Приветствую, вас дорогие читатели. Уверен, что большинство пользователей у которых работа или хобби связанно с компьютером, встречались с одним очень вредным вирусом, который вместо файлов на флешке создавал ярлыки. Ну, а сами файлы, не удалялись, что очень радует, а просто становились невидимыми, доступ к которым можно было получить только . Кстати, о том как вернуть флешку к прежнему состоянию я описал .
Обычно ко мне приходили пользователи с флешкой и просили просто . Но, недавно мне на глаза попался компьютер, в котором засел именно этот вирус — Microsoft Excel.WsF и при подключение любого флеш-накопителя он скрывал на нем все возможные файлы. Если честно, я первый раз встретил такой вирус непосредственно, на самом компьютере.
При подключение флешки сразу было понятно, что ПК заражен вредоносной программой, потому как через мгновение на любом подключенном устройстве все документы и папки превращались в ярлыки. Вынув flash-накопитель, я начал . Она нашла несколько зараженных файлов, но это все было не то (в основном bat-файлы ярлыков с рекламой для различных браузеров ), конечно, я их удалил и запустил антивирус заново с полной проверкой. Но, на мое удивление, Cureit больше ничего не нашёл и оповестил, что угроз на компьютере не найдено, хотя проблема не решилась и вирус (Microsoft Excel.WsF ) по прежнему скрывал файлы.
Следующим шагом, была чистка папки с временными файлами, как в ручную так и утилитой CСleaner. Рекомендую, ознакомиться с руководством того: с помощью разных утилит. А так же, с его продолжением, где подробно описано, что можно сделать если . Почистив все возможные папки от TEMP-файлов, вирус (Microsoft Excel.WsF ) продолжал портит файлы на флешка не обращая внимание на меня и на все мои действия.
Как удалить вирус, который превращает файлы в ярлыки, этот вопрос никак не выходил у меня з головы. Но, зайдя в автозагрузку компьютера я понял, что все, на самом деле, очень просто.
Удаляем вирус превращающий файлы в ярлыки
Итак, удалив все временные файлы в моей любимой утилите ССleaner, я перешел на вкладку «». Как оказалось в списке autoruna было очень много различных программ, начиная от обновлений Google приложений и заканчивая браузером Amigo и MailUpdate . В общем, из всего этого списка я нашел один очень подозрительный процесс под названием «wscript.exe ». Удивило то, что в описание программы производителя указан Microsoft Office. Удивило меня это тем, что раньше такого процесса связанного с Office я не встречал. Но посмотрев на расположение файла стало понятно, что это и есть та команда запускающая вирусный скрип «Microsoft Excel.WsF », который превращает файлы в ярлыки.
Что же нам нужно сделать, для удаления этого вируса. Сначала открываем « » и находим процесс под название wscript.exe, виделив его нажимаем на кнопку «Завершить процесс».
Дальше, запускаем CCleaner и . И смотрим путь к нашему файлу. У меня он был таким: С:\Documents & Settings\User\Local Settings\Application Data\Microsoft Office\\Microsoft Excel.WsF. Для Windows 7 и 8 такой: C:\Users\UserName\AppData\Roaming\Microsoft Office\\Microsoft Excel.WsF.
Зайдя в эту папку удаляем файлик, который был указан в пути, например в моем случае это: Microsoft Excel.WsF. Не забудьте, открыть доступ к отображению скрытых системных файлов, иначе вы его не увидите.
Так, первый шаг по удалению вируса превращающего файлы в ярлыки, сделан. Теперь, возвращаемся обратно к автозагрузке, где нажав на вирус правой кнопкой мыши выбираем «Открыть в Regedit... ». В следствие чего, перед нами с выделением нужной для нас строки. Здесь, также просто удаляем все записи в которых встречаются слова Microsoft Excel.WsF. Это действие повторяем до тех пор, пока в реестр не будет очищен от всех записей где упоминается название вирусного файла. У меня нашло его в двух местах:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
Опять вернувшись обратно к автозагрузке ССleanera, отмечаем пункт с процессом wscript.exe, и нажав на кнопку «Удалить » убираем полностью его с автозагрузки.
Теперь, закрыв утилиту идем к папке с временными файлами пользователя и полностью удаляем все её содержимое.
Windows7 и Windows 8 : C:\Users\Игорь\AppData\Local\Temp
Windows XP: С:\Documents & Settings\User\Local Settings\Temp
Ну и наконец, не забудьте очистить корзину от тех файлов, которые мы удалили. После этого обязательно перезагрузите ПК, и проверяйте результат.
При следующем подключение флешки, все файлы должны остаться на своих местах. По крайней мере, мне это помогло и пока все флешки опредиляются и работают без каких либо проблем. Но, если появятся вопросы или Вам нужна будет помощь, как всегда оставляйте коментарии и я постараюсь Вам помочь. В который раз, напомню Вам о подписке на сайт , которая позволит вам иметь под рукой бесплатные руковоства по востановлению рабочего состояния рабочего или домашнего компьютера.
Вы подхватили на флешку вирус, который был немедленно детектирован и удален антивирусом на домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками. Первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:
Первая запускает и устанавливает вирус на Ваш ПК
Вторая открывает интересующую Вас папку
Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл папки на флешке, т.е. им назначены соответствующие атрибуты (скрытый, архивный).
Наша задача: уничтожить вирус и снять эти атрибуты.
Избавляемся от вируса.
Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса, если же его нет – то вручную. Как же найти файлы зловреда?
1. В проводнике Windows включаем отображение скрытых и системных файлов Windows XP
:
Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид.
На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки »
В Windows 7
путь немного другой:
Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые
2. Открываем содержимое флешки,выбираем любой ярлык на папку и смотрим его свойства. Они будут выглядеть примерно так:
Нас интересует значения поля Target (Объект). Строка указанная в нем довольно длинная и выглядит примерно так:
%windir%\system32\cmd.exe /c «start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backup
В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Удаляем этот файл, а можно и папку целиком. Теперь клик по ярлыку не опасен!
Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:
в Windows 7 – C:\users\имя_пользователя\appdata\roaming\
в WindowsXP – C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\
Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).
Восстанавливаем вид каталогов и доступ к папкам
В зависимости от модификации вируса оригинальным папкам присваиваются системные атрибуты «скрытая» и «системная», либо они перенесены в некую также скрытую папку, созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны
РУЧНОЙ СПОСОБ:
1. Открываем командную строку (Пуск->Выполнить->набираем cmd->Enter)
2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
где f:\ - это буква диска флешки (в конкретном случае может отличаться)
команда сбрасывает атрибуты скрытости и папки становятся видимыми.
Путь 2:
1. Создать текстовый файл на флешки.
2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.
3. В случае, когда у Вас не получается создать такой файл – Вы можете скачать мой: для смены атррибутов.
Если файлов много, то возможно потребуется время на выполнение команды.
4. После этого, можно восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.
Флешка – это съёмный носитель, который многим пользователям помогает держать все нужные файлы при себе и использовать их в нужный момент. Однако, бывают случаи, когда пользователь обнаруживает, что файлы на флешке стали ярлыками и не открываются. Что делать в таком случае и как исправить проблему.
Причины появления ярлыков файлов и папок на флешке
Причиной тому, что на флешке папки и файлы стали ярлыками является вирус. Попав на съёмное устройство с помощью переноса или копирования файлов, он инфицирует содержимое, прописывает свои команды. Поэтому, ни в коем случае не стоит пытаться запустить все по очереди файлы, с надеждой их открыть. Вирус прописывает в каждом свою команду, которая может быть направлена на поражения операционной системы. Также не стоит удалять всё содержимое или форматировать устройство. Помните, все файлы стали ярлыками, однако, они не повреждены и никуда не пропали.
Как исправить ситуацию, когда флешке все файлы стали ярлыками?
Пользователи часто задаются вопросом: что делать, если все папки на флешке стали ярлыками и не открываются?
Для решения этой проблемы есть несколько несложных действий.
Сначала нужно включить отображение скрытых папок и файлов. Для системы Windows XP подойдет следующий адрес: «Пуск», «Мой компьютер», «Сервис», «Свойства папки».
Откроется окно настроек. Переходим во вкладку «Вид» и ставим отметку «Показывать скрытые папки и файлы».
Для Windows 7 выполняем такие шаги: «Пуск», «Панель управления», «Оформление и персонализация».
После кликаем «Параметры папок» и переходим во вкладку «Вид». Здесь ставим идентичную отметку.
Переходим во вкладку «Ярлыки» и проверяем поле «Объект». Это будет адрес папки, с которой запускается вредоносная программа.
Название, которое выделено на скрине – это имя папки, которая расположена на накопителе и открыта для пользователя. Её нужно удалить. Также стоит посмотреть адреса путей всех ярлыков и уничтожить вирусы.
Для точной и полной очистки стоит проверить наличие ехе. файла на ПК по следующим адресам:
- Для Windows XP – диск С, папка «Documents and Settings», «Имя пользователя», «Local Settings», «Application Data».
- Для Windows 7 – диск C, папка «User», после «Имя пользователя», «Appdata» и «roamling».
Если в этих папках имеется файл ехе – это вирус и его нужно удалить.
После того, как папки с вредоносными объектами были уничтожены, необходимо вернуть файлам прежний вид. Для этого есть несколько способов.
Способ первый
Жмём «Пуск», «Выполнить» (или Win+R). Вводим команду «cmd».
Запустится строка. Вводим «cd / d f:\» и жмём «Enter». Буква «f» означает наименование флешки.
После вводим команду для сброса атрибутов папки «attrib –s –h/d /s». Жмём «Enter».
Способ второй
Открываем флешку, жмём правой кнопкой и кликаем «Создать», «Текстовый документ».
Вводим исходный код: «attrib –s –h/d/s».
Сохраняем файл. После переименовываем его расширение на bat. Запускаем и все атрибуты сбрасываются.
Теперь, все файлы и папки, которые стали ярлыками, вернут свой прежний вид и всё содержимое будет невредимым.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту – очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак – это все папки на флешке превратились в ярлыки.
Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки), чтобы удостовериться в наличии файлов – вот это делать совсем не стоит!Проблема в том, что в этих ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей папки.
Как очистить флешку от таких вирусов:
Шаг 1. Отобразить скрытые файлы и папки.
Если у Вас Windows XP, то выполняем следующие действия: "Пуск-Мой компьютер-Сервис-Свойства папки- вкладка Вид ”:
На вкладке "Вид” отыскиваем два параметра и выполняем:Скрывать защищенные системные файлы (рекомендуется) – снимаем галочку Показывать скрытые файлы и папки – устанавливаем переключатель.
Если у Вас Windows 7, нужно пройти немного другой путь: ”Пуск-Панель Управления- Параментры папок- вкладка Вид ”.
Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.
Шаг 2. Очистка флешки от вирусов.
Зараженная флешка выглядит так, как показано на рисунке ниже:
Сначала необходимо проверить, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, где Вы найдете двойной запуск – первый открывает Вашу папку, а второй – запускает вирус:
В строке "Объект” (она довольно длинная) можно найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В данном случае строка двойного запуска выглядела так:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support
Вот тот самый путь: RECYCLER\6dc09d8d.exe - папка на флешке и вирус в ней.
Удаляем его вместе с папкой – теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).
Шаг 3. Восстановление прежнего вида папок.
Папки у нас прозрачные – это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.
Для этого есть 2 способа:
Открываем "Пуск”-Пункт "Выполнить”-Вводим команду CMD-нажимаем ENTER.
Откроется черное окно командной строки в ней нужно ввести команды:
cd /d f:\ нажать ENTER, где f:\ – это буква нашей флешки (может отличатся от примера) attrib -s -h /d /s нажать ENTER – эта команда сбросит атрибуты и папки станут видимыми.
Второй вариант – создать текстовый файл в корне флешки. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat, поместить в корень флэшки и запустить его. После его запуска появится черное окошко, не закрывайте его, а подождите и все не восстановится. После этого можно удалить ярлыки папок.
В случае, если у Вас не получается создать такой файл – Вы можете скачать: Bat файл для смены атррибутов (.zip) . Если файлов много, то возможно потребуется время на выполнение команды.
После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.
Еще один вариант файла.bat:
| :lable cls set /p disk_flash="Vvesti buky flash drive: " cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%: |
Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки - вы должны это понимать что это вирус.
Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.
Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но - при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.
Вирус уникален также тем, что распространяется только при помощи флешок.
Так вот, теперь перейдем к самому главному - как исправить эту ситуацию.
Лечение от вируса на флешки, который создает ярлык
Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R . Появится черное окошко, то есть консоль. В нее пишем следующее:
cd /d F
: (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
attrib -s -h -a -r /s /d *.* (*.* - это маска, означает что «лечить» будем все файлы на флешке);
После этого мы можем открыть флешку и увидеть что все файлы на месте.
После этого необходимо удалить все файлы, и оставить только autorun.inf .
Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее .
Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.
Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf , как правило он находится в ветке svchost.exe .
Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle ) - обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.
После этого нам нужно попасть во временную папку Temp , пусть который такой: C:\users\%username%\AppData\Local\Temp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif , мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше - скорее всего да.
Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.
Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать
