Информация на флешке видится как ярлык. Удаляем вирус, создающий ярлыки на флешке. Пошаговая инструкция. Лечение от вируса на флешки, который создает ярлык

Дорогие друзья, сегодня мы с вами узнаем, как исправить проблему, когда папки и файлы на флешке стали ярлыками. Конечно, эта проблема крайне неприятная и требует незамедлительного оперативного вмешательства. Прежде чем что-либо делать, рекомендуется отложить флешку в сторону, вытащив её из порта USB компьютера или ноутбука, и ознакомится с теоретической частью этого вопроса. Давайте узнаем: как эта проблема могла появиться на вашем устройстве? Каков принцип работы такого вредоносного кода? Это поможет не только прояснить текущую ситуацию, но и предупредить её будущее появление. Итак, как можно было занести вирус?

• Самым распространённым источником является интернет, который включает в себя огромное количество информации. Она, естественно, фильтруется, но гарантировать безопасность работы в сети даже при наличии антивирусного программного обеспечения на компьютере никто не может. Поэтому рекомендуется очень аккуратно загружать и скачивать файлы в интернете. Если имеется хотя бы малейшее сомнение в безопасности ресурса, сразу же закрывайте страницу браузера.
• При частом использовании флеш-накопителя на учёбе или работе также имеется риск заразить её вирусом. Например, если вы вставляете её в рабочий компьютер одного из сотрудников, то очень легко заполучить вредоносный код: не факт, что ваш коллега беспокоится за безопасность своего устройства как вы. Есть вероятность, что его компьютер просто кишит вирусами. Особенно такой исход событий знаком студентам, которые вставляют свои флешки в университетские компьютеры, которые не всегда отличаются своей чистотой в плане вирусных атак.

Конечно, это не значит, что надо положить устройство хранения и переноса информации дома в тумбочку и никогда не доставать. Просто нужно соблюдать элементарные правила безопасности, способные снизить риск заражения устройства вредоносным кодом. Это лучше, чем каждый раз хвататься за голову, переживая за сохранность информации на флешке или любом другом носителе.

Теперь немного поговорим о принципе работы такого вируса. Для начала он скрывает все файлы и папки на вашей флешке (ну или почти все), создаёт ярлык для каждого из них, который ссылается на сам вирус вместе с папкой назначения. То есть получается своего рода «размножение» опасного кода. Желательно, вообще, его не открывать, так как код может проникнуть не только в другие папки носителя, но и на сам компьютер или ноутбук. Вообще, крайне не рекомендуется в принципе открывать такую флешку.

Первый способ

Теперь, когда мы уже немного познакомились с причиной и следствием обсуждаемой проблемы, можно перейти и к способам устранения неполадки. Прежде всего стоит отметить, что для применения некоторых способов вам может потребоваться активное подключение к интернету . Обратите внимание, что такой способ подходит также для случая, когда флешка отображается как ярлык. Если вы готовы начать, то поехали:

attrib -s -h -r -a /s /d

Закройте файл блокнота и сохраните его. Теперь переименуйте его так:

То есть, получится, что вы создали файл-программу с разрешением bat, который поможет вам решить проблему. Для этого запустите его от имени администратора, нажав по нему правой кнопкой мыши и выбрав соответствующий пункт меню. Дождитесь окончания процесса. После этого можно будет проверить носитель информации. Должна исправиться неполадка, когда открывается флешка как ярлык.

Второй способ

Можно воспользоваться ещё одним методом, который проделает вышеописанные процедуры (кроме сканирования антивирусом) в автоматическом режиме. Может помочь, если ярлык самой флешки на флешке. Но обратите внимание, что способ не всегда 100-процентно рабочий. Всё же лучше воспользоваться ручным способом, представленным ранее. При полной готовности, приступим:

1. Создайте файл блокнота на флешке, как в шестом пункте предыдущей инструкции. Только код теперь будет другой:

:lable
cls
set /p disk_flash=»Vveditebukvuvasheifleshki: »
cd /D %disk_flash%:
if %errorlevel%==1 gotolable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

1. Сохраните этот файл и переименуйте его на testbat.
2. Посмотрите букву вашей флешки через «Мой компьютер». Например, она может быть такая: «Nastroyvse (F:)». Значит, буква устройства будет F. Запоминаем её.
3. Запустите бат-файл от имени администратора уже знакомым вам способом.
4. Программа запросит у вас букву вашей флешки. Напишите ту, которую вы запомнили из третьего пункта выше. Введите её и нажмите Готово!

Когда беда будет уже позади, всё равно нужно будет проделать некоторые операции, которые отмечены в этом рекомендательном блоке. Не игнорируйте их, так как они обезопасят ваши устройства ещё больше и заметут следы вирусной атаки.

• Обязательно проверьте системные папки компьютера или ноутбука на наличие остатков вируса. Для этого перейдите по следующему пути, где имя вы указываете именно своего компьютера:

C:\users\ваше имя пользователя\appdata\roaming\

В этой папке не должны быть никаких файлов с разрешением.exe. Поэтому удалите все такие, если они есть в указанном месте.

• После проведения всех восстановительных работ обязательно ещё раз просканируйте флешку и компьютер антивирусным программным обеспечением, чтобы удостовериться в безопасности.
• Рекомендуется скопировать ваши файлы на компьютер, затем отформатировать флешку . Только после этого можно вернуть документы на носитель информации. Это поможет избавиться от дополнительных проблем и неполадок.

Подведём итоги

Уважаемые читатели, сегодня мы с вами разобрались с тем, что делать, если флешка стала ярлыком и не открывается, вместо файлов на флешке ярлыки. Надеемся, что у вас всё получилось, не осталось никаких вопросов. Относитесь теперь к устройству более трепетно, берегите его безопасность. Поделитесь в комментариях своим мнением, впечатление, а также опытом: смогли ли вы

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду.

Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени.

Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка

Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт:

Attrib "*" -s -h -a -r /s /d

Сохраняем его как run.bat и держим под рукой.

Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр:

1. «Пуск» - «Выполнить» и пишем «regedit»;
2. Открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer»;
4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

1. скопировать run.bat в корень флешки и запустить;
2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
4. теперь осталось удалить с корня все файлы, кроме этой папки.
5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей!

Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.

Вирусы бывают разные и совершают они различные действия. Сегодня в статье речь о таких вирусах, которые скрывают настоящие папки (чаще всего недавно используемые) и заменяют их на свой ярлык с таким же названием, который ссылается на скрытую папку в которой находится сам вирус. Вот такая вот чехарда, в результате которой Вы открываете флешку (а чаще всего заражаются именно они) и видите вроде бы все свои папки. Открываете и заражаете свой компьютер кучей вирусов, и неизвестно чем они там заниматься будут...

Для начала разберемся с тем, как вылечить такой вирус. Если у Вас нет антивируса, то можете скачать бесплатный антивирус от или от лаборатории , а затем проверить ими компьютер или флешку. Обычно после них всё встаёт на места и вирусы удаляются.

На заметку:

2) Можете щелкнуть ПКМ по созданному вирусному ярлыку и выбрать в меню Свойства . Там будет указан путь, куда перенаправляет этот ярлык. Обычно это программа (с расширением exe ) в папке RECYCLER . Затем можете удалить как сам файл, на который ссылается ярлык, так и саму эту папку, содержащую вирус. Этим Вы поможет антивирусу или избавитесь без антивируса.

3) Если увидите файл autorun.inf , то тоже его удалите. ( ?)

4) Введите следующие строки в адресную строку проводника.

Для Windows XP : %USERPROFILE%\Local Settings\Application Data\

Для Windows 7 и 8 : %USERPROFILE%\appdata\roaming\

Если найдёте в этой папке какой-нибудь файл с расширением exe , то смело удаляйте.

После удаления вирусов, нужные нам папки остаются, но они невидимые (скрытые). Место же они занимают. Чаще всего у них ещё стоит атрибут Скрытый , который неактивен (галочку нельзя убрать) и серый.

Чтобы убрать атрибут можно воспользоваться несколькими способами:

1) Скачать с официального сайта . Запустить его. Проверить по пути “Конфигурация” –> “Настройка” –> “Содержимое панелей”. Здесь должна стоять галочка в пункте “Показывать скрытые/системные файлы (только для опытных!)”

Если нету, то ставим и жмем Применить и Ок.

Далее открываем нашу флешку через Тотал Коммандер и видим наши папки скрытые. Выделяем их с помощью нажатой клавиши Ctrl и нажатием левой кнопки мыши на каждой папке (или просто ПКМ по ним щёлкаем). Затем идём в “Файлы” –> “Изменить атрибуты”. В этом окошке снимаем все атрибуты. В итоге должно быть пусто:

Жмем Ок и наслаждаемся результатом.

2) Открываем Блокнот (Пуск -> Все программы -> Стандартные -> Блокнот) и вставляем в него следующие строки:

attrib -s -h -r -a /s /d

Затем верхнее меню "Файл" -> "Сохранить как..." и называем любым именем, но чтобы расширение (Тип файла) было bat , а местоположение указываем корень (начало) нашей флешки или диска зараженного.

Теперь запускаем этот файл и всё должно стать видимым.
Тут стоит знать то, что если заражен системный диск, то все системные папки станут видимыми тоже, что не совсем хорошо.

Кстати, если боитесь, то можете скачать с моего сайта файл ниже, закинуть в корень и запустить

3) Нажимаем Пуск -> Выполнить (или сочетание клавиш Win +R ) и вводим в окошко:

attrib -h -s /d /s "Путь к папке или файлу"

Например у Вас заражена флешка и в ней папка vindavoz скрытая, тогда будет так:

Обратите внимание на знак обратного слеша. Он должен быть.
Жмем Ок и радуемся что папки стали видимыми.

4) Точно так же, как и во 2 пункте, создаем файл со следующим содержимым:

:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

У кого возникнут вопросы - пишите в комментариях.

Если все папки на флешке стали ярлыками – не стоит отчаиваться! Проблема имеет решение, причем довольно-таки простое.

Для начала, запомните следующую информацию:

1. Папки на флешке скорее всего никуда не пропадали, 99% что это вирус, а если быть точным – троян Backdoor.win32.ruskill . Он замаскировался под папки, находящиеся на флешке – создал вместо них свои ярлыки (через сопутствующего вируса-червя). Сами папки никуда не делись – они стали скрытыми.
2. Не пытайтесь запустить появившиеся ярлыки-папки. Нет, не так. НИ В КОЕМ СЛУЧАЕ не запускайте эти ярлыки. Принцип действия вируса после запуска ярлыков расписывать не буду, скажу лишь: ничего хорошего не ждите. Если интересно – можете почитать что он способен натворить: http://www.securitylab.ru/virus/405757.php
3. Форматировать флешку не надо. Все Ваши файлы всё ещё находятся там (см. п.1). Если, конечно, ничего важного там нет – можно и форматнуть.

Теперь, когда Вы ознакомились с основной информацией по данной проблеме, давайте постараемся её решить.

Здесь возможно несколько способов решения этой проблемы с флешкой – с помощью сторонних программ и вручную (его мы и рассмотрим).

Давайте по порядку:

1. Если антивирус всё ещё ничего не обнаружил на флешке – запустите его, пусть проверит и удалит вирус.

2. Заходим в Мой компьютер, на верхней панели находим вкладку Сервис (если стоит Windows 7, то нажимаем F10 – панель появится), далее заходим в Свойства папки, во вкладку Вид – снимаем галочку с пункта «Скрывать защищенные системные файлы» и ставим галочку на «Показывать скрытые файлы и папки».

3. Теперь на Вашей флешке должны появиться папки, которые скрыл злой вирус 🙂 Создаем новые папки с похожими на скрытые названиями и перемещаем всю информацию в них (вырезать-вставить, легко же!)

4. Удаляем пустые скрытые папки, удаляем ярлыки, созданные вирусом, удаляем папку RECYCLER (если антивир её всё ещё не удалил).

5. Собственно, всё! Проблему с папками, ставшими ярлыками на флешке мы решили.

ЗЫ: Можно проверить «следы» вируса, которые он мог оставить на компьютере. Для этого заходим в

C:\users\Имя_пользователя\appdata\roaming\ (Windows 7)

C:\Documents and Settings\ Имя_пользователя \Local Settings\Application Data\ (Windows XP)

В этой папке ищите файлы со странным названием, типа «9fpoi8j5.exe» (может быть любой набор букв-цифр) – это и будет исполняемый файл вируса, удалите его.

Затем лезем в реестр (пуск-выполнить или win+R, вводим regedit), заходим в следующий каталог: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, где ищем название вируса по вышеописанному принципу и удаляем! Вот и всё.

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки .

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».


Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:


Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить ).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

• cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
• attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: .

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

• сносим Windows (1,5-2 часа, самый быстрый способ);
• устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
• записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

• F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.