Загрузки 

Файлы превратились в ярлыки. Вирус «Все папки и файлы скрыты а вместо них ярлыки» — удаляем навсегда. тип: Ярлык диска

Изобретательность разработчиков вирусного программного обеспечения не знает границ, и никого не удивить обычными «Троянами», которые воруют данные, или рекламными баннерами, для закрытия которых мошенники требуют направить им платное СМС. Оригинальным является вирус, который проникает на внешний накопитель (флешку или жесткий диск) и превращает все папки в ярлыки, вернее, так считает пользователь.

На деле же вирусное приложение скрывает реальные папки с данными и подменяет их ярлыками с аналогичным названием. Нажимая на вирусные ярлыки, с флешки инсталлируются на компьютер вредоносные программы. Если у пользователя компьютера не установлено антивирусное программное обеспечение, он рискует серьезно заразить компьютер вредоносными программами, которые впоследствии могут привести к потере личных данных, важных файлов и другим проблемам.

Важно: Если папки на флешке заменились на ярлыки, не нажимайте на них, даже если они имеют названия вроде «Как решить проблему», «Прочти меня», «ReadMe» и другие. Подобным образом злоумышленники вынуждают пользователя активировать свое вирусное программное обеспечение.

Что делать, если папки на флешке стали ярлыками

Как было сказано выше, главное в подобной ситуации не идти на уловки вируса и не жать на созданные им файлы. Чтобы избавиться от вирусных ярлыков и не навредить своим файлам, сделать необходимо следующее:

В Windows 8, 10 и XP: {Системный жесткий диск}:\Пользователи\{Имя пользователя}\AppData\Roaming В Windows 7: {Системный жесткий диск}:\ Documents and Settings\{Имя пользователя}\ Local Settings\Application Data\

Обратите внимание: Чтобы увидеть папку AppData, а также некоторые другие, потребуется изначально включить в «Панели управления» отображение скрытых файлов и папок.

Для этого:


Избавившись от вируса, можно переходить к устранению проблем, которые образовались в результате его действий.

Как сделать видимыми скрытые папки после действий вируса

Вредоносное приложение, как отмечалось выше, скрывает папки, а вместо них создает ярлыки. После удаления вируса папки остаются скрытыми. Обычно их можно сделать видимыми, если нажать на них правой кнопкой мыши, выбрать «Свойства» и на вкладке «Общие» убрать галочку из пункта «Скрытый».

Однако проблема данного вируса, который превращает папки на флешке в ярлыки, в том, что пропадает возможность снять галочку с параметра скрытости, поскольку атрибут становится неактивным.

Чтобы изменить данное свойство и вновь сделать папку видимой, необходимо создать в корне флешки документ «Блокнот». Когда он будет создан, откройте его и пропишите в нем команду:

Attrib -s -h -r -a /s /d

Далее выберите пункты «Файл» - «Сохранить как». Дайте файлу любое название, но в конце пропишите .bat – расширение для него. После того как блокнот в указанном расширении будет сохранен в корневой папке флешки, необходимо нажать на него правой кнопкой мыши и запустить от имени администратора. После этого будет выполнена команда, в результате которой у пользователя появится возможность вновь сделать видимыми скрытые папки.

Вирус который делает папки на флешке ярлыками, а сами папки становятся скрытыми. Это встречается довольно часто.

Открывать такие ярлыки не в коем случаи нельзя. В ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей папки. Открыв такой ярлык вы заразите компьютер этим вирусом.

Но не стоит паниковать. Этот вирус можно удалить. Все файлы на флешке можно восстановить. И так все по порядку.

Для начало необходимо отобразить файлы на флешки

На самом деле все Ваши файлы не пропали. Вирус сделал файлы невидимыми (скрытыми) и на них сделал ярлыки. Открыть ваши скрытые файлы просто для этого нужно:

Если у вас Windows XP, то заходим в «Мой компьютер» → в верхнем меню выбираем «Сервис» → затем «Свойства папки» . В появившемся окне выбираем вкладку «Вид» . На вкладке «Вид» ищем пункт ставим галочку.

Если у Вас Windows 7, то нужно нажать кнопку «Пуск» (в левом нижнем углу) и выбрать «панель управления». В панели управления выбираем пункт «Оформление и персонализация» → «Параметры папок». В появившемся окне выбираем вкладку «Вид» . На вкладке «Вид» ищем пункт «Скрывать защищенные системные файлы (рекомендуется)» и снимаем галочку. Далее в пункте «Показывать скрытые файлы и папки» ставим галочку.

Удаляем вирус из флешки

Флешка зараженная вирусом выглядит так:

Для того, чтобы узнать где находится вирус, нужно:

  • правой кнопкой мыши нажать на любой ярлык на флешки
  • выбрать свойства

В строке «Объект» будет прописан двойной запуск - первый открывает Вашу папку, а второй - запускает вирус.

Строка очень длинная, но в ней легко можно найти путь к вирусу. Чаще всего вирус представлен такого типа 12651515.exe (название может быть любым), который в основном находиться в папке Recycle . В этом примере строка двойного запуска выглядит так:

«%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»

Отсюда мы видим что вирус находиться в папке RECYCLER и называется 6dc09d8d.exe. (%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support)

Удаляем из флешки папку вместе с вирусом. После этого запуск любого ярлыка не опасен.

Восстанавливаем файлы на флешке

Теперь смело удаляем все ярлыки. Но наши файлы по прежнему являются скрытыми и системными (они прозрачные). Просто так эти атрибуты не убрать. Для восстановления начальных атрибутов нашим файлам существует несколько способов:

Первый способ

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ - это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER - эта команда сбросит атрибуты и папки станут видимыми.

Второй способ

1. Создать текстовый файл на флешки.

2. Записать в него команду attrib -s -h -r -a /s /d , переименовать файл в 1.bat и запустить его.

Если все папки на флешке стали ярлыками – не стоит отчаиваться! Проблема имеет решение, причем довольно-таки простое.

Для начала, запомните следующую информацию:

  1. Папки на флешке скорее всего никуда не пропадали, 99% что это вирус, а если быть точным – троян Backdoor.win32.ruskill . Он замаскировался под папки, находящиеся на флешке – создал вместо них свои ярлыки (через сопутствующего вируса-червя). Сами папки никуда не делись – они стали скрытыми.
  2. Не пытайтесь запустить появившиеся ярлыки-папки. Нет, не так. НИ В КОЕМ СЛУЧАЕ не запускайте эти ярлыки. Принцип действия вируса после запуска ярлыков расписывать не буду, скажу лишь: ничего хорошего не ждите. Если интересно – можете почитать что он способен натворить: http://www.securitylab.ru/virus/405757.php
  3. Форматировать флешку не надо. Все Ваши файлы всё ещё находятся там (см. п.1). Если, конечно, ничего важного там нет – можно и форматнуть.

Теперь, когда Вы ознакомились с основной информацией по данной проблеме, давайте постараемся её решить.

Здесь возможно несколько способов решения этой проблемы с флешкой – с помощью сторонних программ и вручную (его мы и рассмотрим).

Давайте по порядку:

1. Если антивирус всё ещё ничего не обнаружил на флешке – запустите его, пусть проверит и удалит вирус.

2. Заходим в Мой компьютер, на верхней панели находим вкладку Сервис (если стоит Windows 7, то нажимаем F10 – панель появится), далее заходим в Свойства папки, во вкладку Вид – снимаем галочку с пункта «Скрывать защищенные системные файлы» и ставим галочку на «Показывать скрытые файлы и папки».

3. Теперь на Вашей флешке должны появиться папки, которые скрыл злой вирус 🙂 Создаем новые папки с похожими на скрытые названиями и перемещаем всю информацию в них (вырезать-вставить, легко же!)

4. Удаляем пустые скрытые папки, удаляем ярлыки, созданные вирусом, удаляем папку RECYCLER (если антивир её всё ещё не удалил).

5. Собственно, всё! Проблему с папками, ставшими ярлыками на флешке мы решили.

ЗЫ: Можно проверить «следы» вируса, которые он мог оставить на компьютере. Для этого заходим в

C:\users\Имя_пользователя\appdata\roaming\ (Windows 7)

C:\Documents and Settings\ Имя_пользователя \Local Settings\Application Data\ (Windows XP)

В этой папке ищите файлы со странным названием, типа «9fpoi8j5.exe» (может быть любой набор букв-цифр) – это и будет исполняемый файл вируса, удалите его.

Затем лезем в реестр (пуск-выполнить или win+R, вводим regedit), заходим в следующий каталог: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, где ищем название вируса по вышеописанному принципу и удаляем! Вот и всё.


Вирусы бывают разные и совершают они различные действия. Сегодня в статье речь о таких вирусах, которые скрывают настоящие папки (чаще всего недавно используемые) и заменяют их на свой ярлык с таким же названием, который ссылается на скрытую папку в которой находится сам вирус. Вот такая вот чехарда, в результате которой Вы открываете флешку (а чаще всего заражаются именно они) и видите вроде бы все свои папки. Открываете и заражаете свой компьютер кучей вирусов, и неизвестно чем они там заниматься будут...

Для начала разберемся с тем, как вылечить такой вирус. Если у Вас нет антивируса, то можете скачать бесплатный антивирус от или от лаборатории , а затем проверить ими компьютер или флешку. Обычно после них всё встаёт на места и вирусы удаляются.

На заметку:

2) Можете щелкнуть ПКМ по созданному вирусному ярлыку и выбрать в меню Свойства . Там будет указан путь, куда перенаправляет этот ярлык. Обычно это программа (с расширением exe ) в папке RECYCLER . Затем можете удалить как сам файл, на который ссылается ярлык, так и саму эту папку, содержащую вирус. Этим Вы поможет антивирусу или избавитесь без антивируса.

3) Если увидите файл autorun.inf , то тоже его удалите. ( ?)

4) Введите следующие строки в адресную строку проводника.

Для Windows XP : %USERPROFILE%\Local Settings\Application Data\

Для Windows 7 и 8 : %USERPROFILE%\appdata\roaming\

Если найдёте в этой папке какой-нибудь файл с расширением exe , то смело удаляйте.

После удаления вирусов, нужные нам папки остаются, но они невидимые (скрытые). Место же они занимают. Чаще всего у них ещё стоит атрибут Скрытый , который неактивен (галочку нельзя убрать) и серый.


Чтобы убрать атрибут можно воспользоваться несколькими способами:

1) Скачать с официального сайта . Запустить его. Проверить по пути “Конфигурация” –> “Настройка” –> “Содержимое панелей”. Здесь должна стоять галочка в пункте “Показывать скрытые/системные файлы (только для опытных!)”


Если нету, то ставим и жмем Применить и Ок.

Далее открываем нашу флешку через Тотал Коммандер и видим наши папки скрытые. Выделяем их с помощью нажатой клавиши Ctrl и нажатием левой кнопки мыши на каждой папке (или просто ПКМ по ним щёлкаем). Затем идём в “Файлы” –> “Изменить атрибуты”. В этом окошке снимаем все атрибуты. В итоге должно быть пусто:


Жмем Ок и наслаждаемся результатом.

2) Открываем Блокнот (Пуск -> Все программы -> Стандартные -> Блокнот) и вставляем в него следующие строки:

attrib -s -h -r -a /s /d


Затем верхнее меню "Файл" -> "Сохранить как..." и называем любым именем, но чтобы расширение (Тип файла) было bat , а местоположение указываем корень (начало) нашей флешки или диска зараженного.

Теперь запускаем этот файл и всё должно стать видимым.
Тут стоит знать то, что если заражен системный диск, то все системные папки станут видимыми тоже, что не совсем хорошо.

Кстати, если боитесь, то можете скачать с моего сайта файл ниже, закинуть в корень и запустить

3) Нажимаем Пуск -> Выполнить (или сочетание клавиш Win +R ) и вводим в окошко:

attrib -h -s /d /s "Путь к папке или файлу"


Например у Вас заражена флешка и в ней папка vindavoz скрытая, тогда будет так:


Обратите внимание на знак обратного слеша. Он должен быть.
Жмем Ок и радуемся что папки стали видимыми.

4) Точно так же, как и во 2 пункте, создаем файл со следующим содержимым:

:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

У кого возникнут вопросы - пишите в комментариях.

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду.

Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени.

Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка

Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт:

Attrib "*" -s -h -a -r /s /d

Сохраняем его как run.bat и держим под рукой.

Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр:

  1. «Пуск» - «Выполнить» и пишем «regedit»;
  2. Открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
  3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer»;
  4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

  1. скопировать run.bat в корень флешки и запустить;
  2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
  3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
  4. теперь осталось удалить с корня все файлы, кроме этой папки.
  5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей!

Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить