Ошибки iTunes 

Почему папка превратилась в ярлык. Вирус создаёт ярлык флешки на флешке. Вирус, преобразующий флешки и карты памяти в ярлыки

Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки - вы должны это понимать что это вирус.

Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.


Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но - при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.

Вирус уникален также тем, что распространяется только при помощи флешок.

Так вот, теперь перейдем к самому главному - как исправить эту ситуацию.

Лечение от вируса на флешки, который создает ярлык

Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R . Появится черное окошко, то есть консоль. В нее пишем следующее:

cd /d F : (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
attrib -s -h -a -r /s /d *.* (*.* - это маска, означает что «лечить» будем все файлы на флешке);

После этого мы можем открыть флешку и увидеть что все файлы на месте.


После этого необходимо удалить все файлы, и оставить только autorun.inf .

Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее .

Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.

Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf , как правило он находится в ветке svchost.exe .


Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle ) - обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.

После этого нам нужно попасть во временную папку Temp , пусть который такой: C:\users\%username%\AppData\Local\Temp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif , мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше - скорее всего да.

Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.

Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать

Если вдруг папки стали ярлыками на флешке не нажимайте на них, а восстановите следующим образом.

Делаем файлы невидимыми

Нажимаем Пуск — Панель Управления — Оформление и персонализация — Параметры папок — Показ скрытых файлов и папок и в открывшемся окне ставим галочку (показывать скрытые файлы, папки и диски).

Теперь папки и ярлыки вместо файлов на флешке будут видны, но папки будут прозрачными.

Удаляем вирус

Ярлыки запускают один и тот же файл. Правой кнопкой мыши жмем на любой ярлык и нажимаем свойства. В свойствах нажимаем на вкладку ярлык и смотрим пункт объект.

Пункт объект довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 456325.exe в папке Recycle на самой флешке. Удаляем его вместе с папкой и теперь клик по ярлыку не опасен.

Приводим флешку в прежний вид

Удаляем все ярлыки наших папок так как они не нужны. Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку. Этого можно добиться двумя способами:
Способ 1. Открываем Пуск — Пункт Выполнить — Вводим команду CMD — нажимаем ENTER. Открывается черное окно командной строки в ней нужно ввести такие команды:
cd /d e:\ нажать ENTER, где e:\ – это буква нашей флешки (может отличатся от примера).
attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.
Способ 2. Создаём текстовый файл на флешке. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его. Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!
После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы. Теперь появившиеся на флешке ярлыки вместо папок пропадут и папки примут прежний вид.

Сегодня речь пойдет об одном интересном вирусе, название которого я конечно не знаю или не запомнил.

Обитал он в одной замечательной бюджетной организации, которую, то ли обязывают покупать платный, всем нам известный антивирус, то ли они так сами решили. Не знаю.

Собственно это хорошо и правильно. Но, либо он (антивирус) не справляется со своей задачей, либо админ ленится, но так или иначе, вирус живет на компьютерах этой организации уже давно.

И вот меня угораздило воткнуть подключить флешку к одному из компьютеров вышеупомянутой конторы организации.

Особенность вируса такова — себя на Ваше устройство он не копирует (точнее копирует, но очень редко, и видимо лишь какая-то его разновидность), но напакостить успевает.

Вирус скрыл папки и файлы на флешке

Все ниже перечисленные симптомы, могут появиться как все одновременно, так и некоторые по отдельности:

  • Флешка якобы пуста — вы не видите ничего в проводнике.
  • На flash-диске не видно ни одного файла, но если посмотреть свойства диска, то становится понятно что он не пуст.
  • На диске что-то есть похожее на Ваши папки, и даже выглядит как они, но на самом деле, это EXE-файлы которые открывают «Проводник» Windows. Иногда на папке «Мои документы».
  • Вместо Ваших файлов, ярлыки, которые все же открывают Ваши файлы. Ну или не открывают…

Как вылечить флешку от вируса скрывающего файлы

Что делать если с Вами и вашей флешкой случилась такая неприятность.

Совет №1. Ни в коем случае не форматировать флешку.

Ваши данные там, они не испорчены, и мы сейчас их вернем:

Запустите командную строку от имени Администратора. Введите команду

attrib -h -r -s /d /s h:\*.* — где «h:\» — буква Вашей флешки.

и нажмите

Данная команда, сделает ваши файлы и папки видимыми.

Давайте рассмотрим, что делает введенная нами команда:

attrib — собственно запускает программу attrib

ключ -h — очищает атрибут «скрытый файл».

ключ -r — очищает атрибут файла «только для чтения».

ключ -s — очищает атрибут «системного файла».

ключ /s — распространяет действие только на файлы.

ключ /d — распространяет действие на каталоги (папки) и файлы. Не работает без /s

После этих действий, ваши файлы и папки станут видны. Вам лишь останется удалить (при помощи поиска) все файлы с расширением *.lnk (ярлыки) и name.exe которые выглядят как ваши папки (где name-имена ваших папок). Если есть файлы, которые не похожи на Ваши — тоже удаляйте.

неОшибка.Ру — не несет ответственности за Ваши действия и возможную потерю информации. Все действия вы производите на свой страх и риск. Вы должны понимать то, что делаете, и к чему это приведет.

Флешка – это съёмный носитель, который многим пользователям помогает держать все нужные файлы при себе и использовать их в нужный момент. Однако, бывают случаи, когда пользователь обнаруживает, что файлы на флешке стали ярлыками и не открываются. Что делать в таком случае и как исправить проблему.

Причины появления ярлыков файлов и папок на флешке

Причиной тому, что на флешке папки и файлы стали ярлыками является вирус. Попав на съёмное устройство с помощью переноса или копирования файлов, он инфицирует содержимое, прописывает свои команды. Поэтому, ни в коем случае не стоит пытаться запустить все по очереди файлы, с надеждой их открыть. Вирус прописывает в каждом свою команду, которая может быть направлена на поражения операционной системы. Также не стоит удалять всё содержимое или форматировать устройство. Помните, все файлы стали ярлыками, однако, они не повреждены и никуда не пропали.

Как исправить ситуацию, когда флешке все файлы стали ярлыками?

Пользователи часто задаются вопросом: что делать, если все папки на флешке стали ярлыками и не открываются?

Для решения этой проблемы есть несколько несложных действий.

Сначала нужно включить отображение скрытых папок и файлов. Для системы Windows XP подойдет следующий адрес: «Пуск», «Мой компьютер», «Сервис», «Свойства папки».

Откроется окно настроек. Переходим во вкладку «Вид» и ставим отметку «Показывать скрытые папки и файлы».

Для Windows 7 выполняем такие шаги: «Пуск», «Панель управления», «Оформление и персонализация».

После кликаем «Параметры папок» и переходим во вкладку «Вид». Здесь ставим идентичную отметку.

Переходим во вкладку «Ярлыки» и проверяем поле «Объект». Это будет адрес папки, с которой запускается вредоносная программа.

Название, которое выделено на скрине – это имя папки, которая расположена на накопителе и открыта для пользователя. Её нужно удалить. Также стоит посмотреть адреса путей всех ярлыков и уничтожить вирусы.

Для точной и полной очистки стоит проверить наличие ехе. файла на ПК по следующим адресам:

  • Для Windows XP – диск С, папка «Documents and Settings», «Имя пользователя», «Local Settings», «Application Data».
  • Для Windows 7 – диск C, папка «User», после «Имя пользователя», «Appdata» и «roamling».

Если в этих папках имеется файл ехе – это вирус и его нужно удалить.

После того, как папки с вредоносными объектами были уничтожены, необходимо вернуть файлам прежний вид. Для этого есть несколько способов.

Способ первый

Жмём «Пуск», «Выполнить» (или Win+R). Вводим команду «cmd».

Запустится строка. Вводим «cd / d f:\» и жмём «Enter». Буква «f» означает наименование флешки.

После вводим команду для сброса атрибутов папки «attrib –s –h/d /s». Жмём «Enter».

Способ второй

Открываем флешку, жмём правой кнопкой и кликаем «Создать», «Текстовый документ».

Вводим исходный код: «attrib –s –h/d/s».

Сохраняем файл. После переименовываем его расширение на bat. Запускаем и все атрибуты сбрасываются.

Теперь, все файлы и папки, которые стали ярлыками, вернут свой прежний вид и всё содержимое будет невредимым.

Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками . Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

  1. Первая запускает и устанавливает вирус на Ваш ПК
  2. Вторая открывает интересующую Вас папку

Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е. им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.

Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?


В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:\windows, C:\windows\system32 и в профиле текущего пользователя (о них чуть ниже)).

  • в Windows 7, 8 и 10 - C:\users\имя_пользователя\appdata\roaming\
  • в Windows XP - C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\

Если в этих каталогах имеются файлы с расширением «.exe », то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде.bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Проверка системы на наличие команд автозапуска вируса

В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
  • HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run – программы, автоматически запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).

Другие способы автозапуска программ в системе описаны в статье .

Восстанавливаем вид каталогов и доступ к папкам

После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Ручной способ восстановления атрибутов скрытых папок на флешке

  1. Открываем командную строку с правами администратора
  2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
    cd /d f:\
    , где f:\ - это буква диска, назначенная флешке (в конкретном случае может отличаться)
    attrib -s -h /d /s
    , команда сбрасывает атрибуты S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.

В результате все данные на накопителе становятся видимыми.

Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов

Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.

С этого сайта скачайте файл (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:

:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

При запуске программа просит вас указать имя диска флешки (например, F: ), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.

Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить