Иногда при подключении флешки к компьютеру можно обнаружить, что все папки стали отображаться в виде ярлыков. И таким образом пользователь не может получить доступ к содержимому папки. К тому же некоторые еще и начинают паниковать и пытаются открыть все папки поочередно или и вовсе форматируют весь съемный диск. Форматирование только усугубит ситуацию, поскольку все файлы на флешке будут стерты.
А данные с флеш-носителя никуда не пропали и ничего с ними не случилось. Они как были на флешке, так там и остались, а причиной того, что папки теперь стали ярлыками, является вирус. И еще нужно знать, что ни в коем случае нельзя открывать эти ярлыки. Это только приведет вирус в действие, и если на компьютере не было установлено антивирусное ПО, последствия могут быть плачевными.
Как вернуть работоспособность папок?
Для того чтобы вернуть работоспособность папок, нужно найти и уничтожить вирус. В данном случае виноват исполняемый файл вируса с расширением «.exe». Проще всего это сделать с помощью антивируса, запустив проверку флешки на вирусы.
Также найти исполняемый файл можно и вручную. Для начала необходимо включить отображение скрытых папок и файлов. Для этого нужно зайти в «Панель управления» через меню «Пуск», далее выбрать пункт «Оформление и персонализация», затем «Параметры папок». В появившемся окне нужно перейти на вкладку «Вид» и в самом низу выбрать пункт «Показывать скрытые файлы». Также можно зайти в «Мой компьютер», выбрать в панели меню пункт «Сервис», затем «Свойства папки» и в открывшемся окне указать, чтобы отображались скрытые файлы.
После этого нужно открыть флеш-носитель и проверить все скрытые файлы. Проверять нужно свойства каждого ярлыка и особое внимание стоит обращать на пункт «Объект» во вкладке «Ярлык». Как правило, все ярлыки запускают один и тот же исполняемый файл, и нужно выяснить, в какой папке он находится. Строка вредоносного кода в поле «Объект» может быть длинной, но нужно найти в строке примерно такой фрагмент – «RECYCLER/5fa248fg1.exe». Файл «5fa248fg1.exe» является вирусом (комбинация цифр и букв будет абсолютно другой), а «RECYCLER» - это название папки, в которой этот вирус находится. В данном случае нужно эту папку удалить, и после этого запуск ярлыков уже не будет представлять никакой опасности.
После удаления вируса осталось только вернуть папкам их прежний вид. Для этого нужно удалить все ярлыки папок, при этом все данные на флешке все равно останутся, они просто невидимы. Затем нужно выбрать пункт «Выполнить» из меню «Пуск», набрать в строке поиска «cmd» (без кавычек) и щелкнуть «Enter». В открывшемся окне нужно ввести команду «cd /d f:\» (вместо буквы «f» необходимо вставить буквенное значение флешки) и нажать «Enter», а затем ввести «attrib -s -h /d /s» и снова нажать «Enter». После этой процедуры папки на флеш-носителе станут видимыми.
Ситуация выглядит так: на флешке были папки, но они чудесным образом превратились в ярлыки, т.е. в файлы с расширением lnk. При попытке открыть такой файл появляется сообщение:
В данном случае «Q» — это имя съемного диска (флешки), у вас оно может быть другое. Ярлык направляет нас в папку с исполняемым файлом (расширение exe), которые является вирусом.
Что именно произошло: в результате действия вируса, всем папкам были присвоены атрибуты «системный» и «скрытый», т.е. они остались на флешке, но мы их не можем увидеть используя графический интерфейс Windows. Вместо папок появились ярлыки с одноименными названиями ведущими на файл с вирусом.
Что делать, если папки превратились в ярлыки? Пошаговая инструкция.
В Интернете мне попался вариант решения проблемы путем изменения атрибутов папок (по сути дела папка — это файл) при помощи командной строки. Для тех пользователей, которые не дружат с командной строкой, предлагаю альтернативный способ — воспользовался для этих целей файловым менеджером FAR Manager. Этот менеджер всегда удобно иметь под рукой и мы его уже использовали при редактировании файла hosts (Видео Не могу зайти в одноклассники. Решение проблемы).
Шаг 1. Проверяем флешку на наличие вирусов. Я проверял при помощи антивируса AVAST 4.8 Professionl. Все «левые» ярлыки от удалил, сообщив, что это троян LNK.
Avast удалил все «левые» ярлыки
Если ваш антивирус оставить ярлыки папок на месте — удалите их самостоятельно, они не нужны.
Шаг 2. Загружаем FAR Manager , распаковываем архив и запускаем файл Far.exe;
Шаг 3. Переходим на съемный диск (флешку). Для выбора диска воспользуйтесь клавишами Alt + F1 ;
Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «исчезнувшие» папки.
Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «потерянные» папки
Шаг 4. Чтобы не менять атрибуты у каждой папки по отдельности, велите их все сразу: выделите сперва первый файл из списка, а потом нажмите клавишу Insert на клавиатуре и держите до тех пор, пока не выделятся имена всех интересующих нас файлов желтым цветом.
Выделение группы файлов в FAR Manager
Шаг 5. Нажмите на клавиатуре клавишу F4 (либо кнопку Edit в FAR). В открывшемся меню уберите знаки (знак вопроса, крестик) в пунктах:
Если вы все сделали правильно, цвет имен файлов изменится с темно-синего на белый.
После изменения атрибутов, цвет имен папок стал белым
Теперь можно зайти на флешку из под Windows и убедиться, что все отображается без проблем.
После изменения атрибутов, все папки стали вновь доступны
Советую держать файловый менеджер FAR Manager всегда под рукой, так он позволит, в случае необходимости, обойти ограничения Windows на изменение файлов.
Как вы понимаете, при помощи FAR Manager можно проделать и обратную процедуру, т.е. скрыть свои файлы на флешке от неопытных пользователей.
В заключение хочу сказать спасибо программисту Евгению Рошалю, который создал FAR Manager и хорошо всем известный архиваторы RAR и WinRAR.
Евгений Мухутдинов
Флеш-накопители, являясь одними из самых распространенных устройств, подвергаются атакам вирусов намного чаще, чем любые другие. В первую очередь из-за того, что устройство переносимо, а значит, с его помощью можно заразить максимальное количество компьютеров, даже тех, которые не подключены к мировой сети. После некоторого времени работы пользователь может заметить, что все папки на флешке стали ярлыками. Как восстановить данные и избавиться от вирусов, читайте в статье.
Неверные действия
Частенько после появления проблемы человек следует самому первому совету и форматирует USB-накопитель. Конечно, проблема уходит на какое-то время, но все данные теряются. Да и при таком подходе никто не сможет дать гарантий, что через какое-то время события не повторятся. Надо сказать, что пользовательские данные никуда не пропадают. Вирус просто скрыл их, а ссылки на свой запуск пытается подать в качестве исходного содержимого.
Не стоит пытаться что-нибудь открыть, если на флешке все папки стали ярлыками. обычно создают ссылку на свой запуск. Вместе с этим в скрипт может быть добавлен код, заражающий компьютер.
Но не стоит недооценивать вирусописателей, наивно полагая, что если на флешке все папки стали ярлыками, но с ними не производилось никаких действий, то ПК полностью защищен. Скорее всего вредоносная программа скопировала сама себя во внутреннюю память еще во время инициализации устройства сразу после его подключения.
Исключить эту вероятность может только деактивированный автозапуск со всех носителей и последняя версия антивируса.
Начало восстановления
Что делать, если на флешке папки стали ярлыками? Сначала необходимо удалить вредоносное ПО. Чтобы выяснить, куда скопирован вирус, щелкните правой кнопкой мыши по любому ярлыку на накопителе. В отобразившемся меню кликните по строке "Свойства". В открывшемся окне изучите поле "Объект". В нем записан путь к который следует удалить. Именно с его помощью и запускается вирус.
Вредоносное ПО может располагаться в директории, которой раньше на накопителе не было, в этом случае желательно очистить всю папку. Если папка на флешке стала ярлыком, помимо самого USB-устройства стоит проверить два каталога:
- C:\Users\UserName\AppData\Roaming.
- С:\Documents and Setting\UserName\Local Settings\Applications Data.
Обнаружив в них любой файл, который имеет расширение "exe", обязательно выполните полную антивирусной утилитой.
Почему антивирусы не всегда помогают
Иногда от вредоносного ПО невозможно избавиться вручную, более того, установленный антивирус тоже становится бессильным. Дело в том, что многие "черви" могут заражать защитные программы.
"На флешке папки стали ярлыками. Как удалить вирус?" - спросит пользователь. На самом деле никаких сложных действий выполнять не придется, разве что потратить немного больше времени, создав специальный загрузочный диск.
CD
Если на флешке папки стали ярлыками, для создания загрузочного диска и удаления вредоносного ПО лучше всего использовать специальное средство от компании Dr.Web, которое называется LiveDisk. Скачать его можно на официальном сайте разработчика. Для домашнего использования продукт распространяется абсолютно бесплатно.
После скачивания LiveDisk нужно дополнительно установить программу UltraISO. После инсталляции приложение выполнит интеграцию своего функционала в проводник. Это упрощает процесс прожига.
Просто кликните дважды по иконке образа с антивирусом. После этого сразу же запустится UltraISO. Достаточно нажать на кнопку "Запись" и вставить диск в привод.
Загрузочная USB-флешка
Не всегда возможно найти чистый диск, иногда просто-напросто отсутствует записывающий DVD-ROM, когда компьютер подвергся вирусной атаке, и на флешке папки стали ярлыками. Что делать в этом случае? Просто создайте загрузочный USB-накопитель. Причем сделать это намного проще, чем прожечь CD.
- Скачайте Dr.Web LiveDisk, созданный специально для USB-устройств. Помните, что подобные утилиты во избежание рисков необходимо получать только на сайте разработчика.
- Откройте файл с названием "drwebliveusb.exe". Если во время его загрузки происходят какие-либо ошибки, откройте контекстное меню, щелкнув правой кнопкой, а затем выберите пункт "Запуск от имени администратора".
- Вставьте флешку в USB-порт.
- В главном окне приложения укажите устройство, которое будет использоваться в качестве загрузочного.
- Поставьте галочку возле надписи "Форматировать". Теперь остается только кликнуть по кнопке "Создать".
Во время записи системных файлов все данные будут удалены с накопителя. Сохраните их заранее.
Подготовка компьютера
Если на флешке папки стали ярлыками, процедура восстановления должна быть продолжена настройкой BIOS. Для входа в программу конфигурации следует нажать на кнопку "DEL", когда на экране монитора появляются самые первые сообщения. Клавиша может и отличаться. Чтобы выяснить наверняка, как именно запустить утилиту настройки, стоит ознакомиться с руководством, поставляемым вместе с материнской платой. Его можно найти на сайте производителя.
Войдя в BIOS, переместитесь во вкладку "Boot" или "Advances". Здесь следует переключить параметр, записанный у строки "First Boot Device", на "USB" или "DVD-ROM", в зависимости от того, какое устройство используется.
Чтобы выйти с сохранением всех настроек, следует выбрать "Exit and Save".
Проверка
Если на флешке папки стали ярлыками, Windows 7, по всей вероятности, уже заражена, а значит, от проблемы не удастся избавиться надолго, не просканировав систему полностью. Чтобы это сделать, выберите на первом экране LiveDisk пункт Default. Если после этого антивирус работает нестабильно либо вообще не запускается, стоит перезагрузить компьютер, отдав предпочтение варианту Safe mode.
Через какое-то время на экране отобразится рабочий стол, напоминающий рабочую среду Windows. Одновременно с ним загрузится Control Center. В случае отказа его автоматического запуска щелкните по кнопке с видом паука - она находится на месте меню "Пуск". Затем кликните по надписи "Control Center"
Найдите кнопку "Tools", которая располагается в верхней части окна, и нажмите на нее. В открывшейся панели выберите "Settings". В первой вкладке настроек определитесь, какие действия будут применены к объектам, представляющим угрозу для компьютера. В каждой строке здесь необходимо установить значение "Delete". за сохранность данных. Если папка на флешке стала ярлыком, она просто скрыта, но не заражена, соответственно, и удалена не будет.
В нижней области вкладки "Scanner" расположены два поля. Первое определяет, каким будет максимальный размер файлов, проверяемых антивирусом. Сюда лучше всего вписать "0", то есть убрать ограничения. Второе указывает, сколько раз будет просканирован каждый объект. Желательно ввести значение "5". В обязательном порядке поставьте галочку у надписи "Scan archives". Без нее удаление вируса может и не произойти, если на флешке папки стали ярлыками.
Закройте окно настроек и перейдите во вкладку "Scanner", которая находится в окне "Control Center". Кликните по кнопке "Custom Scan". Пользователю предлагается выбрать устройства, нуждающиеся в сканировании. Стоит отметить флажками все, имеющиеся в системе. После этого кликните по кнопке "Scan".
Проверка может занять длительное время, которое зависит от объема информации на дисках и скорости обмена данными. Когда этот процесс завершится, остается кликнуть по строке "Exit". После перезагрузки снова верните исходные значения настроек BIOS.
