Приветствую, вас дорогие читатели. Уверен, что большинство пользователей у которых работа или хобби связанно с компьютером, встречались с одним очень вредным вирусом, который вместо файлов на флешке создавал ярлыки. Ну, а сами файлы, не удалялись, что очень радует, а просто становились невидимыми, доступ к которым можно было получить только . Кстати, о том как вернуть флешку к прежнему состоянию я описал .
Обычно ко мне приходили пользователи с флешкой и просили просто . Но, недавно мне на глаза попался компьютер, в котором засел именно этот вирус — Microsoft Excel.WsF и при подключение любого флеш-накопителя он скрывал на нем все возможные файлы. Если честно, я первый раз встретил такой вирус непосредственно, на самом компьютере.
При подключение флешки сразу было понятно, что ПК заражен вредоносной программой, потому как через мгновение на любом подключенном устройстве все документы и папки превращались в ярлыки. Вынув flash-накопитель, я начал . Она нашла несколько зараженных файлов, но это все было не то (в основном bat-файлы ярлыков с рекламой для различных браузеров ), конечно, я их удалил и запустил антивирус заново с полной проверкой. Но, на мое удивление, Cureit больше ничего не нашёл и оповестил, что угроз на компьютере не найдено, хотя проблема не решилась и вирус (Microsoft Excel.WsF ) по прежнему скрывал файлы.
Следующим шагом, была чистка папки с временными файлами, как в ручную так и утилитой CСleaner. Рекомендую, ознакомиться с руководством того: с помощью разных утилит. А так же, с его продолжением, где подробно описано, что можно сделать если . Почистив все возможные папки от TEMP-файлов, вирус (Microsoft Excel.WsF ) продолжал портит файлы на флешка не обращая внимание на меня и на все мои действия.
Как удалить вирус, который превращает файлы в ярлыки, этот вопрос никак не выходил у меня з головы. Но, зайдя в автозагрузку компьютера я понял, что все, на самом деле, очень просто.
Удаляем вирус превращающий файлы в ярлыки
Итак, удалив все временные файлы в моей любимой утилите ССleaner, я перешел на вкладку «». Как оказалось в списке autoruna было очень много различных программ, начиная от обновлений Google приложений и заканчивая браузером Amigo и MailUpdate . В общем, из всего этого списка я нашел один очень подозрительный процесс под названием «wscript.exe ». Удивило то, что в описание программы производителя указан Microsoft Office. Удивило меня это тем, что раньше такого процесса связанного с Office я не встречал. Но посмотрев на расположение файла стало понятно, что это и есть та команда запускающая вирусный скрип «Microsoft Excel.WsF », который превращает файлы в ярлыки.
Что же нам нужно сделать, для удаления этого вируса. Сначала открываем « » и находим процесс под название wscript.exe, виделив его нажимаем на кнопку «Завершить процесс».
Дальше, запускаем CCleaner и . И смотрим путь к нашему файлу. У меня он был таким: С:\Documents & Settings\User\Local Settings\Application Data\Microsoft Office\\Microsoft Excel.WsF. Для Windows 7 и 8 такой: C:\Users\UserName\AppData\Roaming\Microsoft Office\\Microsoft Excel.WsF.
Зайдя в эту папку удаляем файлик, который был указан в пути, например в моем случае это: Microsoft Excel.WsF. Не забудьте, открыть доступ к отображению скрытых системных файлов, иначе вы его не увидите.
Так, первый шаг по удалению вируса превращающего файлы в ярлыки, сделан. Теперь, возвращаемся обратно к автозагрузке, где нажав на вирус правой кнопкой мыши выбираем «Открыть в Regedit... ». В следствие чего, перед нами с выделением нужной для нас строки. Здесь, также просто удаляем все записи в которых встречаются слова Microsoft Excel.WsF. Это действие повторяем до тех пор, пока в реестр не будет очищен от всех записей где упоминается название вирусного файла. У меня нашло его в двух местах:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
Опять вернувшись обратно к автозагрузке ССleanera, отмечаем пункт с процессом wscript.exe, и нажав на кнопку «Удалить » убираем полностью его с автозагрузки.
Теперь, закрыв утилиту идем к папке с временными файлами пользователя и полностью удаляем все её содержимое.
