Почему на флешке вместо файлов ярлыки. Папки на флешке стали ярлыками! Что делать
Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками . Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:
- Первая запускает и устанавливает вирус на Ваш ПК
- Вторая открывает интересующую Вас папку
Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е. им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.
Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками
Удаляем исполняемые файлы вируса на USB флешке
Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?
В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:\windows, C:\windows\system32 и в профиле текущего пользователя (о них чуть ниже)).
- в Windows 7, 8 и 10 - C:\users\имя_пользователя\appdata\roaming\
- в Windows XP - C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\
Если в этих каталогах имеются файлы с расширением «.exe », то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).
В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде.bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).
Теперь клик по ярлыку не опасен!
Проверка системы на наличие команд автозапуска вируса
В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
- HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).
Другие способы автозапуска программ в системе описаны в статье .
Восстанавливаем вид каталогов и доступ к папкам
После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны
Ручной способ восстановления атрибутов скрытых папок на флешке
- Открываем командную строку с правами администратора
- В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
cd /d f:\
, где f:\ - это буква диска, назначенная флешке (в конкретном случае может отличаться)
attrib -s -h /d /s
, команда сбрасывает атрибуты S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.
В результате все данные на накопителе становятся видимыми.
Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов
Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.
С этого сайта скачайте файл (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:
:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
При запуске программа просит вас указать имя диска флешки (например, F: ), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.
Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!
Ситуация выглядит так: на флешке были папки, но они чудесным образом превратились в ярлыки, т.е. в файлы с расширением lnk. При попытке открыть такой файл появляется сообщение:
В данном случае «Q» — это имя съемного диска (флешки), у вас оно может быть другое. Ярлык направляет нас в папку с исполняемым файлом (расширение exe), которые является вирусом.
Что именно произошло: в результате действия вируса, всем папкам были присвоены атрибуты «системный» и «скрытый», т.е. они остались на флешке, но мы их не можем увидеть используя графический интерфейс Windows. Вместо папок появились ярлыки с одноименными названиями ведущими на файл с вирусом.
Что делать, если папки превратились в ярлыки? Пошаговая инструкция.
В Интернете мне попался вариант решения проблемы путем изменения атрибутов папок (по сути дела папка — это файл) при помощи командной строки. Для тех пользователей, которые не дружат с командной строкой, предлагаю альтернативный способ — воспользовался для этих целей файловым менеджером FAR Manager. Этот менеджер всегда удобно иметь под рукой и мы его уже использовали при редактировании файла hosts (Видео Не могу зайти в одноклассники. Решение проблемы).
Шаг 1. Проверяем флешку на наличие вирусов. Я проверял при помощи антивируса AVAST 4.8 Professionl. Все «левые» ярлыки от удалил, сообщив, что это троян LNK.
Avast удалил все «левые» ярлыки
Если ваш антивирус оставить ярлыки папок на месте — удалите их самостоятельно, они не нужны.
Шаг 2. Загружаем FAR Manager , распаковываем архив и запускаем файл Far.exe;
Шаг 3. Переходим на съемный диск (флешку). Для выбора диска воспользуйтесь клавишами Alt + F1 ;
Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «исчезнувшие» папки.
Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «потерянные» папки
Шаг 4. Чтобы не менять атрибуты у каждой папки по отдельности, велите их все сразу: выделите сперва первый файл из списка, а потом нажмите клавишу Insert на клавиатуре и держите до тех пор, пока не выделятся имена всех интересующих нас файлов желтым цветом.
Выделение группы файлов в FAR Manager
Шаг 5. Нажмите на клавиатуре клавишу F4 (либо кнопку Edit в FAR). В открывшемся меню уберите знаки (знак вопроса, крестик) в пунктах:
Если вы все сделали правильно, цвет имен файлов изменится с темно-синего на белый.
После изменения атрибутов, цвет имен папок стал белым
Теперь можно зайти на флешку из под Windows и убедиться, что все отображается без проблем.
После изменения атрибутов, все папки стали вновь доступны
Советую держать файловый менеджер FAR Manager всегда под рукой, так он позволит, в случае необходимости, обойти ограничения Windows на изменение файлов.
Как вы понимаете, при помощи FAR Manager можно проделать и обратную процедуру, т.е. скрыть свои файлы на флешке от неопытных пользователей.
В заключение хочу сказать спасибо программисту Евгению Рошалю, который создал FAR Manager и хорошо всем известный архиваторы RAR и WinRAR.
