Вирус: все папки на флешке превратились в ярлыки
Довольно часто встречающийся сегодня вирус, когда все папки на флешке становятся скрытыми, а вместо них появляются ярлыки с теми же названиями, но способствующие распространению вредоносной программы, у многих вызывает некоторые затруднения. Не слишком сложно удалить этот вирус, сложнее бывает избавиться от его последствий — убрать атрибут скрытый у папок, учитывая что в свойствах этот атрибут неактивен. Давайте по порядку рассмотрим, что делать, если такая напасть как скрытые папки и ярлыки вместо них случилась с вами.
Примечание: проблема, когда из-за вируса на флешке исчезают все папки (становятся скрытыми), а вместо них появляются ярлыки, достаточно распространена. Чтобы в будущем защититься от таких вирусов, рекомендую обратить внимание на статью Защита флешки от вирусов.
Лечение вируса
Если антивирус не убрал этот вирус сам (почему-то некоторые антивирусы не видят его), то можно поступить следующим образом: кликаем правой клавишей мыши по ярлыку папки, созданным этим вирусом, и смотрим в свойствах, на что именно указывает этот ярлык. Как правило, это некий файл с расширением .exe, находящийся в папке RECYCLER в корне нашей флешки. Смело удаляем этот файл и все ярлыки папок. Да и саму папку RECYCLER можно также удалить.
Если на флешке присутствует файл autorun.inf, то также удалите и его — этот файл провоцирует флешку автоматически что-то запускать после того, как Вы ее вставили в компьютер.
- Для Windows 7 C:\users\ваше имя пользователя\appdata\roaming\
- Для Windows XP C:\Documents and Settings\имя пользователя\Local Settings\Application Data\
Кстати, если Вы не знаете, как отобразить скрытые папки, то на всякий случай вот что нужно сделать: зайдите (Windows 7 и Windows 8) в Панель управления, там выберите пункт “Параметры папок», вкладку «Вид» и ближе к концу списка установите опции, чтобы компьютер отображал и скрытые и системные файлы с папками. Желательно также убрать галочку «не отображать расширения зарегистрированных типов файлов». В итоге, на флешке Вы будете видеть и сами скрытые папки и ярлыки на них, до тех пор, пока последние не будут удалены.
Убираем атрибут скрытый у папок
Неактивный атрибут скрытый у папок Windows XP
Скрытые папки Windows 7
После того, как вирус вылечен антивирусом или вручную, остается одна проблема: все папки на накопителе так и остались скрытыми, причем сделать их видимыми стандартным способом — изменив соответствующее свойство не получается, так как галочка «скрытый» неактивна и отображается серым цветом. В таком случае необходимо создать в корне пострадавшей флешки bat файл со следующим содержимым:
attrib -s -h -r -a /s /dЗатем запустить его от имени администратора, в результате чего проблема должна решиться.Как создать bat файл: создаем обычный файл в блокноте, копируем туда вышеуказанный код и сохраняем файл с любым именем и расширением файла .bat
Как убрать вирус и сделать папки видимыми
Нашел на просторах сети еще один способ избавиться от описанной проблемы. Этот способ, пожалуй, будет попроще, но не везде сработает. Однако в большинстве случаев он все же поможет привести USB флешку и данные на ней в нормальное состояние. Итак, создаем bat файл следующего содержания, после чего запускаем его от имени администратора:
:lable cls set /p disk_flash="Vvedite bukvu vashei fleshki: " cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:
После запуска компьютер запросит ввести букву, соответствующую Вашей флешке, что и следует сделать. Затем, после того, как автоматически будут удалены ярлыки вместо папок и сам вирус, при условии нахождения его в папке Recycler, Вам будет показано содержимое вашего USB накопителя. После этого рекомендую, опять же, обратить на содержимое системных папок Windows, речь о которых шла выше, в первом способе избавиться от вируса.
haiden
забыл написать- после перезагрузки компа заходим из под линукса, (его можно записать на флешку в 4 гб и запускать без установки самой ос), если кто не понял. такую флешку вообще хорошо иметь под рукой всегда — меня она уже много раз. ведь вирусы виндовс для линукс не страшны :)
Ответить
Иван
Спасибо за помощь. Все файлы восстановились.
Ответить
Николай
Спасибо, помогло. А батничек я на флешке оставил, чтобы в будущем не искать заново как справиться с такой напастью, ведь забудется же… Только поставил атрибут на файл «только чтение», чтобы вирус его не покусал. :)
Ответить
Dmitry
Есть такая штука, как BitDefender USB Immunizer, поглядите, может быть полезной.
Ответить
Stas-st
У меня метод не сработал. Папки были не только скрыты, а и с признаком важные системные файлы, которые проводник по умолчанию тоже скрывает. Т.е. Нужно там где настраивается «Показывать скрытые файлы и папки» снять галку напротив «скрывать важные системные файлы».
Ответить
oleg
Спасибо за еще один способ избавления от этой гадости. Я борюсь с этим вирусом с помощью бесплатной утилиты Dr.WebCureIt (не реклама), она удаляет все ярлыки и делает видимыми все папки и файлы.
Ответить
lis
У меня такая зараза : После изменений в «Параметрах папок» оказалось, что вирус находится в корне флэшки, под случайным именем. В папке AppData-Roaming не было .exe файлов, но есть ScreenSaverPro.scr — удалять или нет? На попытку удаления ярлыков был ответ, что файл запущен. Чтобы удалить сам вирус и все ярлыки нужно было в Диспетчере задач остановить указанный процесс и тогда получилось удалить и ярлыки и сам вирус, а потом Вашим .bat изменить атрибуты папок. Большое спасибо!
Ответить
Dmitry
Очень похоже, что ответ — да, удалять. В любом случае, негативно это не скажется.
Ответить
Павел
От души спасибо за это —
(код bat файла из статьи)
Помогло
Ответить
тата
Dmitry, помогите, пожалуйста! Вижу скрытые файлы, а вирус удалить не получается. Его зовут rLmkRlc.exe . Когда вставляю флешку в следующий раз, опять появляются ярлыки. Я в панике
Ответить
Dmitry
Нужно искать вирусы на компьютере. Если ваш антивирус ничего не находит, имеет смысл попробовать какой-то другой, например платный в пробной версии (на лечение хватит, потом удалите)
Ответить
Lang
Ребят, скрипт даже не помогает, вирус заблокировал доступ к файлам, или как то их за действовал.
Ответить
Dmitry
Попробуй в безопасном режиме то же самое
Ответить
Adregot
Мне помогла программа Unlocker, просто убиваешь с её помощью все мешающие тебе процессы и удаляешь, а способ очень хорошо действует, спасибо создателю гайда за помощь
Ответить
Безликий
бат-файлы создавать из-за такой ерунды. Ну не знаю. Куда проще извлечь нужные файлы любым архиватором, а потом тупо форматнуть флешку)
Ответить
Юля
Спасибо огромное за помощь!
Когда-то давно столкнулась с такой проблемой, кто-то скинул мне файл, который все починил. А сейчас его не нашла. сделала все, как написано — ура! Все работает.
Ответить
Юра
я менял атрибуты папок так : свойства папки, изменить значок папки, менял на любой значок с применением и вуаля — атрибуты теперь кликабельны
Ответить
Dmitry
Отличная инфа, нужно будет проверить как столкнусь снова с такой штукой. Спасибо.
Ответить
MrFOSTIK
Помогите пожалуйста. Я нашел файл с вирусом под названием bsPqmab.exe, (обнаружил при запуске файла .bat) удалить не могу а также ярлыки (пишет, что сейчас используются в в хост процессе для служб Windows… Найти не могу службу, помогите пожалуйста.
Ответить
Dmitry
Используйте безопасный режим, должно сработать.
Ответить
Леонид
После запуска программки исчезли папки с ярлыками. Теперь содержимое папок пропало?
Ответить
Dmitry
Нет, должны исчезнуть только ярлыки, которые не являются папками, а сами папки остаться. Посмотрите по месту занимаемому на флешке.
Ответить
Владимир
Я сначала вычислил по случайным названиям в Диспетчере задач, потом удалил из автозагрузки в msconfig (эти же названия, типа jsgetxis.exe, скрывались под видом интеловских служб). Перезагрузил и подчистил флэшку. Завтра пойду удалять по вашим советам, дорогие камрады. :) Спасибо большое!
Ответить
Андрей
Добрый день! Все сделал как написано. Но с флеш исчезли папки, хотя по свойствам видно, что флеш полная. Подскажите, что делать?
Ответить
Dmitry
А показ скрытых и системных файлов и папок включили? (Панель управления — Параметры папок — Вид).
Ответить
Сергей
Спасибо! Первый способ помог.
Ответить
Надежда
Спасибо, помог способ с текстовым документом
Ответить
айтач
помогите пожалуйста. я открыла блокнот и написала туда все, что выше указано. сохранила как help.bat скопировала на жесткий диск, где и проблема. щелкаю мышкой. а оно открывается в блокноте а не. почему? и как это исправить? помогите, плиз
Ответить
Dmitry
Скорее всего, вы сохранили его как txt. Зайдите в панель управления — свойства папок — вид и отключите скрытие расширений для зарегистрированных типов файлов. Потом переименуйте ваш файл.
Ответить
петр
а что делать если ноутбук во первых не разрешает кинуть файлы в смартфон и во вторых видит не все файлы. например видео файлов на компьютере не видно
Ответить
карина
привет.
был вирус на флешке создавал ярлыки.
с помощью bitdefender удалился вирус.ярлыков на флешке нет.
но файлы до сих пор остаются невидимыми.
запускала блокнот с расщирением .bat через администратора. не помогло.
в cmd строка бежит быстро но в основном пишет access denied
после запуска файла.
также запускала бат файл с со строкой
однако пишет что не нашел файл autorun.inf
помогите пож.
Ответить
Dmitry
В тексте файла, который вы приводили, а я убрал, уберите 4-ю и 5-ю строку снизу и попробуйте снова.
Ответить
Богдан
После запуска созданного файла на флешке с папкой открывается окно, сразу закрывается и ничего не происходит! Что делать?
Ответить
Dmitry
От администратора запускали? Попробуйте запустить командную строку, а там ввести путь к файлу, например D:\file.bat и нажать Enter. Посмотрите, что пишет.
Ответить
Полина
Я в панике. У меня на флешке из фотика фотки всей группы. а комп не видит папку, а показывает ярлык и всплывает окошко, что антивирус что-то удаляет. Я боюсь,что удалятся все мои фотки. Что делать?
Ответить
Dmitry
Здравствуйте. В вашем случае рекомендую такой путь:
1) Зайдите в Windows в безопасном режиме
2) Подключите флешку, кликните по ней в проводнике правой кнопкой мыши и выберите пункт «Открыть».
3) Посмотрите, на месте ли файлы, скопируйте нужные куда-нибудь на HDD на всякий случай.
Если файлов вдруг не увидите, зайдите в панель управления — свойства папки (или параметры папок) и на вкладке «Вид» включите отображение скрытых папок и файлов.
Ответить
Евгения
Вроде сделала все как написано, само содержимое на флешки появилось только теперь не могу удалить сами ярлыки, пишет: закройте этот файл и повторите попытку.
Ответить
Dmitry
Думаю, после перезагрузки компьютера точно все будет в порядке. А так, судя по всему, просто флешка используется каким-либо процессом на момент написания комментария вами.
Ответить
Евгения
Большое спасибо. Все в порядке.
Ответить
А.Т.А
Dmitry а что за папка SRECYCLE.BIN я хочу удалить ее мне пишет что Это общая сетевая папка что будет если я удалю его
Ответить
Dmitry
Если на флешке, то смело удаляйте. Это как раз может быть папка с вирусом.
Ответить
Ангелина
ПОМОГИТЕ! Поймала вирус «ярлычник» у друга на флешку, вставила в нетбук там папка «RECYCLER» и 5 ярлыков, с учительницей пытались удалить с компа вирус прогой «clear_by_alexx.bat» вроде удалили, вставили флешку (чтоб очистить и ее) не вышло, выбивает ошибку запрос на доступ к такому-то такому-то файлу не подтвержден, что делать не знаю!
Ответить
pepelmax
Скрытые файлы и папки на флешке легко восстановить используя программу Тотал-командер
Ответить
Luba
после проделанных процедур работала с нужной мне папкой на флешке, точнее, с файлами которые в ней были. после сохранила изменения. и файлы пропали. остальные данные на флешке остались без изменения. пропали только из той папки, с которой я работала, как будто все из нее удалили. как мне вернуть файлы?
Ответить
Dmitry
Я так понимаю, что они снова скрылись, поскольку вирус не удален полностью (сидит на компе?)
Ответить
Татьяна
Дмитрий, здравствуйте! После поражения рабочего компьютера троянским вирусом заразилась и флешка. Все документы стали ярлыками. Папки целы, а вот их содержимое тоже ярлыки. Смотрю свойства этих ярлыков и тип файла: Файл «BREAKING_BAD» (.breaking_bad). Никаких папок и файлов со словом RECYCLER или autorun.inf. я не вижу. Почему? Это лечится?
Ответить
Dmitry
Татьяна, возможно, какая-то модификация вируса, которой я еще не видел. Посмотреть бы, а вот сходу ничего подсказать не могу. (показ скрытых и системных файлов точно влключен?)
Ответить
Татьяна
Дмитрий, здравствуйте! Спасибо за ответ. Да, показ скрытых папок точно включен. И галочку убрала «не отображать расширения зарегистрированных типов файлов». Пыталась просканировать флешку на рабочем компьютере (на котором троянский вирус, НО почему-то комп. работает, и все программы работают, можно создавать Word документы, печатать в них и распечатывать и даже 1С!). Пишет угроз не обнаружено, там Касперский стоит. Дома Аваст, сканирую, тоже пишет, что угроз нет. Открываю ярлык свойства (бывший Word документ) и вот что вижу:
Тип файла: Файл «BREAKING_BAD» (.breaking_bad)
Приложение: Общая библиотека оболочки Windows (кнопка Изменить)
Расположение: E:\ (пусто, не указана никакая папка)
Дальше : Размер. На диске. Создан. Изменен. Открыт…
Атрибуты: Галочка Архивный
И так почти все. И есть еще вот такие README1, README2 и так до 10. Единственное, у них приложение стоит: Блокнот, текст файла: Текстовый документ (.txt), расположение: E:\ и все.
Когда все это произошло, я позвонила нашему сис. админу, объяснила ему ситуацию, он сказал, что комп. ему в ремонт, а про ярлыки (на работе тоже много документов полетело) сказал, что попробует их расшифровать, но не уверен, что даже у него это получится. Может это действительно какая-то новая модификация вируса?
Ответить
Dmitry
А… так это у вас иная проблема. Вирус-шифровальщик. Отдавайте админу. У меня на тему есть здесь: https://remontka.pro/files-encrypted-ransomware/
К сожалению, проблема не всегда решаема.
Ответить
Татьяна
Дмитрий, здравствуйте! Прочитала Вашу ссылку, да, на шифровальщика я попала. Я думаю, что у файлов стало расширение .xtbl (тоже такие пустые листочки с очень длинным набором символов), а экран на компьютере стал весь черный и с красной надписью во весь экран. Но никаких адресов почты,icq и др. координат с целью выкупа не было. Компьютер завтра забирают в ремонт. А флешка моя, наверное, накрылась, я ведь даже не знаю, каким из вирусов она поражена. Там таблички одна за другой выскакивали: Trojan,Trojan… Их так много было, что я не успела запомнить имена. Теперь хочу купить внешний жесткий диск, чтобы сохранить на него всю информацию с домашнего ноутбука. На всякий случай. Дмитрий, а у Вас на сайте есть какие-то статьи как выбрать жесткий диск, по каким параметрам (у меня ноутбук Toshiba Satellite C870)? Спасибо Вам за внимание к нашим проблемам и за Ваши статьи, эта информация бесценна!
Ответить
Dmitry
Нет, вот такой информации у меня нет. Но вообще, я считаю, что если уж решили менять жесткий диск в ноутбуке, то лучше поставить ssd.
Ответить