открывает интересующую Вас папку

    Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл папки на флешке, т.е. им назначены соответствующие атрибуты (скрытый, архивный).
    Наша задача: уничтожить вирус и снять эти атрибуты.

    Избавляемся от вируса.

    Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса, если же его нет – то вручную. Как же найти файлы зловреда?

    1. В проводнике Windows включаем отображение скрытых и системных файлов Windows XP :
    Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид.
    На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки »

    В Windows 7 путь немного другой:
    Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые

    2. Открываем содержимое флешки,выбираем любой ярлык на папку и смотрим его свойства. Они будут выглядеть примерно так:

    Нас интересует значения поля Target (Объект). Строка указанная в нем довольно длинная и выглядит примерно так:

    %windir%\system32\cmd.exe /c «start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backup

    В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Удаляем этот файл, а можно и папку целиком. Теперь клик по ярлыку не опасен!

    Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:
    в Windows 7 – C:\users\имя_пользователя\appdata\roaming\
    в WindowsXP – C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\

    Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).

    Восстанавливаем вид каталогов и доступ к папкам

    В зависимости от модификации вируса оригинальным папкам присваиваются системные атрибуты «скрытая» и «системная», либо они перенесены в некую также скрытую папку, созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

    РУЧНОЙ СПОСОБ:

    1. Открываем командную строку (Пуск->Выполнить->набираем cmd->Enter)
    2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter

    где f:\ - это буква диска флешки (в конкретном случае может отличаться)

    команда сбрасывает атрибуты скрытости и папки становятся видимыми.

    Путь 2:

    1. Создать текстовый файл на флешки.
    2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.
    3. В случае, когда у Вас не получается создать такой файл – Вы можете скачать мой: для смены атррибутов.

    Если файлов много, то возможно потребуется время на выполнение команды.

    4. После этого, можно восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

    Читать еще: