Вирус: все папки на флешке превратились в ярлыки

Вирус: все папки на флешке превратились в ярлыки

Довольно часто встречающийся сегодня вирус, когда все папки на флешке становятся скрытыми, а вместо них появляются ярлыки с теми же названиями, но способствующие распространению вредоносной программы, у многих вызывает некоторые затруднения. Не слишком сложно удалить этот вирус, сложнее бывает избавиться от его последствий — убрать атрибут скрытый у папок, учитывая что в свойствах этот атрибут неактивен. Давайте по порядку рассмотрим, что делать, если такая напасть как скрытые папки и ярлыки вместо них случилась с вами.

Примечание: проблема, когда из-за вируса на флешке исчезают все папки (становятся скрытыми), а вместо них появляются ярлыки, достаточно распространена. Чтобы в будущем защититься от таких вирусов, рекомендую обратить внимание на статью Защита флешки от вирусов.

Файлы и папки на флешке превратились в ярлыки, с чем связано

Почти у каждого пользователя компьютером возникала проблема, когда папки на флешке переставали отображаться, а вместо них появлялись ярлыки. Такой типа вируса может заразить ПК, телефон и любое другое портативное устройство и папки перестанут отображаться.
Как быстро и правильно решить такую проблему? Подробное описание вы найдёте в этой статье.
Также Вы узнаете о типах вирусов и их особенностях.

Вирус после, которого файлы становятся ярлыками, бывает двух типов:

• Все папки на съёмном носителе заменились ярлыками.
• Вместо локальных дисков на ПК появились ярлыки.

Подробнее о каждом из типов.

• Самым распространенным является вирус, что делает папки невидимыми, а вместо них отображаются ярлыки. Это адское сочетание Worm и Trojan. Многие пользователи, впервые столкнувшись с подобной проблемой дважды кликают курсором на ярлык папки в надежде их открыть, и запускают зловредные программы.
• Второй вариант — это Trojan, он собирает все файлы на устройствах и переносит их в одну скрытую папку. После этого создает один общий ярлык, пользователь может получить доступ, к файлам только открыв его. И снова после двойного клика вирус начинает вредоносно распространяться по компьютеру, устанавливать шпионские программы и копировать персональные данные.

Дополнительно: восстановление ярлыков файлов в исходный формат

Загрузите и установите бесплатное программное обеспечение для восстановления данных EaseUS. Следуйте данному руководству и восстановите свои данные.

Шаг 1: Запустите Мастер Восстановления Данных EaseUS

Выберите раздел диска или место хранения, где вы потеряли файлы и нажмите кнопку “Сканировать”.

Шаг 2: EaseUS Мастер Восстановления начнет процесс сканирования для поиска потерянных данных

Процесс сканирования автоматически начнёт поиск всех файлов.

Шаг 3: Предварительный просмотр и восстановление потерянных файлов

Вы можете отфильтровать результаты сканирования по типу файла, выбрать найденные файлы и нажать кнопку “Восстановить”, чтобы возвратить их. Сохраните файлы в другом безопасном месте на вашем устройстве хранения.

Последние статьи – Также в программе EaseUS

Вам представлена лучшая программа для восстановления данных жесткого диска 2018 …

На этой странице мы расскажем о лучшей программе для восстановления файлов Adobe…

Если вы потеряли файлы при вирусной атаке, вы можете попробовать два возможных с…

Безвозвратное удаление файлов/папок с жестких дисков или устройств хранения данн…

Решение возникших проблем и другие методы удаления вируса

Приведенные выше два метода являются лучшими на мой взгляд средствами для борьбы с вирусом с ярлыками. Тем не менее могут возникнуть проблемы в виде ошибки «Отказано в доступе» — часто на диске с файловой системой NTFS и редко на FAT и FAT32.

1. В Fixfolder убедитесь в том, что вы изменили букву в соответствии с буквой вашего диска.
2. В командной строке убедитесь, что вы набрали команду правильно, включая пробелы.

Если вы все делаете правильно, при этом все еще наблюдаете ошибку:

• Выполните проверку CHKDSK с помощью командной строки (см. ) и попробуйте все проделать сначала.

На этом я мог бы закончить статью, так как считаю что указанные мной способы выше достаточны. Но все же, если кому-то не помогло — вот несколько полезных программ, которые также способны бороться с «ярлычным» вирусом:

Что делать если папки на флешке стали ярлыками?

Привет читатели. Сегодня я хочу вам рассказать о том «недоразумении», когда у вас папки на флешке стали ярлыками. Это очень распространенный случай. Например, вы вставляете флешку в свой компьютер, стартует, например автозапуск носителей, вы открываете флешку и видите, что все папки, которые на ней располагались, превратились в ярлыки. Некоторые, не подозревая об этом, копируете на компьютер, а затем вытаскивая флешку, — не можете получить доступ к папке.

И вот у вас в папке — осталась важная информация, которую срочно необходимо спасти. Вы задаетесь вопросом, почему папки стали отображаться в виде ярлыков, а самое главное, как это все исправить? В данной статье мы и рассмотрим, как решить такую серьезную проблему.

Самое главное, когда вы столкнулись с подобной ситуацией, не стоит форматировать флешку, это только усугубит положение.

Первое. Вся ваша информация, которая была на флешке (флеш-носителе) так на ней и осталась, то есть, никуда не пропала. Причиной того, что все папки стали скрытыми, а вместо них появились ярлыки, стало появление вируса на носителе.

Второе. Не стоит нажимать мышью по этим ярлыкам, так как вы можете запустить вредоносный код, который прописан в самом ярлыке. Когда вы вставляете флеш-накопитель в компьютер, у вас может быть такая ситуация:

Что необходимо делать в ситуации, когда папки стали ярлыками на накопителе.

Шаг № 1. Необходимо включить отображение скрытых файлов и папок. Например, можно открыть какой-нибудь файловый менеджер и сделать через него, а можно и в самой Windows. Для этого необходимо зайти в Мой компьютер и выполнить команду Сервис — Свойства папки — Вид, где затем установить указатель на пункт – Показывать скрытые папки и файлы.

Шаг № 2. Теперь нам необходимо проверить каждый ярлык, который находится на флеш-накопителе. Для этого заходим на флешку, нажимаем по ярлыку правой кнопкой мыши, из контекстного меню выбираем пункт Свойства, затем переходим на вкладку Ярлык и внимательно смотрим на поле Объект. Именно с этого поля происходит запуск вредоносного кода, нам необходимо определить, откуда именно и где он находится.

Как видно, в папке RECYCLER присутствует вирус, выше на рисунке показана данная папка, она в большинстве случаях также будет скрытой. Теперь нам необходимо удалить данную папку с флеш-накопителя.

Также можете проверить (для безопасности и достоверности) пути, по которым может находиться еще данный вирус:

Для Windows 7 – C:\User\Имя_пользователя\appdata\roamling\

Для Windows XP – C:\Documents and Settings\Имя_пользователя\Local Settings\Application Data\

Если вы откроете какой-то из этих путей (который подходит для вашей операционной системы), то вы сможете там обнаружить файл exe. Если он будет присутствовать, то это вирус, и это означает, что попал он туда с помощью автозапуска, поэтому я бы посоветовал вам отключить автозапуск на компьютере.

Шаг № 3. На данном этапе нам необходимо вернуть обычный вид папкам, то есть сделать, чтобы они были не скрытыми, а видимыми. Естественно, это необходимо делать после того, как вы удалили вредоносный код и вредоносные файлы, при этом не забывайте еще удалить сами ярлыки, только не перепутайте с папками.

Вернуть папки в прежнее состояние можно несколькими способами:

Способ 1. Необходимо нажать Пуск — Выполнить и набрать в командной строке – cmd, после чего нажать на кнопку Ок или клавишу Enter. В появившемся окне вам необходимо ввести следующие команды:

Чтобы проверить, скройте системные папки (тот же принцип, как и настраивали — показать системные папки) и далее — заходите на свой флеш-накопитель. На нем должны быть показаны все ваши папки.

Способ 2. Вам необходимо сбросить атрибуты для папок, для этого — создаете на флешке текстовый документ и в нем пишете следующее:

После чего следует сохранить текстовый документ и переименовать расширение txt на bat. Далее, запускаете данный файл (он должен находиться в корне вашего флеш-накопителя).

Способ № 3. Также предполагает изменение атрибутов папок с помощью BAT-файла. Для этого вам необходимо по тому же принципу создать на флеш-накопителе текстовый файл и записать в него следующее:

После чего сохранить его и переименовать расширение txt на bat. Запустить исполняемый файл и ввести букву своего флеш-накопителя.

Ниже я прикладываю видео, в котором показывается такая ситуация, где пользователь подключает накопитель к компьютеру, открывает его, и на нем вообще ничего нет. В статье мы рассматривали, что папки были скрыты и присутствовали только ярлыки, а тут видим, что их вообще нет, в общем смотрите:

Вирус создает ярлыки на флешке

В зависимости от версии Windows, у вас, при открытии флешки, конечно же, если она открылась, будет такая картина:

Ярлыки вместо папок на флешке из-за вируса

Дальнейшие действия для очистки флешки от вируса:

Как проверить флешку на вирусы

Все предельно просто. Достаточно иметь на своем компьютере хорошую антивирусную программу последней версии с обновленной антивирусной базой. Открываем антивирус и выбираем сканирование съемных дисков или выборочное сканирование (в разных антивирусах по-разному, но смысл один).

Если у вас нет антивируса, то рекомендуем скачать антивирусную утилиту Dr.Web CureIt!, которую не нужно устанавливать на компьютер и она может справиться с очень большим количеством угроз.

Запустите утилиту Dr.Web CureIt!, после того, как вы ее скачали. После запуска, в первом окне программы, установите галочку, что вы согласны участвовать в программе улучшения качества и отправки статистики в лабораторию Dr.Web, потом жмем кнопку «Продолжить».

Теперь кликните зеленую ссылку «Выбрать объекты для проверки», она находится под кнопкой «Начать проверку». Перед вами появится окно с выбором объектов для сканирования – ставим галочки напротив каждого элемента и потом жмем на зеленую ссылку «Щелкните для выбора файлов и папок». Здесь нужно отметить вашу флешку (в этот момент она должна быть подключена к компьютеру и во время проверки ее нельзя извлекать), плюс, вы можете отметить для проверки на вирусы ваши локальные диски. Далее жмем кнопку «ОК», а потом большую кнопку «Запустить проверку».

Выбор флешки для проверки на вирусы

Проверка на вирусы может занять какое-то время, следует набраться терпения и подождать.

Как удалить вирус с флешки

После окончания процедуры сканирования утилитой Dr.Web CureIt!, перед вами будет окно со списком найденных вирусов и других угроз на флешке, жмем на кнопку «Обезвредить», которая находится справа вверху.

Удаление вирусов утилитой Dr.Web CureIt!

Так же есть другой способ, ручной, для удаления вируса с флешки. Данный способ рассчитан на более-менее опытных пользователей. Если вы себя таковым не считаете, то воспользуйтесь утилитой Dr.Web CureIt!

Итак, для начала нужно открыть «Параметры папок» в «Панели управления» и на вкладке «Вид» установить галочку на пункте «Показывать скрытые файлы и папки» и снять галочку на пункте «Скрывать защищенные системные файлы (рекомендуется)». Теперь вы можете видеть скрытые и системные файлы и папки.