Windows7 и Windows 8 : C:\Users\Игорь\AppData\Local\Temp
Windows XP: С:\Documents & Settings\User\Local Settings\Temp
Ну и наконец, не забудьте очистить корзину от тех файлов, которые мы удалили. После этого обязательно перезагрузите ПК, и проверяйте результат.
При следующем подключение флешки, все файлы должны остаться на своих местах. По крайней мере, мне это помогло и пока все флешки опредиляются и работают без каких либо проблем. Но, если появятся вопросы или Вам нужна будет помощь, как всегда оставляйте коментарии и я постараюсь Вам помочь. В который раз, напомню Вам о подписке на сайт , которая позволит вам иметь под рукой бесплатные руковоства по востановлению рабочего состояния рабочего или домашнего компьютера.
Папки превратились в ярлыки
Если на флешке вместо папок появились ярлыки — это верный признак того, что поработал вирус. Как правило, такие приключения случаются на компьютерах, на которых не установлен надежный антивирус, например KIS (Kaspersky Internet Security).
Итак, если папки стали ярлыками, не щелкайте по этим ярлыкам , так как каждый такой ярлык запускает вирус повторно, что может привести к заражению других компьютеров.
В результате действия вируса вместо папок отображаются ярлыки
В результате действия вируса, все ваши папки делаются скрытыми и системными — они есть на флешке, но вы их не видите. Вместо ваших файлов отображаются ярлыки название которых совпадает с названием ваших папок. Если вы посмотрите занятый объем флешки, то увидите, что он большой, т.е. ваши папки с файлами никуда не делись.
Удаляем вирусы и восстанавливаем папки на флешке
На чужом компьютере я заразил две своих флешки + мне доверили еще одну зараженную флешку, так что я попробовал восстановить папки двумя способами:
- При помощи Kaspersky Internet Security (KIS);
- При помощи утилиты Dr.Web CureIt.
Вариант 1. Заражена только флешка — используем KIS (для подготовленных пользователей)
Вы заразили флешку на чужом компьютере, а ваш компьютер чист от вирусов (или вы так думаете). Также на вашем компьютере установлен надежный антивирус.
В этом случае, можно проверить флешку при помощи установленного антивируса, например при помощи Kaspersky Internet Security. При помощи KIS я проверил две зараженные флешки, вот результат проверки (кликабельно):
Результат проверки при помощи KIS 2013
Найдены две разновидности вирусов:
- Worm.Win32.Ngrbot.wmf
- Worm.Win32.Ngrbot.wim
Сами же вирусы скрываются под разными именами, например под именем «+ОБ-9.exe» — это ничто иное, как сам вирус — исполняемый файл.
К сожалению, антивирус Касперского удалил только файлы вирусов , т.е. он не удалил ярлыки и не восстановил папки. В подобных случаях удалять ярлыки нужно вручную, а затем еще сделать папки видимыми.
Сделать папки видимыми можно через командную строку (вызывается через «cmd»):
cd /d буква флешки:\ <- нажимаем ENTER
attrib -s -h /d /s <- нажимаем ENTER
Если вы не сильны в работе с командной строкой, то воспользуйтесь вторым вариантом.
Вариант 2. Заражены флешка и компьютер — используем Dr. Web CureIt (для чайников)
Дынный вариант подходит для чайников, так как утилита Dr. Web CureIt все сделает сама:
- Удалит вирусы с флешки и компьютера;
- Удалит ярлыки, которые запускали файл вируса;
- Восстановит папки на флешке — сделает их видимыми.
Если заражение флешки произошла на вашем домашнем ПК — это может говорить о том, что есть проблемы с антивирусной защитой:
- Установлен ненадежный антивирус;
- Давно не обновлялись антивирусные базы.
Необходимо удалить вирус как с компьютера, так и с флешки. Проведите полную проверку компьютера при помощи бесплатной лечащей утилиты Dr. Web CureIt . Для этого в настройках поставьте галочку на против пункта «Мой комьпютер» — будут выбраны все диски компьютера: жесткие диски, CD-ROM и флешки.
Будем искать вирус на всех дисках
Утилита обнаружила 54 угрозы, которые были успешно обезврежены.
CureIt обнаружила и обезвредила 54 копии вируса
В лаборатории Доктор Веб, данный вирус числится как BackDoor.IRC.NgrBot.42 (у Касперского Worm.Win32.Ngrbot).
Все папки стали видимыми и теперь можно пользоваться флешкой.
Dr.Web CureIt удали вирусы, ярлыки, восстановил папки
Выводы
Если вирус превратил ваши папки в ярлыки — воспользуйтесь бесплатной лечащей утилитой Dr. Web CureIt, которая справится с проблемой на «автомате».
Не забывайте, что на домашнем компьютере должен быть установлен надежный антивирус, который необходимо регулярно обновлять.
Николай Переделкин
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту – очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак – это все папки на флешке превратились в ярлыки.
Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки), чтобы удостовериться в наличии файлов – вот это делать совсем не стоит!Проблема в том, что в этих ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей папки.
Как очистить флешку от таких вирусов:
Шаг 1. Отобразить скрытые файлы и папки.
Если у Вас Windows XP, то выполняем следующие действия: "Пуск-Мой компьютер-Сервис-Свойства папки- вкладка Вид ”:
На вкладке "Вид” отыскиваем два параметра и выполняем:Скрывать защищенные системные файлы (рекомендуется) – снимаем галочку Показывать скрытые файлы и папки – устанавливаем переключатель.
Если у Вас Windows 7, нужно пройти немного другой путь: ”Пуск-Панель Управления- Параментры папок- вкладка Вид ”.
Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.
Шаг 2. Очистка флешки от вирусов.
Зараженная флешка выглядит так, как показано на рисунке ниже:
Сначала необходимо проверить, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, где Вы найдете двойной запуск – первый открывает Вашу папку, а второй – запускает вирус:
В строке "Объект” (она довольно длинная) можно найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В данном случае строка двойного запуска выглядела так:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support
Вот тот самый путь: RECYCLER\6dc09d8d.exe - папка на флешке и вирус в ней.
Удаляем его вместе с папкой – теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).
Шаг 3. Восстановление прежнего вида папок.
Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.
Для этого есть 2 способа:
Открываем "Пуск”-Пункт "Выполнить”-Вводим команду CMD-нажимаем ENTER.
Откроется черное окно командной строки в ней нужно ввести команды:
cd /d f:\ нажать ENTER, где f:\ – это буква нашей флешки (может отличатся от примера) attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.
Второй вариант – создать текстовый файл в корне флешки. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat, поместить в корень флэшки и запустить его. После его запуска появится черное окошко, не закрывайте его, а подождите и все не восстановится. После этого можно удалить ярлыки папок.
В случае, если у Вас не получается создать такой файл – Вы можете скачать: Bat файл для смены атррибутов (.zip) . Если файлов много, то возможно потребуется время на выполнение команды.
После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.
Еще один вариант файла.bat:
| :lable cls set /p disk_flash="Vvesti buky flash drive: " cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%: |
Файла на флешке стали ярлыками, что делать? Думаете, что информация полностью утеряна? Выход есть! Ответы на вопросы как восстановить все данные и удалить вирус ищите в этой статье.
Файлы и папки на флешке превратились в ярлыки, с чем связано
Почти у каждого пользователя компьютером возникала проблема, когда папки на флешке переставали отображаться, а вместо них появлялись ярлыки. Такой типа вируса может заразить ПК, телефон и любое другое партитивное устройство и папки перестанут отображаться.Как быстро и правильно решить такую проблему? Подробное описание вы найдёте в этой статье.
Также Вы узнаете о типах вирусов и их особенностях.
Вирус после, которого файлы становятся ярлыками, бывает двух типов:
- Все папки на съёмном носителе заменились ярлыками.
- Вместо локальных дисков на ПК появились ярлыки.
- Самым распространенным является вирус, что делает папки невидимыми, а вместо них отображаются ярлыки. Это адское сочетание Worm и Trojan. Многие пользователи, впервые столкнувшись с подобной проблемой дважды кликают курсором на ярлык папки в надежде их открыть, и запускают зловредные программы.
- Второй вариант - это Trojan, он собирает все файлы на устройствах и переносит их в одну скрытую папку. После этого создает один общий ярлык, пользователь может получить доступ, к файлам только открыв его. И снова после двойного клика вирус начинает вредоносно распространяться по компьютеру, устанавливать шпионские программы и копировать персональные данные.
Как восстановить поврежденные файлы на флешке
Попав на компьютер пользователя или съёмный носитель, зловредный вирус создает папку RECYCLER и прописывается там. Папка скрыта, в ней вредоносный код – это своеобразная маскировка. Параллельно с этим все папки, которые были на флешке становиться невидимыми. Вирус создает ярлыки, которые его активируют.
После того, как флешку с вирусом подключают к компьютеру и кликают по ярлыку папки, вредоносная команда запускается. Если у вас на ПК нет антивируса, последствия могут быть печальными. Начиная от взломов паролей, до установки бэкдора.
Есть несколько простых вариантов, для удаления вируса:
- При помощи Total Commander или другого файлового менеджера.
- Используя загрузочный диск или загрузочную флешку.
- При помощи командной строки.
- Скачайте, и установит файловый менеджер.
- Двойным кликом запустите программу.
- Найдите подключенную флешку (левый правый угол).
- В первые секунды, кажется, что все хорошо, но стоит присмотреться - папок не видно, а видны ярлыки.
- Зайдите в раздел конфигурация – настройки. Установите галочки напротив: показывать скрытые файлы и системные файлы. После этих манипуляций на флешке станут видны папки, которые были скрыты.
- Все ярлыки удалите.
- Теперь нужно вернуть прежний вид папок. Выделите нужную папку. Откройте вкладку «файл» - изменить атрибуты. Удалите отметки напротив: только для чтения, архивный, системный, скрытый, системный.
- Последняя немаловажная деталь. Удалите папку RECYCLER, в которой и спрятался вирус.
- Зайдите меню «Пуск» и кликните на «Выполнить».
- В открывшейся строке введите «cmd» и подтвердите команду.
- Появится командная строка. В ней пропишите «cd /d X:\». Х – буква, под которой отображается ваша флешка.
- Следующий шаг пропишите – «attrib -s -h /d /s».
Третий вариант - используя загрузочный диск Live DVD или загрузочную флешку.
Это способ подойдет более опытным пользователям, так для его осуществления необходим загрузочный диск или флешка. А не у всех они есть под рукой.
Удаляем вирус, создающий ярлыки на флешке. Пошаговая инструкция
Избавиться от вируса, который поселился на вашей флешке можно при помощи антивируса. Воспользуйтесь, например бесплатной версией Dr.Web CureIt или Касперским.
Если установить программу нет возможности или вирусы обнаружить он не смог, воспользуйтесь ручным методом.
Другие способы отображения информации на зараженной флешке были описаны в предбудущем разделе.
- Первым делом вирус нужно найти. Через проводник возвращаем папкам видимость. (Показать скрытые папки и файлы, показать защищенные и системные файлы).
- Заходим на флешку. Открывает свойства любого ярлыка. Видим в поле «Объект» - RECYCLER. Это и есть вирус.
- Находим на флешке папку с таким названием, удаляем ее целиком. В профилактических целях проверьте наличие вируса в системных файлах C:\windows, C:\windows\system32.
Бывают случаи, когда вирусы прячутся под расширением.bat/.cmd/.vbs. Если нашли что-то подобное на съемном носителе, просмотрите их код и удалите.
После проведения всех действий вирус будет полностью обезврежен.
Лечение флешки от вируса по видео инструкции
ТОП программ, которые сберегут Вашу флешку от вирусов
- Shortcut Virus Remover 3.1. - самая известная программа для удаления вирусов. Программу не нужно устанавливать, скачайте и откройте архив. Кликните на программу, в открывшемся окне выберите проверку внешнего накопителя.
- HFV Cleaner Pro - лучшая программа для борьбы с Worm и Trojan. На компьютер ее устанавливать не нужно. При первом открытии программа попросит ввести нужный вам пароль. Найдите флешку и удалите вирус. Восстановите видимость папок и остальных файлов.
- Shortcut Virus Remover BAT – небольшой файл, который после одного клика поможет удалить вредоносную программу.
- UsbFix - программа, которая проводит полную проверку и очистку флешки от вредоносных объектов. С ее помощью можно проверить персональный компьютер. Программа постоянно обновляется.