Телевизор 

Содержимое флешки превращается в ярлык. Вирус «Все папки и файлы скрыты а вместо них ярлыки» — удаляем навсегда. Используем сторонние программы

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду.

Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени.

Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка

Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт:

Attrib "*" -s -h -a -r /s /d

Сохраняем его как run.bat и держим под рукой.

Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр:

  1. «Пуск» - «Выполнить» и пишем «regedit»;
  2. Открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
  3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer»;
  4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

  1. скопировать run.bat в корень флешки и запустить;
  2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
  3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
  4. теперь осталось удалить с корня все файлы, кроме этой папки.
  5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей!

Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.

Флеш-накопители, являясь одними из самых распространенных устройств, подвергаются атакам вирусов намного чаще, чем любые другие. В первую очередь из-за того, что устройство переносимо, а значит, с его помощью можно заразить максимальное количество компьютеров, даже тех, которые не подключены к мировой сети. После некоторого времени работы пользователь может заметить, что все папки на флешке стали ярлыками. Как восстановить данные и избавиться от вирусов, читайте в статье.

Неверные действия

Частенько после появления проблемы человек следует самому первому совету и форматирует USB-накопитель. Конечно, проблема уходит на какое-то время, но все данные теряются. Да и при таком подходе никто не сможет дать гарантий, что через какое-то время события не повторятся. Надо сказать, что пользовательские данные никуда не пропадают. Вирус просто скрыл их, а ссылки на свой запуск пытается подать в качестве исходного содержимого.

Не стоит пытаться что-нибудь открыть, если на флешке все папки стали ярлыками. обычно создают ссылку на свой запуск. Вместе с этим в скрипт может быть добавлен код, заражающий компьютер.

Но не стоит недооценивать вирусописателей, наивно полагая, что если на флешке все папки стали ярлыками, но с ними не производилось никаких действий, то ПК полностью защищен. Скорее всего вредоносная программа скопировала сама себя во внутреннюю память еще во время инициализации устройства сразу после его подключения.

Исключить эту вероятность может только деактивированный автозапуск со всех носителей и последняя версия антивируса.

Начало восстановления

Что делать, если на флешке папки стали ярлыками? Сначала необходимо удалить вредоносное ПО. Чтобы выяснить, куда скопирован вирус, щелкните правой кнопкой мыши по любому ярлыку на накопителе. В отобразившемся меню кликните по строке "Свойства". В открывшемся окне изучите поле "Объект". В нем записан путь к который следует удалить. Именно с его помощью и запускается вирус.

Вредоносное ПО может располагаться в директории, которой раньше на накопителе не было, в этом случае желательно очистить всю папку. Если папка на флешке стала ярлыком, помимо самого USB-устройства стоит проверить два каталога:

  • C:\Users\UserName\AppData\Roaming.
  • С:\Documents and Setting\UserName\Local Settings\Applications Data.

Обнаружив в них любой файл, который имеет расширение "exe", обязательно выполните полную антивирусной утилитой.

Почему антивирусы не всегда помогают

Иногда от вредоносного ПО невозможно избавиться вручную, более того, установленный антивирус тоже становится бессильным. Дело в том, что многие "черви" могут заражать защитные программы.

"На флешке папки стали ярлыками. Как удалить вирус?" - спросит пользователь. На самом деле никаких сложных действий выполнять не придется, разве что потратить немного больше времени, создав специальный загрузочный диск.

CD

Если на флешке папки стали ярлыками, для создания загрузочного диска и удаления вредоносного ПО лучше всего использовать специальное средство от компании Dr.Web, которое называется LiveDisk. Скачать его можно на официальном сайте разработчика. Для домашнего использования продукт распространяется абсолютно бесплатно.

После скачивания LiveDisk нужно дополнительно установить программу UltraISO. После инсталляции приложение выполнит интеграцию своего функционала в проводник. Это упрощает процесс прожига.

Просто кликните дважды по иконке образа с антивирусом. После этого сразу же запустится UltraISO. Достаточно нажать на кнопку "Запись" и вставить диск в привод.

Загрузочная USB-флешка

Не всегда возможно найти чистый диск, иногда просто-напросто отсутствует записывающий DVD-ROM, когда компьютер подвергся вирусной атаке, и на флешке папки стали ярлыками. Что делать в этом случае? Просто создайте загрузочный USB-накопитель. Причем сделать это намного проще, чем прожечь CD.

  • Скачайте Dr.Web LiveDisk, созданный специально для USB-устройств. Помните, что подобные утилиты во избежание рисков необходимо получать только на сайте разработчика.
  • Откройте файл с названием "drwebliveusb.exe". Если во время его загрузки происходят какие-либо ошибки, откройте контекстное меню, щелкнув правой кнопкой, а затем выберите пункт "Запуск от имени администратора".
  • Вставьте флешку в USB-порт.
  • В главном окне приложения укажите устройство, которое будет использоваться в качестве загрузочного.
  • Поставьте галочку возле надписи "Форматировать". Теперь остается только кликнуть по кнопке "Создать".

Во время записи системных файлов все данные будут удалены с накопителя. Сохраните их заранее.

Подготовка компьютера

Если на флешке папки стали ярлыками, процедура восстановления должна быть продолжена настройкой BIOS. Для входа в программу конфигурации следует нажать на кнопку "DEL", когда на экране монитора появляются самые первые сообщения. Клавиша может и отличаться. Чтобы выяснить наверняка, как именно запустить утилиту настройки, стоит ознакомиться с руководством, поставляемым вместе с материнской платой. Его можно найти на сайте производителя.

Войдя в BIOS, переместитесь во вкладку "Boot" или "Advances". Здесь следует переключить параметр, записанный у строки "First Boot Device", на "USB" или "DVD-ROM", в зависимости от того, какое устройство используется.

Чтобы выйти с сохранением всех настроек, следует выбрать "Exit and Save".

Проверка

Если на флешке папки стали ярлыками, Windows 7, по всей вероятности, уже заражена, а значит, от проблемы не удастся избавиться надолго, не просканировав систему полностью. Чтобы это сделать, выберите на первом экране LiveDisk пункт Default. Если после этого антивирус работает нестабильно либо вообще не запускается, стоит перезагрузить компьютер, отдав предпочтение варианту Safe mode.

Через какое-то время на экране отобразится рабочий стол, напоминающий рабочую среду Windows. Одновременно с ним загрузится Control Center. В случае отказа его автоматического запуска щелкните по кнопке с видом паука - она находится на месте меню "Пуск". Затем кликните по надписи "Control Center"

Найдите кнопку "Tools", которая располагается в верхней части окна, и нажмите на нее. В открывшейся панели выберите "Settings". В первой вкладке настроек определитесь, какие действия будут применены к объектам, представляющим угрозу для компьютера. В каждой строке здесь необходимо установить значение "Delete". за сохранность данных. Если папка на флешке стала ярлыком, она просто скрыта, но не заражена, соответственно, и удалена не будет.

В нижней области вкладки "Scanner" расположены два поля. Первое определяет, каким будет максимальный размер файлов, проверяемых антивирусом. Сюда лучше всего вписать "0", то есть убрать ограничения. Второе указывает, сколько раз будет просканирован каждый объект. Желательно ввести значение "5". В обязательном порядке поставьте галочку у надписи "Scan archives". Без нее удаление вируса может и не произойти, если на флешке папки стали ярлыками.

Закройте окно настроек и перейдите во вкладку "Scanner", которая находится в окне "Control Center". Кликните по кнопке "Custom Scan". Пользователю предлагается выбрать устройства, нуждающиеся в сканировании. Стоит отметить флажками все, имеющиеся в системе. После этого кликните по кнопке "Scan".

Проверка может занять длительное время, которое зависит от объема информации на дисках и скорости обмена данными. Когда этот процесс завершится, остается кликнуть по строке "Exit". После перезагрузки снова верните исходные значения настроек BIOS.

Атрибуты

Если на флешке папки стали ярлыками, проверка системы антивирусным ПО - только первый этап восстановления. После сканирования необходимо еще и вернуть данные. Как отмечалось ранее, они не подверглись изменению или удалению, но и не отображаются в окне проводника. Изменив атрибуты, можно будет снова видеть свои документы. Причем выполнить эту операцию можно несколькими разными способами.

Ручной способ

Если на флешке все папки стали ярлыками, чтобы восстановить атрибуты, следуйте инструкции:

  • Откройте меню "Пуск" и кликните по надписи "Выполнить".
  • Перейдите курсор в строку ввода и напишите "cmd", после чего щелкните по надписи "ОК".
  • На экране отобразится окно командной строки. Сначала перейдите в корень USB-накопителя, напечатав "cd /d X:\". После этого нажмите на кнопку "ENTER". Букву "X" следует заменить той, которая используется в системе для доступа к флешке.
  • Следующая команда, которую следует выполнить - "attrib -s -h /d /s".
  • Выполнив все действия правильно, вы вновь сможете наблюдать в проводнике все пропавшие папки и файлы.

Автоматизация процесса

Если на флешке папки стали ярлыками, можно облегчить процедуру сброса атрибутов.

  • Запустите программу "Блокнот". Она находится в каталоге "Стандартные" меню "Пуск". Можно просто напечатать слово "notepad" в строку ввода окна "Выполнить".
  • В текстовый редактор скопируйте сочетание "attrib -s -h /d /s" (без кавычек).
  • Нажмите на надпись "Файл", которая расположена в верхней части программы, и кликните по строке "Сохранить".
  • Задайте имя, которое будет присвоено документу, например: "имя.bat". Как можно видеть, после точки указано расширение, отличающееся от стандартного. Обязательно используйте слово "bat", иначе нужного результата не добиться.
  • Переместите документ, созданный в блокноте, на USB-накопитель. Теперь достаточно просто запустить файл как обычную программу. Его можно как удалить, так и оставить на случай повторного заражения.

Многие пользователи сталкиваются с ситуацией, когда уже не первый раз на флешке папки стали ярлыками. Что делать, если проблема повторяется систематически? Ответ очевиден: установите антивирус и регулярно обновляйте базы сигнатур. Также не стоит использовать переносное устройство для работы за чужим компьютером - высока вероятность, что вредоносное ПО приходит извне.

Сегодня речь пойдет об одном интересном вирусе, название которого я конечно не знаю или не запомнил.

Обитал он в одной замечательной бюджетной организации, которую, то ли обязывают покупать платный, всем нам известный антивирус, то ли они так сами решили. Не знаю.

Собственно это хорошо и правильно. Но, либо он (антивирус) не справляется со своей задачей, либо админ ленится, но так или иначе, вирус живет на компьютерах этой организации уже давно.

И вот меня угораздило воткнуть подключить флешку к одному из компьютеров вышеупомянутой конторы организации.

Особенность вируса такова — себя на Ваше устройство он не копирует (точнее копирует, но очень редко, и видимо лишь какая-то его разновидность), но напакостить успевает.

Вирус скрыл папки и файлы на флешке

Все ниже перечисленные симптомы, могут появиться как все одновременно, так и некоторые по отдельности:

  • Флешка якобы пуста — вы не видите ничего в проводнике.
  • На flash-диске не видно ни одного файла, но если посмотреть свойства диска, то становится понятно что он не пуст.
  • На диске что-то есть похожее на Ваши папки, и даже выглядит как они, но на самом деле, это EXE-файлы которые открывают «Проводник» Windows. Иногда на папке «Мои документы».
  • Вместо Ваших файлов, ярлыки, которые все же открывают Ваши файлы. Ну или не открывают…

Как вылечить флешку от вируса скрывающего файлы

Что делать если с Вами и вашей флешкой случилась такая неприятность.

Совет №1. Ни в коем случае не форматировать флешку.

Ваши данные там, они не испорчены, и мы сейчас их вернем:

Запустите командную строку от имени Администратора. Введите команду

attrib -h -r -s /d /s h:\*.* — где «h:\» — буква Вашей флешки.

и нажмите

Данная команда, сделает ваши файлы и папки видимыми.

Давайте рассмотрим, что делает введенная нами команда:

attrib — собственно запускает программу attrib

ключ -h — очищает атрибут «скрытый файл».

ключ -r — очищает атрибут файла «только для чтения».

ключ -s — очищает атрибут «системного файла».

ключ /s — распространяет действие только на файлы.

ключ /d — распространяет действие на каталоги (папки) и файлы. Не работает без /s

После этих действий, ваши файлы и папки станут видны. Вам лишь останется удалить (при помощи поиска) все файлы с расширением *.lnk (ярлыки) и name.exe которые выглядят как ваши папки (где name-имена ваших папок). Если есть файлы, которые не похожи на Ваши — тоже удаляйте.

неОшибка.Ру — не несет ответственности за Ваши действия и возможную потерю информации. Все действия вы производите на свой страх и риск. Вы должны понимать то, что делаете, и к чему это приведет.