Теперь открываем зараженную флешку. Кликаем правой кнопкой по любому ярлыку папки и в появившемся контекстном меню выбираем пункт «Свойства». Нам нужно значение поля Target (Объект).

Свойства ярлыка папки

В поле Target (Объект) будет записано длинное значение, примерно, такого содержания:
%windir%system32cmd.exe /c «start %cd%RECYCLERe3180321.exe &&%windir%explorer.exe %cd%backup
Из приведенного выше значения, понятно, что файл вируса e3180321.exe находится в папке RECYCLER. Удаляем папку RECYCLER полностью.

Так же рекомендуем просмотреть системные папки на предмет остатков от вируса, которые могут возобновить свою деятельность. Для этого нужно удалить все программные файлы (расширение *.exe) по следующим адресам:

• C:usersимя_пользователяappdataroaming — для Windows Vista и 7
• C:Documents and Settingsимя_пользователяLocal SettingsApplication Data — для Windows XP

Теперь вирусы с флешки удалены, но после их работы, файлы и папки на флешки остались скрытыми.

Как восстановить флешку после вируса

Что бы восстановить папки на флешки нужно изменить их атрибуты, но сделать это обычными способами проблематично, т.к. вирус присвоил им не только атрибут «скрытый», но и атрибут «системны». Из-за этого операционная система пытается защитить их от действий пользователя. Но для нас это не проблема! Мы подготовили несколько способов для восстановления папок и файлов на флешке.

Первый способ, самый простой. Запустите этот файл (размер 295 байт) на своем компьютере, к которому подключена флешка. После запуска, откроется черное окно, в котором вам нужно написать букву вашей флешки, например F или I после чего нажать кнопку ENTER.

Данная мини-программа, автоматически, выполнит поиск и удаление ярлыков на папки, файлов авто-запуска (autorun.*), удалит папку RECYCLER в которой прятался вирус и восстановить видимость и доступность к папкам и файлам.

Мини-программа, которую вы запустите, представляет из себя командный скрипт Windows и содержит такой код:
:lbl
cls
set /p disk_flash=»Enter flash drive: »
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Второй способ. Менее рекомендуемый, т.к. восстановятся только значения атрибутов папок и файлов.

1. Открываем командную строку. Для этого нажимаем сочетание клавиш Win+R (на кнопке Win обычно нарисован логотип Windows), в открывшемся окне «Выпонить» пишем команду CMD и жмем ENTER.
2. В появившемся черном окне, пишем такую команду — cd /d f: и жмем ENTER, где f: – это буква вашей флешки, ее можно посмотреть в проводнике или в окне «Мой компьютер».
3. Далее, не закрывая окно, пишем следующую команду — attrib -s -h /d /s и жмем ENTER.

Все. Атрибуты папок и файлов восстановлены и вы можете просмотреть содержимое флешки в нормальном режиме.

Как защитить флешку от вирусов

Следуя простым правилам, описанным ниже, увеличите шансы не заразить флешку вирусами.

Восстановление информации

Казалось бы, что сложного в том, чтобы зайти в свойства и снять атрибут «скрытый». Данный случай немного нестандартный и простым путем решить задачу не получится. Ведь вирус «Autorun» присваивает системное значение поврежденным элементам, чтобы пользователь не смог внести изменения.

Но для нас нет ничего невозможного, не так ли?

Проще всего скачать готовый скрипт, запустить его и в окне консоли, указать букву Вашего съемного диска. Потом жмете Enter и после нескольких секунд все ненужные атрибуты будут сняты автоматически.

Кроме того, данная мини-утилита способна самостоятельно удалять RECYCLER об этом я писал в одной из своих статей.

Но если не доверяете мне, то вот Вам более сложный способ.

• Запускаете с админ правами командную строку. Для этого в строке поиска Windows напишите «cmd» (без кавычек). Когда отобразится результат, то кликните по нему правой кнопкой мышки и выберите «Запуск от имени админа».
• Или же вызовите окно «Выполнить» ( Win + R ) и выполните команду cmd.
• Когда запустится черное окно, следует ввести следующий код:

Вместо f: следует указать соответствующую букву Вашей флешки. Узнать её можно в папке «Компьютер».

• Теперь выполняем следующий «кусок» кода:

• Ура! Теперь все данные восстановлены. Можете танцевать от радости!

Чтобы больше не оказываться в подобной неприятной ситуации, рекомендую прочесть еще парочку полезных советов.

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?

1. В проводнике Windows включаем отображение скрытых и системных фалов.
   • В Windows XP: Пуск-> Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки».
   • В Windows 7 путь немного другой: Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые.
   • Для Windows 8/10 инструкция есть в статье Показать скрытые папки в Windows 8.
2. Открываем содержимое флешки, и видим на нем множество ярлыков на папки (обратите внимание на значок ярлыка у иконок папок). Теперь нужно открыть свойства любого ярлыка на папку (ПКМ -> Свойства). Они будут выглядеть примерно так: Нас интересует значения поля Target (Объект). Строка, указанная в нем довольно длинная, и может выглядит примерно так:
   %windir%system32cmd.exe /c “start %cd%RECYCLERe3180321.exe &&%windir%explorer.exe %cd%backup

В этом примере RECYCLERe3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:windows, C:windowssystem32 и в профиле текущего пользователя (о них чуть ниже)).

Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:

• в Windows 7, 8 и 10 — C:usersимя_пользователяappdataroaming
• в Windows XP — C:Documents and Settingsимя_пользователяLocal SettingsApplication Data

Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде .bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Данная неприятная ситуация достаточно распространена нынче. От переносных носителей отбоя нет. А люди не сильно заморачиваются насчет антивирусов. Идеальные условия для маленького, но очень неприятного вируса. Действительно, ведь если кто-то увидит на флешке ярлыки вместо папок, то он вряд ли обрадуется. Наоборот, пользователь начнет ругаться с тем, у кого он побывал с флешкой или кому он эту флешку отдавал. Но криком делу не поможешь.

А так же не поможешь кликами по содержимому больной флешки. Запомните, если Вы встретили такой вирус, не трогайте ничего из того что видите! Ничего не открывайте и не запускайте! И еще, не паникуйте зря, Ваши документы в целости и сохранности. Научимся же тому, как вытащить свои документы на свет и избавиться от вируса.

Что не нужно делать, если вместо ваших файлов вы видите ярлыки

Кстати, почему нельзя запускать ярлыки и приложения, которые находятся на флешке? Все довольно просто. Если Вы запустите ярлык, то Вы перед собой увидите ту папку, имя которой оно носит. А в папке будет все Ваши документы. Вроде бы проблема решена, но не все так просто. В данных ярлыках установлен двойной запуск. Первый из них запускает папку, на которую ссылается ярлык. А вот второй, незаметно для пользователя, запускает тело самого вируса. То что у Вас на флешке одни ярлыки, вовсе не говорит о том, что вирус на Вашем компьютере. Ну а если Вы открыли ярлык или запустили приложение, поздравляю, теперь вирус и на Вашем компьютере. Дело усложнилось.

Избавляемся от ярлыков на флешке

Вернуть Ваши файлы не стоит особого труда. Для этого Вам нужно узнать, какая буква получена Вашей флешкой, на которых все файлы превратились в ярлыки. Узнать это Вы сможете в окне Мой компьютер. Указывается она в скобках после имени флешки. Узнав и запомнив букву диска, открываем командную строку. Вводим следующие команды:

Первая команда переводит нас в корень флешки. Буква f, в зависимости от буквы Вашей флешки, может быть другой. Вторая команда снимает атрибуты «скрытый» и «системный» со всех файлов на флешке(Так же можете более подробно почитать про команду attrib). Благодаря этим атрибутам Вы и не видели свои файлы, но видели созданные ярлыки, которые были лишены этих атрибутов. Теперь, Вы можете заглянуть в свою флешку и убедиться в том, что Ваши файлы в сохранности. Все остальные ярлыки можете удалить. Но я посоветую не делать этого. Пока что.

Удаляем вирус, который на флешке превращает папки в ярлыки

Нам нужно удалить вирус. Если Вы не успели кликнуть ни по одному ярлыку, то Вы не подхватили вирус с флешки. Но возможно и то, что он у Вас уже был на компьютере, а флешка была чиста. Самый лучший способ проверить, есть ли на компьютере вирус, это, после тех двух команд, удалить все лишние ярлыки с флешки. После чего отключить флешку и заново подключить. Тут возможно два варианта:

• Флешка чиста от ярлыков, и это значит что вируса на компьютере нет.
• Флешка снова в ярлыках — вирус сидит в Вашем компьютере.

Первая группа будьте внимательны в будущем. Не разбрасывайте флешку направо и налево. На данный момент Ваш компьютер чист от вируса, поэтому чтение остального материала для Вас необязательно. Вторая группа — читаем дальше, если хотим удалить вирус, превративший содержимое флешки в ярлыки.

Удаление вируса будет состоять из двух направлений атаки:

• Удаление вируса с компьютера.
• Удаление вируса с флешки.

Один из этих вирусов активен, другой нет. Для начала разберемся с активным, потому что он постоянно будет втыкать палки в колеса. Можете почитать мою статью про то, как удалить вирусы, там довольно доступно объясняется процесс удаления вирусов, который можно и нужно применять в данном случае. Так же, Вы можете поискать вирус во вкладке Процессы окна Диспетчер задач. Процесс данного вируса носит довольно нечленораздельное название. В ней нет логики, это простая абракадабра. Можете узнать месторасположение данного файла. Дальше так же есть два способа действия:

• Вы уверены в том, что это вирус. В таком случае остановите данный процесс и удалите вирус.
• Вы не уверены в том, что это вирус. В таком случае остановите процесс.

Далее флешку, содержимое которого превратилось в одни ярлыки, необходимо почистить способом, который обсуждался выше. И еще раз прошу, не трогайте ни один ярлык, иначе вся операция пойдет насмарку. После этого выньте и заново подключите флешку. Если Вы не видите в ней ярлыков и всё вроде бы чётко, значит Вы сделали все правильно.

Удаляем вирус из автозагрузки

Но расслабляться рано. Те, кто просто остановил процесс, должны перейти в папку, где находится вирус и удалить его. Так же нужно зачистить автозагрузку. Как это нужно сделать можно узнать из той же статьи про то, как удалить вирус. Почистить автозагрузку компьютера необходимо и для первой, и для второй группы.

Проделав это, я обычно перезагружал компьютер. Потом снова перепроверял флешку — появятся ли ярлыки или нет. Рекомендую Вам поступать так же.

Почему такие вирусы редко замечают антивирусы?

Многие, увидев такие ярлыки, пытаются просканировать компьютер и флешку с помощью антивируса. Но, в основном, это безрезультатно. Почему? Потому что тело вируса, который превращает папки в ярлыки — это обычный bat-файл, который содержит в себе команды, которые пользователь может выполнить как в графическом интерфейсе, так и в консоли. А антивирус не должен мешать пользователю работать. И bat-вирусы как раз-таки и подпадают под это правило. Определить что внутри bat-файла — нежелательный код или безобидные команды — довольно тяжело. Убедиться в этом можно на собственном опыте, если попробовать создать обычный bat-вирус.

Если Вы пострадали от данного вируса и хотите, чтобы никакую больше флеш-карту нельзя было бы подключить к компьютеру, можно закрыть доступ для чтения с внешних носителей.