Вирус на флешке: ярлыки вместо папок
Вы подключили флешку к компьютеру, а там ярлыки вместо папок какие-то? — Проблема на лицо, на вашу флешку закрался вирус. Будем выгонять его в этой статье.
Где можно заразиться и как выявить
Этот вирус уже довольно давно разгуливает по сети, а также сидит на компьютерах пользователей. Папки на жёстком диске он не трогает, а вот флешку портит на раз. Определить, что вы заразились именно таким вирусом очень легко — все папки на флешке превратись в ярлыки (рисунок ниже).
Самое главное, что не стоит делать — это пытаться открывать эти папки. Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие папки.
Чистка флешки от вируса
Чистку будем провожать в несколько шагов.
1. Отобразить скрытые файлы и папки
Нам нужно попасть в свойства папок, для этого переходим по следующему пути:
- Панель управления — Свойства Проводника — вкладка Вид (для Windows 10);
- Пуск — Панель Управления — Оформление и персонализация — Параметры папок — вкладка Вид (для Windows 7).
Проделаем 2 действия:
- Скрывать защищенные системные файлы (рекомендуется) — снять галочку;
- Показывать скрытые файлы и папки — установить переключатель.
Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл). Для этого нужно посмотреть свойства ярлыка, там вы обнаружите двойной запуск — первый открывает вашу папку, а второй — запускает вирус:
Нас интересует строка Объект . Она довольно длинная, но сам вирус легко определить по имени типа 189595.exe в папке Recycle на самой флешке.
Путь RECYCLER\897frtj.exe и есть вирус на вашей флешке (имя может быть любое).
Удаляем его вместе с папкой.
3. Восстанавливаем вид папок
Теперь ярлыки можно удалить, они больше не нужны. Ваши папки стали скрытыми (выглядят как прозрачные). Просто так атрибут скрытности не снять, поэтому придётся прибегнуть к «великой» командной строке.
Для этого есть 2 пути:
Нажимаем Win + R и вводим команду cmd , в открывшемся окне (рисунок ниже) вводим последовательно 2 команды:
- cd /d f:\ нажать ENTER , где f:\ — это буква нашей флешки;
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
Создайте текстовый файл на флешке и запишите в него команду attrib -s -h /d /s , сохраните под именем 1.bat. Далее просто запустите этот файл. Также вы можете скачать уже готовый файл для смены атрибутов .
При большом количестве файлов восстановление может занять минут 10, не паникуйте.
Теперь возвращаемся к 1-ому шагу и ставим параметры в их первоначальное состояние.
Обязательно проверьте флешку с помощью вашего антивируса или лечащей утилиты. Об этом у меня есть статьи: выбор антивируса и лечащие утилиты . Помимо флешки не забудьте проверить и сам компьютер.
Как понять, что ваш компьютер переносчик
Если вы подозреваете свой компьютер в распространении вируса по флешкам, то можно отследить процессы в диспетчере задач. Открыть его вы можете через комбинацию клавиш Ctrl+Shift+ Ecs . Поищите процесс с названием похожим на FS..USB…, вместо точек какие либо буквы или цифры.
Также в поиске вируса на своём компьютере может помочь утилита Autoruns.
Будьте аккуратны с флешками и не суйте в какой попало компьютер, мало ли что.
Все файлы и папки на флешке вдруг стали ярлыками
Думал что данная тема уже не актуальна, однако я ошибался. Сегодня в очередной раз столкнулся с самый явным и простым видом заражения — когда все файлы и папки на флешке вдруг превратились в ярлыки. Хоть его и видно невооруженным взглядом без всяких антивирусов, в результате неграмотных действий пользователя, последствия могут быть печальными.
Если на флешке были очень важные файлы, трудно удержаться от соблазна удостовериться что ними всё в порядке, ткнуть мышкой в знакомые до боли названия. а вот этого делать совсем не стоит!
И документы ваши скорее всего благополучно откроются, и счастье придет. вот только компьютер будет заражен. На самом деле, каждый ярлык содержит определенные команды на запуск и установку вируса, а уже потом открытие вашей драгоценной папки.
Можно посмотреть свойства ярлыка, где в строке «Объект» содержится информация, что же все-таки мы будем запускать на самом деле.
%ALLUSERSPROFILE%\..\..\windows\system32\cmd.exe /c «%SystemRoot%\explorer.exe %cd3G8A5K.000 & attrib -s -h %cd%SkInrsg.exe & xcopy /F /S /Q /H /R /Y %cd%SkInrsg.exe %temp%\lFbYd\ & attrib +s +h %cd%SkInrsg.exe & start %temp%\lFbYd\SkInrsg.exe & exit»
Если вы ничего не поняли из этой тарабарщины, лучше доверить лечение антивирусу (можно воспользоваться тем же Dr.Web CureIt! ). Если понимаете что делаете, можно удалить вирус и вручную. Займемся другим, а именно восстановлением информации на флешке.
Восстановление прежнего вида папок
- Ярлыки, которые сейчас есть на флешке вместо файлов и папок, можно смело удалять.
- Вирус пометил все файлы и папки на флешке системными и скрытыми. Сбрасываем эти атрибуты через командную строку (Пуск -> Выполнить -> вводим cmd):
cd /d E:\ нажать ENTER (E:\ — это буква нашей флешки)
Команда attrib изменяет атрибуты файлов. Параметры -s и -h снимают атрибуты системный и архивный соответственно, а ключи /s /d применяют это действие к файлам и папкам.
ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.