Атрибуты
Если на флешке папки стали ярлыками, проверка системы антивирусным ПО - только первый этап восстановления. После сканирования необходимо еще и вернуть данные. Как отмечалось ранее, они не подверглись изменению или удалению, но и не отображаются в окне проводника. Изменив атрибуты, можно будет снова видеть свои документы. Причем выполнить эту операцию можно несколькими разными способами.
Ручной способ
Если на флешке все папки стали ярлыками, чтобы восстановить атрибуты, следуйте инструкции:
- Откройте меню "Пуск" и кликните по надписи "Выполнить".
- Перейдите курсор в строку ввода и напишите "cmd", после чего щелкните по надписи "ОК".
- На экране отобразится окно командной строки. Сначала перейдите в корень USB-накопителя, напечатав "cd /d X:\". После этого нажмите на кнопку "ENTER". Букву "X" следует заменить той, которая используется в системе для доступа к флешке.
- Следующая команда, которую следует выполнить - "attrib -s -h /d /s".
- Выполнив все действия правильно, вы вновь сможете наблюдать в проводнике все пропавшие папки и файлы.
Автоматизация процесса
Если на флешке папки стали ярлыками, можно облегчить процедуру сброса атрибутов.
- Запустите программу "Блокнот". Она находится в каталоге "Стандартные" меню "Пуск". Можно просто напечатать слово "notepad" в строку ввода окна "Выполнить".
- В текстовый редактор скопируйте сочетание "attrib -s -h /d /s" (без кавычек).
- Нажмите на надпись "Файл", которая расположена в верхней части программы, и кликните по строке "Сохранить".
- Задайте имя, которое будет присвоено документу, например: "имя.bat". Как можно видеть, после точки указано расширение, отличающееся от стандартного. Обязательно используйте слово "bat", иначе нужного результата не добиться.
- Переместите документ, созданный в блокноте, на USB-накопитель. Теперь достаточно просто запустить файл как обычную программу. Его можно как удалить, так и оставить на случай повторного заражения.
Многие пользователи сталкиваются с ситуацией, когда уже не первый раз на флешке папки стали ярлыками. Что делать, если проблема повторяется систематически? Ответ очевиден: установите антивирус и регулярно обновляйте базы сигнатур. Также не стоит использовать переносное устройство для работы за чужим компьютером - высока вероятность, что вредоносное ПО приходит извне.
Сегодня речь пойдет об одном интересном вирусе, название которого я конечно не знаю или не запомнил.
Обитал он в одной замечательной бюджетной организации, которую, то ли обязывают покупать платный, всем нам известный антивирус, то ли они так сами решили. Не знаю.
Собственно это хорошо и правильно. Но, либо он (антивирус) не справляется со своей задачей, либо админ ленится, но так или иначе, вирус живет на компьютерах этой организации уже давно.
И вот меня угораздило воткнуть подключить флешку к одному из компьютеров вышеупомянутой конторы организации.
Особенность вируса такова — себя на Ваше устройство он не копирует (точнее копирует, но очень редко, и видимо лишь какая-то его разновидность), но напакостить успевает.
Вирус скрыл папки и файлы на флешке
Все ниже перечисленные симптомы, могут появиться как все одновременно, так и некоторые по отдельности:
- Флешка якобы пуста — вы не видите ничего в проводнике.
- На flash-диске не видно ни одного файла, но если посмотреть свойства диска, то становится понятно что он не пуст.
- На диске что-то есть похожее на Ваши папки, и даже выглядит как они, но на самом деле, это EXE-файлы которые открывают «Проводник» Windows. Иногда на папке «Мои документы».
- Вместо Ваших файлов, ярлыки, которые все же открывают Ваши файлы. Ну или не открывают…
Как вылечить флешку от вируса скрывающего файлы
Что делать если с Вами и вашей флешкой случилась такая неприятность.
Совет №1. Ни в коем случае не форматировать флешку.
Ваши данные там, они не испорчены, и мы сейчас их вернем:
Запустите командную строку от имени Администратора. Введите команду
attrib -h -r -s /d /s h:\*.* — где «h:\» — буква Вашей флешки.
и нажмите
Данная команда, сделает ваши файлы и папки видимыми.
Давайте рассмотрим, что делает введенная нами команда:
attrib — собственно запускает программу attrib
ключ -h — очищает атрибут «скрытый файл».
ключ -r — очищает атрибут файла «только для чтения».
ключ -s — очищает атрибут «системного файла».
ключ /s — распространяет действие только на файлы.
ключ /d — распространяет действие на каталоги (папки) и файлы. Не работает без /s
После этих действий, ваши файлы и папки станут видны. Вам лишь останется удалить (при помощи поиска) все файлы с расширением *.lnk (ярлыки) и name.exe которые выглядят как ваши папки (где name-имена ваших папок). Если есть файлы, которые не похожи на Ваши — тоже удаляйте.
неОшибка.Ру — не несет ответственности за Ваши действия и возможную потерю информации. Все действия вы производите на свой страх и риск. Вы должны понимать то, что делаете, и к чему это приведет.
Папки превратились в ярлыки
Если на флешке вместо папок появились ярлыки — это верный признак того, что поработал вирус. Как правило, такие приключения случаются на компьютерах, на которых не установлен надежный антивирус, например KIS (Kaspersky Internet Security).
Итак, если папки стали ярлыками, не щелкайте по этим ярлыкам , так как каждый такой ярлык запускает вирус повторно, что может привести к заражению других компьютеров.
В результате действия вируса вместо папок отображаются ярлыки
В результате действия вируса, все ваши папки делаются скрытыми и системными — они есть на флешке, но вы их не видите. Вместо ваших файлов отображаются ярлыки название которых совпадает с названием ваших папок. Если вы посмотрите занятый объем флешки, то увидите, что он большой, т.е. ваши папки с файлами никуда не делись.
Удаляем вирусы и восстанавливаем папки на флешке
На чужом компьютере я заразил две своих флешки + мне доверили еще одну зараженную флешку, так что я попробовал восстановить папки двумя способами:
- При помощи Kaspersky Internet Security (KIS);
- При помощи утилиты Dr.Web CureIt.
Вариант 1. Заражена только флешка — используем KIS (для подготовленных пользователей)
Вы заразили флешку на чужом компьютере, а ваш компьютер чист от вирусов (или вы так думаете). Также на вашем компьютере установлен надежный антивирус.
В этом случае, можно проверить флешку при помощи установленного антивируса, например при помощи Kaspersky Internet Security. При помощи KIS я проверил две зараженные флешки, вот результат проверки (кликабельно):
Результат проверки при помощи KIS 2013
Найдены две разновидности вирусов:
- Worm.Win32.Ngrbot.wmf
- Worm.Win32.Ngrbot.wim
Сами же вирусы скрываются под разными именами, например под именем «+ОБ-9.exe» — это ничто иное, как сам вирус — исполняемый файл.
К сожалению, антивирус Касперского удалил только файлы вирусов , т.е. он не удалил ярлыки и не восстановил папки. В подобных случаях удалять ярлыки нужно вручную, а затем еще сделать папки видимыми.
Сделать папки видимыми можно через командную строку (вызывается через «cmd»):
cd /d буква флешки:\ <- нажимаем ENTER
attrib -s -h /d /s <- нажимаем ENTER
Если вы не сильны в работе с командной строкой, то воспользуйтесь вторым вариантом.
Вариант 2. Заражены флешка и компьютер — используем Dr. Web CureIt (для чайников)
Дынный вариант подходит для чайников, так как утилита Dr. Web CureIt все сделает сама:
- Удалит вирусы с флешки и компьютера;
- Удалит ярлыки, которые запускали файл вируса;
- Восстановит папки на флешке — сделает их видимыми.
Если заражение флешки произошла на вашем домашнем ПК — это может говорить о том, что есть проблемы с антивирусной защитой:
- Установлен ненадежный антивирус;
- Давно не обновлялись антивирусные базы.
Необходимо удалить вирус как с компьютера, так и с флешки. Проведите полную проверку компьютера при помощи бесплатной лечащей утилиты Dr. Web CureIt . Для этого в настройках поставьте галочку на против пункта «Мой комьпютер» — будут выбраны все диски компьютера: жесткие диски, CD-ROM и флешки.
Будем искать вирус на всех дисках
Утилита обнаружила 54 угрозы, которые были успешно обезврежены.
CureIt обнаружила и обезвредила 54 копии вируса
В лаборатории Доктор Веб, данный вирус числится как BackDoor.IRC.NgrBot.42 (у Касперского Worm.Win32.Ngrbot).
Все папки стали видимыми и теперь можно пользоваться флешкой.
Dr.Web CureIt удали вирусы, ярлыки, восстановил папки
Выводы
Если вирус превратил ваши папки в ярлыки — воспользуйтесь бесплатной лечащей утилитой Dr. Web CureIt, которая справится с проблемой на «автомате».
Не забывайте, что на домашнем компьютере должен быть установлен надежный антивирус, который необходимо регулярно обновлять.
Николай Переделкин