Триколор 

Как удалить вирус который делает папки ярлыками. Метод II: Командная строка. Как сделать видимыми скрытые папки после действий вируса

Вы открыли свой USB-носитель информации, а от файлов и папок остались одни ярлыки? Главное без паники, ведь, скорее всего, вся информация в целости и сохранности. Просто на Вашем накопителе завелся вирус, с которым вполне можно справиться самостоятельно.

Такой вирус может проявлять себя по-разному:

  • папки и файлы превратились в ярлыки;
  • часть из них вообще исчезла;
  • несмотря на изменения, объем свободной памяти на флешке не увеличился;
  • появились неизвестные папки и файлы (чаще с расширением «.lnk» ).

Прежде всего, не спешите открывать такие папки (ярлыки папок). Так Вы собственноручно запустите вирус и только потом откроете папку.

К сожалению, антивирусы через раз находят и изолируют такую угрозу. Но все же, проверить флешку не помешает. Если у Вас установлена антивирусная программа, кликните правой кнопкой по зараженному накопителю и нажмите на строку с предложением провести сканирование.


Если вирус удалится, то это все равно не решит проблему исчезнувшего содержимого.

Еще одним решением проблемы может стать обычное форматирование носителя информации. Но способ этот довольно радикальный, учитывая что Вам может понадобиться сохранить данные на ней. Поэтому рассмотрим иной путь.

Шаг 1: Делаем видимыми файлы и папки

Скорее всего, часть информации вообще будет не видна. Так что первым делом нужно заняться этим. Вам не понадобится никакое стороннее ПО, так как в данном случае можно обойтись и системными средствами. Все, что Вам нужно сделать, заключается вот в чем:


Теперь все, что было скрыто на флешке, будет отображаться, но иметь прозрачный вид.

Не забудьте вернуть все значения на место, когда избавитесь от вируса, чем мы и займемся далее.

Шаг 2: Удаляем вирус

Каждый из ярлыков запускает файл вируса, а, следовательно, «знает» его расположение. Из этого и будем исходить. В рамках данного шага сделайте вот что:

Шаг 3: Восстанавливаем нормальный вид папок

Осталось снять атрибуты «скрытый» и «системный» с Ваших файлов и папок. Надежнее всего воспользоваться командной строкой.


Так сбросятся все атрибуты и папки снова станут видимыми.

Альтернатива: Использование пакетного файла

Можно создать специальный файл с набором команд, который проделает все эти действия автоматически.


При активации этого файла Вы не увидите ни окон, ни строки состояния – ориентируйтесь по изменениям на флешке. Если на ней много файлов, то возможно, придется подождать 15-20 минут.

Что делать, если через некоторое время вирус снова появился

Может случиться так, что вирус снова себя проявит, при этом флешку Вы не подключали к другим устройствам. Напрашивается один вывод: вредоносное ПО «засело» на Вашем компьютере и будет заражать все носители.
Из ситуации есть 3 выхода:

  1. Сканировать ПК разными антивирусами и утилитами, пока проблема не решится.
  2. Использовать загрузочную флешку с одной из лечащих программ ( , Avira Antivir Rescue System и прочие).
  3. Переустановить Windows.

Специалисты говорят, что такой вирус можно вычислить через «Диспетчер задач» . Для его вызова используйте сочетание клавиш «CTRL» + «ALT» + «ESC» . Следует искать процесс с примерно таким названием: «FS…USB…» , где вместо точек будут случайные буквы или цифры. Найдя процесс, можно кликнуть по нему правой кнопкой и нажать «Открыть место хранения файла» . Выглядит это так, как показано на фото ниже.


Но, опять-таки он не всегда запросто удаляется с компьютера.

Выполнив несколько последовательных действий, можно вернуть все содержимое флешки в целости и сохранности. Чтобы избежать подобных ситуаций, почаще пользуйтесь антивирусными программами.

Иногда при подключении флешки к компьютеру можно обнаружить, что все папки стали отображаться в виде ярлыков. И таким образом пользователь не может получить доступ к содержимому папки. К тому же некоторые еще и начинают паниковать и пытаются открыть все папки поочередно или и вовсе форматируют весь съемный диск. Форматирование только усугубит ситуацию, поскольку все файлы на флешке будут стерты.

А данные с флеш-носителя никуда не пропали и ничего с ними не случилось. Они как были на флешке, так там и остались, а причиной того, что папки теперь стали ярлыками, является вирус. И еще нужно знать, что ни в коем случае нельзя открывать эти ярлыки. Это только приведет вирус в действие, и если на компьютере не было установлено антивирусное ПО, последствия могут быть плачевными.

Как вернуть работоспособность папок?

Для того чтобы вернуть работоспособность папок, нужно найти и уничтожить вирус. В данном случае виноват исполняемый файл вируса с расширением «.exe». Проще всего это сделать с помощью антивируса, запустив проверку флешки на вирусы.

Также найти исполняемый файл можно и вручную. Для начала необходимо включить отображение скрытых папок и файлов. Для этого нужно зайти в «Панель управления» через меню «Пуск», далее выбрать пункт «Оформление и персонализация», затем «Параметры папок». В появившемся окне нужно перейти на вкладку «Вид» и в самом низу выбрать пункт «Показывать скрытые файлы». Также можно зайти в «Мой компьютер», выбрать в панели меню пункт «Сервис», затем «Свойства папки» и в открывшемся окне указать, чтобы отображались скрытые файлы.

После этого нужно открыть флеш-носитель и проверить все скрытые файлы. Проверять нужно свойства каждого ярлыка и особое внимание стоит обращать на пункт «Объект» во вкладке «Ярлык». Как правило, все ярлыки запускают один и тот же исполняемый файл, и нужно выяснить, в какой папке он находится. Строка вредоносного кода в поле «Объект» может быть длинной, но нужно найти в строке примерно такой фрагмент – «RECYCLER/5fa248fg1.exe». Файл «5fa248fg1.exe» является вирусом (комбинация цифр и букв будет абсолютно другой), а «RECYCLER» - это название папки, в которой этот вирус находится. В данном случае нужно эту папку удалить, и после этого запуск ярлыков уже не будет представлять никакой опасности.

После удаления вируса осталось только вернуть папкам их прежний вид. Для этого нужно удалить все ярлыки папок, при этом все данные на флешке все равно останутся, они просто невидимы. Затем нужно выбрать пункт «Выполнить» из меню «Пуск», набрать в строке поиска «cmd» (без кавычек) и щелкнуть «Enter». В открывшемся окне нужно ввести команду «cd /d f:\» (вместо буквы «f» необходимо вставить буквенное значение флешки) и нажать «Enter», а затем ввести «attrib -s -h /d /s» и снова нажать «Enter». После этой процедуры папки на флеш-носителе станут видимыми.

Папки превратились в ярлыки

Если на флешке вместо папок появились ярлыки — это верный признак того, что поработал вирус. Как правило, такие приключения случаются на компьютерах, на которых не установлен надежный антивирус, например KIS (Kaspersky Internet Security).

Итак, если папки стали ярлыками, не щелкайте по этим ярлыкам , так как каждый такой ярлык запускает вирус повторно, что может привести к заражению других компьютеров.

В результате действия вируса вместо папок отображаются ярлыки

В результате действия вируса, все ваши папки делаются скрытыми и системными — они есть на флешке, но вы их не видите. Вместо ваших файлов отображаются ярлыки название которых совпадает с названием ваших папок. Если вы посмотрите занятый объем флешки, то увидите, что он большой, т.е. ваши папки с файлами никуда не делись.

Удаляем вирусы и восстанавливаем папки на флешке

На чужом компьютере я заразил две своих флешки + мне доверили еще одну зараженную флешку, так что я попробовал восстановить папки двумя способами:

  1. При помощи Kaspersky Internet Security (KIS);
  2. При помощи утилиты Dr.Web CureIt.

Вариант 1. Заражена только флешка — используем KIS (для подготовленных пользователей)

Вы заразили флешку на чужом компьютере, а ваш компьютер чист от вирусов (или вы так думаете). Также на вашем компьютере установлен надежный антивирус.

В этом случае, можно проверить флешку при помощи установленного антивируса, например при помощи Kaspersky Internet Security. При помощи KIS я проверил две зараженные флешки, вот результат проверки (кликабельно):

Результат проверки при помощи KIS 2013

Найдены две разновидности вирусов:

  • Worm.Win32.Ngrbot.wmf
  • Worm.Win32.Ngrbot.wim

Сами же вирусы скрываются под разными именами, например под именем «+ОБ-9.exe» — это ничто иное, как сам вирус — исполняемый файл.

К сожалению, антивирус Касперского удалил только файлы вирусов , т.е. он не удалил ярлыки и не восстановил папки. В подобных случаях удалять ярлыки нужно вручную, а затем еще сделать папки видимыми.

Сделать папки видимыми можно через командную строку (вызывается через «cmd»):

cd /d буква флешки:\ <- нажимаем ENTER
attrib -s -h /d /s <- нажимаем ENTER

Если вы не сильны в работе с командной строкой, то воспользуйтесь вторым вариантом.

Вариант 2. Заражены флешка и компьютер — используем Dr. Web CureIt (для чайников)

Дынный вариант подходит для чайников, так как утилита Dr. Web CureIt все сделает сама:

  1. Удалит вирусы с флешки и компьютера;
  2. Удалит ярлыки, которые запускали файл вируса;
  3. Восстановит папки на флешке — сделает их видимыми.

Если заражение флешки произошла на вашем домашнем ПК — это может говорить о том, что есть проблемы с антивирусной защитой:

  • Установлен ненадежный антивирус;
  • Давно не обновлялись антивирусные базы.

Необходимо удалить вирус как с компьютера, так и с флешки. Проведите полную проверку компьютера при помощи бесплатной лечащей утилиты Dr. Web CureIt . Для этого в настройках поставьте галочку на против пункта «Мой комьпютер» — будут выбраны все диски компьютера: жесткие диски, CD-ROM и флешки.

Будем искать вирус на всех дисках

Утилита обнаружила 54 угрозы, которые были успешно обезврежены.

CureIt обнаружила и обезвредила 54 копии вируса

В лаборатории Доктор Веб, данный вирус числится как BackDoor.IRC.NgrBot.42 (у Касперского Worm.Win32.Ngrbot).

Все папки стали видимыми и теперь можно пользоваться флешкой.

Dr.Web CureIt удали вирусы, ярлыки, восстановил папки

Выводы

Если вирус превратил ваши папки в ярлыки — воспользуйтесь бесплатной лечащей утилитой Dr. Web CureIt, которая справится с проблемой на «автомате».

Не забывайте, что на домашнем компьютере должен быть установлен надежный антивирус, который необходимо регулярно обновлять.

Николай Переделкин

Различные USB-накопители, SD-карты и прочие хранилища данных, подключаемых по USB, являются очень удобными устройствами, имеющиеся у большинства пользователей. Такие устройства можно взять куда угодно: на работу, отдых, в кафе, если вы там работаете. Это, конечно, все очень хорошо, но в какой-то момент с флешкой может случиться беда, о которой мы сегодня поговорим.

У меня, а скорее всего и у других пользователей, случалась такая проблема, которая заключалась в том, что все документы, файлы папки на флешке превращались в ярлыки, также имелась странная папка, под названием .Trashes . Можно подумать, что это какой-то вирус, который испортил все файлы на USB-накопителе. Так что делать, если файлы на флешке превратились в ярлыки?

В общем, если попробовать проверить флешку антивирусом, то есть вероятность, что он что-то там найдет нехорошее, как это произошло со мной. Если так и есть, можно произвести очистку этого «нехорошего». После перезагрузки компьютера, я зашел на USB-накопитель и все осталось как есть: остались ярлыками.

В интернете есть очень хороший способ решения этой проблемы. Его я опишу здесь, чтобы помочь пользователям, если они столкнулись с такой неприятной проблемой.

1 способ

Для начала, в параметрах проводника, это делается в верхнем меню любой папки. Далее, запустим командную строку от имени администратора и введем туда следующую команду:

attrib -h -r -s /s f:\*.*


Кстати, не забудьте изменить f:\ на букву вашей флешки. Может получиться, например, так: attrib -h -r -s /s r :\*.*

После того, как вы проделали работу, откройте флешку и убедитесь, что файлы и папки присутствуют, но ярлыки при этом могут остаться, это ничего страшного, главное, что теперь свои файлы вы можете переместить.

Все файлы, не являющиеся ярлыками, перенесите в другое место, например, на компьютер. Теперь, отформатируйте флэшку, потом попробуйте на всякий случай еще раз просканировать USB-флэшку с помощью антивируса.

Переместите нужные файлы обратно на флэшку. После всех вышеперечисленных действий ваша проблема должна быть решена.

Второй способ

Если с первым вариантом ничего не вышло, то есть еще один метод, заключающийся в том, что нужно создать bat файл с таким содержанием:

Теперь, запускаем его от имени администратора, после чего, запущенная программа предложит ввести букву флешки, с которой возникла проблема. После этого, ярлыки и вирус будут удалены с флешки, а все, что у вас было на флешке останется в целости и сохранности.

Вирусы бывают разные и совершают они различные действия. Сегодня в статье речь о таких вирусах, которые скрывают настоящие папки (чаще всего недавно используемые) и заменяют их на свой ярлык с таким же названием, который ссылается на скрытую папку в которой находится сам вирус. Вот такая вот чехарда, в результате которой Вы открываете флешку (а чаще всего заражаются именно они) и видите вроде бы все свои папки. Открываете и заражаете свой компьютер кучей вирусов, и неизвестно чем они там заниматься будут...

Для начала разберемся с тем, как вылечить такой вирус. Если у Вас нет антивируса, то можете скачать бесплатный антивирус от или от лаборатории , а затем проверить ими компьютер или флешку. Обычно после них всё встаёт на места и вирусы удаляются.

На заметку:

2) Можете щелкнуть ПКМ по созданному вирусному ярлыку и выбрать в меню Свойства . Там будет указан путь, куда перенаправляет этот ярлык. Обычно это программа (с расширением exe ) в папке RECYCLER . Затем можете удалить как сам файл, на который ссылается ярлык, так и саму эту папку, содержащую вирус. Этим Вы поможет антивирусу или избавитесь без антивируса.

3) Если увидите файл autorun.inf , то тоже его удалите. ( ?)

4) Введите следующие строки в адресную строку проводника.

Для Windows XP : %USERPROFILE%\Local Settings\Application Data\

Для Windows 7 и 8 : %USERPROFILE%\appdata\roaming\

Если найдёте в этой папке какой-нибудь файл с расширением exe , то смело удаляйте.

После удаления вирусов, нужные нам папки остаются, но они невидимые (скрытые). Место же они занимают. Чаще всего у них ещё стоит атрибут Скрытый , который неактивен (галочку нельзя убрать) и серый.


Чтобы убрать атрибут можно воспользоваться несколькими способами:

1) Скачать с официального сайта . Запустить его. Проверить по пути “Конфигурация” –> “Настройка” –> “Содержимое панелей”. Здесь должна стоять галочка в пункте “Показывать скрытые/системные файлы (только для опытных!)”


Если нету, то ставим и жмем Применить и Ок.

Далее открываем нашу флешку через Тотал Коммандер и видим наши папки скрытые. Выделяем их с помощью нажатой клавиши Ctrl и нажатием левой кнопки мыши на каждой папке (или просто ПКМ по ним щёлкаем). Затем идём в “Файлы” –> “Изменить атрибуты”. В этом окошке снимаем все атрибуты. В итоге должно быть пусто:


Жмем Ок и наслаждаемся результатом.

2) Открываем Блокнот (Пуск -> Все программы -> Стандартные -> Блокнот) и вставляем в него следующие строки:

attrib -s -h -r -a /s /d


Затем верхнее меню "Файл" -> "Сохранить как..." и называем любым именем, но чтобы расширение (Тип файла) было bat , а местоположение указываем корень (начало) нашей флешки или диска зараженного.

Теперь запускаем этот файл и всё должно стать видимым.
Тут стоит знать то, что если заражен системный диск, то все системные папки станут видимыми тоже, что не совсем хорошо.

Кстати, если боитесь, то можете скачать с моего сайта файл ниже, закинуть в корень и запустить

3) Нажимаем Пуск -> Выполнить (или сочетание клавиш Win +R ) и вводим в окошко:

attrib -h -s /d /s "Путь к папке или файлу"


Например у Вас заражена флешка и в ней папка vindavoz скрытая, тогда будет так:


Обратите внимание на знак обратного слеша. Он должен быть.
Жмем Ок и радуемся что папки стали видимыми.

4) Точно так же, как и во 2 пункте, создаем файл со следующим содержимым:

:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

У кого возникнут вопросы - пишите в комментариях.