Как удалить вирус, создающий ярлыки файлов и папок на флешке, карте памяти или USB диске
Читайте, как удалить вирус преобразующий файлы и папки в ярлыки . Как восстановить данные, которые утеряны в результате деятельности такого вируса. Ваши файлы и папки на USB флешке или карте памяти стали ярлыками? USB флешка или карта памяти после подключения к компьютеру отображается как ярлык? Ищете как восстановить данные и удалить вирус, преобразовывающий файлы и папки в ярлыки? Вы используете антивирус, но компьютер все равно был инфицирован? К сожалению не все антивирусы могут защитить вас такого заражения.
Однако в отличие от вирусов шифровальщиков , этот тип вирусов достаточно безобидный и вы легко сможете восстановить данные и удалить сам вирус.
Разновидности вирусов ярлыков
На сегодня наиболее распространены 2 типа вирусов, создающих ярлыки: первые создают ярлыки вместо файлов и папок на флешке или карте памяти, другие создают ярлыки съемных дисков вместо самих флешек, внешних USB дисков и карт памяти.
Названия наиболее распространенных вирусов:
- Bundpil.Shortcu;
- Mal/Bundpil-LNK;
- Ramnit.CPL;
- Serviks.Shortcut;
- Troj/Agent-NXIMal/FakeAV-BW;
- Trojan.Generic.7206697 (B);
- Trojan.VBS.TTE (B);
- Trojan.VBS.TTE;
- VBS.Agent-35;
- VBS.Serviks;
- VBS/Autorun.EY worm;
- VBS/Autorun.worm.k virus;
- VBS/Canteix.AK;
- VBS/Worm.BH;
- W32.Exploit.CVE-2010_2568-1;
- W32.Trojan.Starter-2;
- W32/Sality.AB.2;
- Win32/Ramnit.A virus;
- Worm:VBS/Cantix.A;
Вирус, преобразующий файлы и папки в ярлыки
Этот вирус дублирует ваши файлы и папки, затем прячет и заменяет их. Вирус представляет комбинацию вирусов трояна и червя. Опасность заключается в том, что вы запускаете вирус каждый раз, когда хотите открыть ваш файл или папку. После запуска вирус распространяет себя заражая все большее количество файлов и часто устанавливает дополнительно вредоносное ПО которое может украсть данные о паролях и кредитных картах, сохраненных у вас на компьютере.
Вирус, преобразующий флешки и карты памяти в ярлыки
Это чистокровный троянский вирус, который скрывает любые съемные устройства, подключенные к компьютеру и заменяет их ярлыками этих устройств. Каждый раз кликая по ярлыку вы снова запускаете вирус, который ищет на вашем компьютере финансовую информацию и отправляет ее мошенникам, создавшим вирус.
Что делать в случае заражения
К сожалению не все антивирусы могут вовремя обнаружить опасность и защитить вас от инфицирования. Поэтому наилучшей защитой будет не использовать автоматический запуск съемных устройств и не кликать по ярлыкам файлов, папок или дисков. Будьте внимательны и не кликайте по ярлыкам, которые вы не создавали сами. Вместо двойного клика для открытия диска, кликните по нему правой кнопкой мышки и выберите Развернуть в Проводнике.
Восстановление данных удаленных вирусом
Для надежного восстановления данных удаленных таким типом вирусов используйте Hetman Partition Recovery . Поскольку программа использует низкоуровневые функции по работе с диском, она обойдет вирусную блокировку и прочитает все ваши файлы.
Загрузите и установите программу, затем проанализируйте зараженную флешку или карту памяти. Проведите восстановление информации до очистки носителя от вируса . Наиболее надежным вариантом лечения будет очистка флешки с помощью команды DiskPart, это удалит всю информацию на ней.
Удаление вируса с карты памяти или USB флешки
После восстановления данных с флешки вы можете её полностью очистить с помощью утилиты DiskPart. Удаление всех файлов и форматирование устройства может оставить вирус, который спрячется в загрузочном секторе, таблице разделов или на неразмеченной области диска. Как правильно очистить флешку смотрите в видео.
Удаление вируса с флешки с помощью командной строки
Данный способ не позволяет гарантированно очистить флешку от всех видов вирусов, но сможет удалить вирус, который создает ярлыки вместо файлов. Вам не нужно будет скачивать и устанавливать сторонние утилиты, удаление производится с помощью встроенного в любую версию Windows инструмента.
Удаление вируса с компьютера
Наиболее простым и надежным способом очистки компьютера от вируса будет полная переустановка Windows с удалением системного раздела.
Но если вы являетесь опытным пользователем, вы можете опробовать следующий способ:
Отключите запуск вируса при старте Windows в реестре. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Перейдите к ключу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.
Просмотрите все ключи, которые находятся в этом разделе. Если вы видите необычное название или расположение программы – удалите запись. Часто вирусы прячутся под автоматически сгенерированными названиями, например – sfdWQD234dcfF. Любые ключи, которые запускают VBS, INI, LINK или EXE файлы потенциально опасны. Однако только вы знаете какие программы установлены на компьютере и должны загружаться при старте Windows, поэтому вы должны сами принять решение об удалении того или иного ключа. Для удаления выделите ключ левой кнопкой мышки и удалите его кнопкой Del.
Отключите запуск вируса через службы Windows. Нажмите клавиши Win + R, в появившемся окне введите msconfig и нажмите Enter. В открывшемся окне перейдите на вкладку Службы. Просмотрите их и отключите все подозрительные.
Отключите приложения, запускаемые автоматически через диспетчер задач (для Windows 8и старше). Нажмите Ctrl + Shift + Escи перейдите на вкладку Автозагрузка. Для отключения подозрительного приложения по нему нужно кликнуть правой кнопкой мышки и выбрать Отключить.