Триколор 

Флешке все стало ярлыками как исправить. На флешке вместо папок ярлыки - что делать

Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки - вы должны это понимать что это вирус.

Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.


Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но - при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.

Вирус уникален также тем, что распространяется только при помощи флешок.

Так вот, теперь перейдем к самому главному - как исправить эту ситуацию.

Лечение от вируса на флешки, который создает ярлык

Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R . Появится черное окошко, то есть консоль. В нее пишем следующее:

cd /d F : (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
attrib -s -h -a -r /s /d *.* (*.* - это маска, означает что «лечить» будем все файлы на флешке);

После этого мы можем открыть флешку и увидеть что все файлы на месте.


После этого необходимо удалить все файлы, и оставить только autorun.inf .

Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее .

Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.

Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf , как правило он находится в ветке svchost.exe .


Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle ) - обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.

После этого нам нужно попасть во временную папку Temp , пусть который такой: C:\users\%username%\AppData\Local\Temp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif , мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше - скорее всего да.

Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.

Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать

Привет читатели. Сегодня я хочу вам рассказать о том «недоразумении», когда у вас папки на флешке стали ярлыками . Это очень распространенный случай. Например, вы вставляете флешку в свой компьютер, стартует, например , вы открываете флешку и видите, что все папки, которые на ней располагались, превратились в ярлыки. Некоторые, не подозревая об этом, копируете на компьютер, а затем вытаскивая флешку, — не можете получить доступ к папке.

И вот у вас в папке — осталась важная информация, которую срочно необходимо спасти. Вы задаетесь вопросом, почему папки стали отображаться в виде ярлыков, а самое главное, как это все исправить? В данной статье мы и рассмотрим, как решить такую серьезную проблему.

Самое главное, когда вы столкнулись с подобной ситуацией, не стоит форматировать флешку, это только усугубит положение.

Первое. Вся ваша информация, которая была на флешке (флеш-носителе) так на ней и осталась, то есть, никуда не пропала. Причиной того, что все папки стали скрытыми, а вместо них появились ярлыки, стало появление на носителе.

Второе. Не стоит нажимать мышью по этим ярлыкам, так как вы можете запустить вредоносный код, который прописан в самом ярлыке. Когда вы вставляете флеш-накопитель в компьютер, у вас может быть такая ситуация:

Что необходимо делать в ситуации, когда папки стали ярлыками на накопителе.

Шаг № 1. Необходимо включить отображение скрытых файлов и папок. Например, можно открыть какой-нибудь файловый менеджер и сделать через него, а можно и в самой Windows. Для этого необходимо зайти в Мой компьютер и выполнить команду Сервис — Свойства папки — Вид , где затем установить указатель на пункт – Показывать скрытые папки и файлы .

Шаг № 2. Теперь нам необходимо проверить каждый ярлык, который находится на флеш-накопителе. Для этого заходим на флешку, нажимаем по ярлыку правой кнопкой мыши, из контекстного меню выбираем пункт Свойства , затем переходим на вкладку Ярлык и внимательно смотрим на поле Объект . Именно с этого поля происходит запуск вредоносного кода, нам необходимо определить, откуда именно и где он находится.

Как видно, в папке RECYCLER присутствует вирус, выше на рисунке показана данная папка, она в большинстве случаях также будет скрытой. Теперь нам необходимо удалить данную папку с флеш-накопителя.

Также можете проверить (для безопасности и достоверности) пути, по которым может находиться еще данный вирус:

Для Windows 7 – C:\\User\\Имя_пользователя\\appdata\\roamling\\

Для Windows XP – C:\\Documents and Settings\\Имя_пользователя\\Local Settings\\Application Data\\

Если вы откроете какой-то из этих путей (который подходит для вашей операционной системы), то вы сможете там обнаружить файл exe. Если он будет присутствовать, то это вирус, и это означает, что попал он туда с помощью автозапуска, поэтому я бы посоветовал вам .

Шаг № 3. На данном этапе нам необходимо вернуть обычный вид папкам, то есть сделать, чтобы они были не скрытыми, а видимыми. Естественно, это необходимо делать после того, как вы удалили вредоносный код и вредоносные файлы, при этом не забывайте еще удалить сами ярлыки, только не перепутайте с папками.

Вернуть папки в прежнее состояние можно несколькими способами:

Способ 1. Необходимо нажать Пуск — Выполнить и набрать в командной строке – cmd, после чего нажать на кнопку Ок или клавишу Enter . В появившемся окне вам необходимо ввести следующие команды:

Чтобы проверить, скройте системные папки (тот же принцип, как и настраивали — показать системные папки) и далее — заходите на свой флеш-накопитель. На нем должны быть показаны все ваши папки.

Способ 2. Вам необходимо сбросить атрибуты для папок, для этого — создаете на флешке текстовый документ и в нем пишете следующее.

Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками . Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

  1. Первая запускает и устанавливает вирус на Ваш ПК
  2. Вторая открывает интересующую Вас папку

Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е. им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.

Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?


В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:\windows, C:\windows\system32 и в профиле текущего пользователя (о них чуть ниже)).

  • в Windows 7, 8 и 10 - C:\users\имя_пользователя\appdata\roaming\
  • в Windows XP - C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\

Если в этих каталогах имеются файлы с расширением «.exe », то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде.bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Проверка системы на наличие команд автозапуска вируса

В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
  • HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run – программы, автоматически запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).

Другие способы автозапуска программ в системе описаны в статье .

Восстанавливаем вид каталогов и доступ к папкам

После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Ручной способ восстановления атрибутов скрытых папок на флешке

  1. Открываем командную строку с правами администратора
  2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
    cd /d f:\
    , где f:\ - это буква диска, назначенная флешке (в конкретном случае может отличаться)
    attrib -s -h /d /s
    , команда сбрасывает атрибуты S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.

В результате все данные на накопителе становятся видимыми.

Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов

Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.

С этого сайта скачайте файл (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:

:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

При запуске программа просит вас указать имя диска флешки (например, F: ), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.

Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!

Очень распространенный на сегодняшний день вирус, когда все файлы и папки на флешке пропадают, а вместо них появляются ярлыки. Стоит заметить, что вирус может попасть не только на флешку, но и на компьютер и любое другое съемное/портативное устройство, в последствии чего, все ваши файлы и папки становятся скрытыми и недоступными.

Но проблема эта решаемая довольно простыми методами. В этой статье я подробно опишу вам несколько способов, как удалить вирус с ярлыками, а также несколько слов о том, что вы должны знать об этом вирусе, чтобы в последующем вы знали что и как.

Типы вируса

Вирус, связанный с ярлыками делится на два типа: когда вместо самого диска появляется ярлык и когда все папки и файлы превращаются в ярлыки .

1 тип: Вместо папок и файлов ярлыки

Первый тип является довольно распространенным — все ваши файлы и папки становятся скрытыми, а вместо них отображаются ярлыки. Это сочетание типов вирусов Trojan и Worm. Но самое неприятное, и возможно опасное в том, что у вас не будет никаких вариантов, кроме как кликнуть на ярлык, чтобы открыть файлы и папки, при этом одновременно запустив вирус в действие, который сразу же начнет свою работу для своих зловредный целей.

2 тип: Ярлык диска

Это чистый троянец. Он объединяет все имеющиеся файлы на портативных устройствах (на флешке) и помещает их в одну скрытую папку. Затем он создает ярлык самой флешки, и так же, как и в первом варианте, у вас будет доступ к файлам и папкам только через этот ярлык, который одновременно запустит и вирус. А тот в свою очередь начнет заниматься своими грязными делишками, возможно даже установку вредоносного ПО, который будет шпионить за вами и красть ваши данные.

Первые действия

К сожалению, не все антивирусы могут обнаружить и удалить этот вирус. Но все же не помешает выполнить антивирусную проверку в первую очередь. Также в целях безопасности, когда вы обнаружили вирус, никогда не открывайте съемные устройства и жесткий диск с помощью автоматического запуска или через «Мой компьютер». Следуйте советам ниже:

  • Не открывайте флешку с автозапуска и через Мой компьютер
  • Открывать флешку или жесткий диск следует через адресную строку окна, чтобы предотвратить выполнение любого сценария. Для этого просто введите букву нужного диска и нажмите Enter.
  • Следуйте инструкциям в статье .

Эти советы помогут вам предотвратить распространения вируса и заражение компьютера, к примеру от USB флешки содержащий вирус. Кроме этого, это поможет вам отличить реальный файл от зараженного файла. Как упоминалось выше, даже самые сильные антивирусы иногда не в состоянии защитить вас от этого вида напасти. Тем не менее, я поделюсь с вами несколькими способами удалить вирус с ярлыками.

Метод I: Инструмент Removal Tool

Во-первых, скачайте архив, содержащий 2 файла: Trojorm Removal Tool и Fixfolder . Сразу же после загрузки, извлеките два файла с помощью Winrar или любого другого архиватора и скопируйте их на флешку. Далее запустите сначала «Trojorm Removal Tool» и следуйте инструкциям в командной строке. Затем откройте файл «Fixfolder» с помощью блокнота и измените H: в соответствии с буквой вашей зараженной флешки (к примеру D:, F:, G: и т.д.).

Сохраните файл после редактирования и запустите его двойным щелчком мыши. Или нажмите правой кнопкой мыши > Открыть с помощью и выберите «Microsoft Windows Based Script Host». После этого ярлыки должны исчезнуть а все нужные (скрытые до этого) файлы появиться.

Метод II: Командная строка

Данный способ применяется с использованием командной строки, и попробовать его стоит только если первый не сработал. Нажмите правой кнопкой по меню Пуск и выберите Командная строка (администратор) в Windows 10 или 8. В Windows 7 нажмите на меню Пуск > Выполнить и введите в строке ввода CMD и нажмите Enter. В окне командной строки введите сперва букву нужного диска (жесткого или USB флешки), к примеру d: и нажмите Enter. Затем скопируйте и вставьте команду «attrib D:*.* /d /s -h -r -s» (без кавычек) и нажмите Enter. После этого должны отобразиться все ваши скрытые файлы и папки а вирус и ярлыки — удалены.

Обратите внимание! : вместо d: после attrib пишете букву вашего диска.

Решение возникших проблем и другие методы удаления вируса

Приведенные выше два метода являются лучшими на мой взгляд средствами для борьбы с вирусом с ярлыками. Тем не менее могут возникнуть проблемы в виде ошибки «Отказано в доступе» — часто на диске с файловой системой NTFS и редко на FAT и FAT32.

  1. В Fixfolder убедитесь в том, что вы изменили букву в соответствии с буквой вашего диска.
  2. В командной строке убедитесь, что вы набрали команду правильно, включая пробелы.

Если вы все делаете правильно, при этом все еще наблюдаете ошибку:

  • Выполните проверку CHKDSK с помощью командной строки (см. ) и попробуйте все проделать сначала.

На этом я мог бы закончить статью, так как считаю что указанные мной способы выше достаточны. Но все же, если кому-то не помогло — вот несколько полезных программ, которые также способны бороться с «ярлычным» вирусом:


Как защититься от повторного заражения вирусом

Если вы следовали инструкциям выше и у вас все получилось — ваша проблема с вирусом с ярлыками решена, но временно. Так как данный тип вируса очень распространен, и содержится почти на каждой второй флешке, вы снова его подхватите как только подключите USB флеш накопитель, внешний жесткий диск или SD карты памяти содержащий вирус.

Чтобы предотвратить повторное заражение, я настоятельно рекомендую вам установить HFV и хороший антивирус (мой выбор — Касперский) в качестве основной защиты и плюс Malwarebytes (очень хорошее и мое любимое средство защиты от вредоносного ПО) для дополнительной. Также рекомендую ознакомиться: Что и как у вас получилось пишите в комментариях ниже.

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки .

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».


Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:


Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить ).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: .

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

  • сносим Windows (1,5-2 часа, самый быстрый способ);
  • устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
  • записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.
  • F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.