Евгений Мухутдинов
Привет читатели. Сегодня я хочу вам рассказать о том «недоразумении», когда у вас папки на флешке стали ярлыками . Это очень распространенный случай. Например, вы вставляете флешку в свой компьютер, стартует, например , вы открываете флешку и видите, что все папки, которые на ней располагались, превратились в ярлыки. Некоторые, не подозревая об этом, копируете на компьютер, а затем вытаскивая флешку, — не можете получить доступ к папке.
И вот у вас в папке — осталась важная информация, которую срочно необходимо спасти. Вы задаетесь вопросом, почему папки стали отображаться в виде ярлыков, а самое главное, как это все исправить? В данной статье мы и рассмотрим, как решить такую серьезную проблему.
Самое главное, когда вы столкнулись с подобной ситуацией, не стоит форматировать флешку, это только усугубит положение.
Первое. Вся ваша информация, которая была на флешке (флеш-носителе) так на ней и осталась, то есть, никуда не пропала. Причиной того, что все папки стали скрытыми, а вместо них появились ярлыки, стало появление на носителе.
Второе. Не стоит нажимать мышью по этим ярлыкам, так как вы можете запустить вредоносный код, который прописан в самом ярлыке. Когда вы вставляете флеш-накопитель в компьютер, у вас может быть такая ситуация:
Что необходимо делать в ситуации, когда папки стали ярлыками на накопителе.
Шаг № 1. Необходимо включить отображение скрытых файлов и папок. Например, можно открыть какой-нибудь файловый менеджер и сделать через него, а можно и в самой Windows. Для этого необходимо зайти в Мой компьютер и выполнить команду Сервис — Свойства папки — Вид , где затем установить указатель на пункт – Показывать скрытые папки и файлы .
Шаг № 2. Теперь нам необходимо проверить каждый ярлык, который находится на флеш-накопителе. Для этого заходим на флешку, нажимаем по ярлыку правой кнопкой мыши, из контекстного меню выбираем пункт Свойства , затем переходим на вкладку Ярлык и внимательно смотрим на поле Объект . Именно с этого поля происходит запуск вредоносного кода, нам необходимо определить, откуда именно и где он находится.
Как видно, в папке RECYCLER присутствует вирус, выше на рисунке показана данная папка, она в большинстве случаях также будет скрытой. Теперь нам необходимо удалить данную папку с флеш-накопителя.
Также можете проверить (для безопасности и достоверности) пути, по которым может находиться еще данный вирус:
Для Windows 7 – C:\\User\\Имя_пользователя\\appdata\\roamling\\
Для Windows XP – C:\\Documents and Settings\\Имя_пользователя\\Local Settings\\Application Data\\
Если вы откроете какой-то из этих путей (который подходит для вашей операционной системы), то вы сможете там обнаружить файл exe. Если он будет присутствовать, то это вирус, и это означает, что попал он туда с помощью автозапуска, поэтому я бы посоветовал вам .
Шаг № 3. На данном этапе нам необходимо вернуть обычный вид папкам, то есть сделать, чтобы они были не скрытыми, а видимыми. Естественно, это необходимо делать после того, как вы удалили вредоносный код и вредоносные файлы, при этом не забывайте еще удалить сами ярлыки, только не перепутайте с папками.
Вернуть папки в прежнее состояние можно несколькими способами:
Способ 1. Необходимо нажать Пуск — Выполнить и набрать в командной строке – cmd, после чего нажать на кнопку Ок или клавишу Enter . В появившемся окне вам необходимо ввести следующие команды:
Чтобы проверить, скройте системные папки (тот же принцип, как и настраивали — показать системные папки) и далее — заходите на свой флеш-накопитель. На нем должны быть показаны все ваши папки.
Способ 2. Вам необходимо сбросить атрибуты для папок, для этого — создаете на флешке текстовый документ и в нем пишете следующее.
Если все папки на флешке стали ярлыками – не стоит отчаиваться! Проблема имеет решение, причем довольно-таки простое.
Для начала, запомните следующую информацию:
- Папки на флешке скорее всего никуда не пропадали, 99% что это вирус, а если быть точным – троян Backdoor.win32.ruskill . Он замаскировался под папки, находящиеся на флешке – создал вместо них свои ярлыки (через сопутствующего вируса-червя). Сами папки никуда не делись – они стали скрытыми.
- Не пытайтесь запустить появившиеся ярлыки-папки. Нет, не так. НИ В КОЕМ СЛУЧАЕ не запускайте эти ярлыки. Принцип действия вируса после запуска ярлыков расписывать не буду, скажу лишь: ничего хорошего не ждите. Если интересно – можете почитать что он способен натворить: http://www.securitylab.ru/virus/405757.php
- Форматировать флешку не надо. Все Ваши файлы всё ещё находятся там (см. п.1). Если, конечно, ничего важного там нет – можно и форматнуть.
Теперь, когда Вы ознакомились с основной информацией по данной проблеме, давайте постараемся её решить.
Здесь возможно несколько способов решения этой проблемы с флешкой – с помощью сторонних программ и вручную (его мы и рассмотрим).
Давайте по порядку:
1. Если антивирус всё ещё ничего не обнаружил на флешке – запустите его, пусть проверит и удалит вирус.
2. Заходим в Мой компьютер, на верхней панели находим вкладку Сервис (если стоит Windows 7, то нажимаем F10 – панель появится), далее заходим в Свойства папки, во вкладку Вид – снимаем галочку с пункта «Скрывать защищенные системные файлы» и ставим галочку на «Показывать скрытые файлы и папки».
3. Теперь на Вашей флешке должны появиться папки, которые скрыл злой вирус 🙂 Создаем новые папки с похожими на скрытые названиями и перемещаем всю информацию в них (вырезать-вставить, легко же!)
4. Удаляем пустые скрытые папки, удаляем ярлыки, созданные вирусом, удаляем папку RECYCLER (если антивир её всё ещё не удалил).
5. Собственно, всё! Проблему с папками, ставшими ярлыками на флешке мы решили.
ЗЫ: Можно проверить «следы» вируса, которые он мог оставить на компьютере. Для этого заходим в
C:\users\Имя_пользователя\appdata\roaming\ (Windows 7)
C:\Documents and Settings\ Имя_пользователя \Local Settings\Application Data\ (Windows XP)
В этой папке ищите файлы со странным названием, типа «9fpoi8j5.exe» (может быть любой набор букв-цифр) – это и будет исполняемый файл вируса, удалите его.
Затем лезем в реестр (пуск-выполнить или win+R, вводим regedit), заходим в следующий каталог: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, где ищем название вируса по вышеописанному принципу и удаляем! Вот и всё.
Вирус который делает папки на флешке ярлыками, а сами папки становятся скрытыми. Это встречается довольно часто.
Открывать такие ярлыки не в коем случаи нельзя. В ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей папки. Открыв такой ярлык вы заразите компьютер этим вирусом.
Но не стоит паниковать. Этот вирус можно удалить. Все файлы на флешке можно восстановить. И так все по порядку.
Для начало необходимо отобразить файлы на флешки
На самом деле все Ваши файлы не пропали. Вирус сделал файлы невидимыми (скрытыми) и на них сделал ярлыки. Открыть ваши скрытые файлы просто для этого нужно:
Если у вас Windows XP, то заходим в «Мой компьютер» → в верхнем меню выбираем «Сервис» → затем «Свойства папки» . В появившемся окне выбираем вкладку «Вид» . На вкладке «Вид» ищем пункт ставим галочку.
Если у Вас Windows 7, то нужно нажать кнопку «Пуск» (в левом нижнем углу) и выбрать «панель управления». В панели управления выбираем пункт «Оформление и персонализация» → «Параметры папок». В появившемся окне выбираем вкладку «Вид» . На вкладке «Вид» ищем пункт «Скрывать защищенные системные файлы (рекомендуется)» и снимаем галочку. Далее в пункте «Показывать скрытые файлы и папки» ставим галочку.
Удаляем вирус из флешки
Флешка зараженная вирусом выглядит так:
Для того, чтобы узнать где находится вирус, нужно:
- правой кнопкой мыши нажать на любой ярлык на флешки
- выбрать свойства
В строке «Объект» будет прописан двойной запуск - первый открывает Вашу папку, а второй - запускает вирус.
Строка очень длинная, но в ней легко можно найти путь к вирусу. Чаще всего вирус представлен такого типа 12651515.exe (название может быть любым), который в основном находиться в папке Recycle . В этом примере строка двойного запуска выглядит так:
«%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»
Отсюда мы видим что вирус находиться в папке RECYCLER и называется 6dc09d8d.exe. (%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support)
Удаляем из флешки папку вместе с вирусом. После этого запуск любого ярлыка не опасен.
Восстанавливаем файлы на флешке
Теперь смело удаляем все ярлыки. Но наши файлы по прежнему являются скрытыми и системными (они прозрачные). Просто так эти атрибуты не убрать. Для восстановления начальных атрибутов нашим файлам существует несколько способов:
Первый способ
Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f:\ нажать ENTER, где f:\ - это буква нашей флешки (может отличатся от примера)
- attrib -s -h /d /s нажать ENTER - эта команда сбросит атрибуты и папки станут видимыми.
Второй способ
1. Создать текстовый файл на флешки.
2. Записать в него команду attrib -s -h -r -a /s /d , переименовать файл в 1.bat и запустить его.