Вирус «Все папки и файлы скрыты а вместо них ярлыки» — удаляем навсегда

Чаще всего компьютерные вирусы стараются действовать как можно незаметнее, но есть и такие, которые созданы явно с целью подпортить вам настроение. Таков вредонос, дублирующий, а затем заменяющий оригинальные файлы и папки на съемных носителях ведущими в никуда ярлыками. Но потеря доступа к файлам не единственная проблема, создаваемая этим типов зловреда, при попытке открыть «превращенные» в ярлыки файлы вирус может самокопироваться и что хуже всего, подгружать другое вредоносное программное обеспечение.

С другой стороны, данный тип вирусов считается наиболее безобидным, поскольку он не шифрует и не удаляет пользовательские файлы, а это значит, что их можно восстановить, а заодно избавиться от самого вируса. Теперь о том, что делать и как быть, если заражение состоялось и вместо файлов на съемном устройстве вы обнаружили ярлыки. Во-первых, отключить интернет и постараться не запускать эти самые ярлыки, а установить Hetman Partition Recovery или аналогичную программу для восстановления данных с дисков и попробовать считать с ее помощью скрытые вирусом файлы.

После сохранения восстановленных файлов на диск съемный носитель необходимо отформатировать в Diskpart командой clean, уничтожив вместе с данными таблицу разделов, в которой может скрываться вирус. Для полной очистки флешки и пересоздания раздела выполняем в запущенной от имени администратора командной строке команды, где № — номер съемного носителя, NTFS — тип файловой системы форматируемого накопителя, а F — назначаемая ему буква.

diskpart    list disk    select disk 1    clean    create partition primary    select partition 1    format quick fs=ntfs    assign letter=f    exit  

Команды: yadi.sk/i/ZDaS_Uh5TrkWDA

Попробовать избавиться от заменяющего файлы ярлыками вируса можно с помощью обычной командной строки.

Запустив ее от имени администратора, выполните в ней такие команды:

cd /d F:/  attrib f:*.* /d /s -h -r -s  

Первой командой переходим в расположение съемного накопителя, у нас он имеет букву F, вторая команда делает все скрытые файлы видимыми и снимает с них параметры «системный» и «только для чтения». Найденные пользовательские файлы копируем на диск, после чего носитель форматируем. Заодно проверяем автозагрузку в Диспетчере задач, подразделе реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.

И папке Startup для перехода в которую выполняем команду shell:startup.

Все подозрительные ярлыки, ключи и ссылки удаляем.

В случае затруднения на помощь могут прийти заточенные под борьбу с подобными вирусами утилиты, к примеру, Shortcut Virus Remover.

Многие второразрядные антивирусы идентифицируют эту утилиту как Adware, пользоваться ею или нет, решайте сами.

Запустив утилиту, выбираем очищаемый диск и жмем «Repair», при этом скрытые файлы вновь станут доступными, а ярлыки на них отправятся в небытие.

Для удаления подозрительных объектов можно воспользоваться опцией «Delete all», предварительно скопировав на всякий случай нужные файлы на диск.

Дополнительно Shortcut Virus Remover поддерживается иммунизация съемных накопителей, отключение/включение Windows Host Sсript, автозапуска и USB-портов, также программа способна помочь восстановить запуск командной строки, консоли PowerShell, Диспетчера задач, диалогового окошка «Выполнить», редактора реестра, функции восстановления, сбросить параметры прокси.

Автоматическое удаление вируса утилита не гарантирует, возможно, вам придется найти его среди восстановленных файлов и удалить вручную.

И вот еще что.

Не используйте утилиту для очистки системного раздела, иначе лишитесь всех ярлыков, причем не только на рабочем столе.

Софт:

https://www.softpedia.com/get/Antivirus/Removal-Tools/Shortcut-Virus-Remover-by-Mr-Jest.shtml

Сегодня речь пойдет об одном интересном вирусе, название которого я конечно не знаю или не запомнил.

Обитал он в одной замечательной бюджетной организации, которую, то ли обязывают покупать платный, всем нам известный антивирус, то ли они так сами решили. Не знаю.

Собственно это хорошо и правильно. Но, либо он (антивирус) не справляется со своей задачей, либо админ ленится, но так или иначе, вирус живет на компьютерах этой организации уже давно.

И вот меня угораздило воткнуть подключить флешку к одному из компьютеров вышеупомянутой конторы организации.

Особенность вируса такова — себя на Ваше устройство он не копирует (точнее копирует, но очень редко, и видимо лишь какая-то его разновидность), но напакостить успевает.

Вирус скрыл папки и файлы на флешке

Все ниже перечисленные симптомы, могут появиться  как все одновременно, так и некоторые по отдельности:

• Флешка якобы пуста — вы не видите ничего в проводнике.
• На flash-диске не видно ни одного файла, но если посмотреть свойства диска, то становится понятно что он не пуст.
• На диске что-то есть похожее на Ваши папки, и даже выглядит как они, но на самом деле, это EXE-файлы которые открывают «Проводник» Windows. Иногда на папке «Мои документы».
• Вместо Ваших файлов, ярлыки, которые все же открывают Ваши файлы. Ну или не открывают…

Как вылечить флешку от вируса скрывающего файлы

Что делать если с Вами и вашей флешкой случилась такая неприятность.

Совет №1. Ни в коем случае не форматировать флешку.

Ваши данные там, они не испорчены, и мы сейчас их вернем:

Запустите командную строку от имени Администратора. Введите команду

attrib -h -r -s /d /s h:*.*   — где «h:» — буква Вашей флешки.

Данная команда, сделает ваши файлы и папки видимыми.

Давайте рассмотрим, что делает введенная нами команда:

attrib — собственно запускает программу attrib

ключ -h  — очищает атрибут «скрытый файл».

ключ -r  — очищает атрибут файла «только для чтения».

ключ -s  — очищает атрибут «системного файла».

ключ /s — распространяет действие только на файлы.

ключ /d — распространяет действие на каталоги (папки) и файлы. Не работает без /s

После этих действий, ваши файлы и папки станут видны. Вам лишь останется удалить (при помощи поиска) все файлы с расширением *.lnk (ярлыки) и name.exe которые выглядят как ваши папки (где name-имена ваших папок). Если есть файлы, которые не похожи на Ваши — тоже удаляйте.

неОшибка.Ру — не несет ответственности за Ваши действия и возможную потерю информации. Все действия вы производите на свой страх и риск. Вы должны понимать то, что делаете, и к чему это приведет.

Принесли тут на работу флешку. Попросили помочь восстановить данные. На флешке вместо папок ярлыки появились и ничего не открывается. На носителе был вирус, а очень важные документы были в единственном экземпляре только на этой флешке.

Помимо ярлыков на флешке присутствовала папка RECYCLER с файлом e5188982.exe. Присутствовали куча ярлыков с названиями бывших папок. Самих папок не было. Однако объем данных на флешке остался таким же, что был до заражения.

Похожие симптомы уже встречал. Только раньше папки не пропадали. Появлялись только ярлыки с их названиями.

Как и ожидалось, ярлыки вместо папок ссылались на файл e5188982.exe в папке RECYCLER. Ярлык запускал файл на исполнение. При этом так же открывалась нужная папка с файлами. Значит папки на флэшке остались. В  пользу этого варианта говорило и то, что после заражения объем занятого места на флешке не изменился. Папки были скрыты вирусом.

Интересно:  Новогоднее украшение блога — снеговик и сугробы внизу экрана

При включении  пункта «отображать скрытые папки и файлы» папки по прежнему были не видны.  Стали видны только при включении отображения системных файлов. Чтобы открыть нужную папку, пользователь жал на ярлык, запуская тем самым вирус на исполнение. В свойствах ярлыка вместо папки была строка:

[php]%windir%system32cmd.exe /c «start %cd%RECYCLERe5188982.exe &&%windir%explorer.exe %cd%Документы[/php]

Kaspersky Internet Security определил противный вирус в папке RECYCLER, как P2P-Worm.Win32.Palevo.cqim.

Лечение довольно простое. Первым делом удаляем папку RECYCLER с вирусом. При условии, что папка видна. Удаляем левые ярлыки вместо папок. Далее создаем текстовый файл, обзываем как угодно, расширение ставим bat. Содержимое файла:

[php]attrib -S -H /D /S[/php]

Сохраняем файл на флешку в корень. Данная команда сбросит все атрибуты папок. Запускаем на исполнение. Ждем закрытия окна. После окончания работы файла все ваши папки станут видимыми.

Интересно:  Отсутствие некоторых иконок ярлыков панели быстрого запуска windows 10

Если по каким-либо причинам не можете создать файлик, просто скачайте уже готовый файл с текстовыми пояснениями работы.

Вот так очень быстро избавились от вируса, который создает на флешке вместо папок ярлыки. Теперь и вы знаете, как на флешке вместо папок ярлыки появляются. Удачи вам в борьбе со злом.

Хотите в будущем избежать подобных ситуаций? Этот видеокурс поможет вам защитить компьютер.

С уважением Денис Иванов, автор блога dendrblog.ru if(function_exists(‘the_ratings’)) { the_ratings(); } Используемые источники:

• https://www.white-windows.ru/izbavlyaemsya-ot-virusa-prevrashhayushhego-fajly-na-fleshke-v-pustye-yarlyki/
• https://neoshibka.ru/virus-skryl-papki-na-fleshke-reshenie-problemy/
• https://dendrblog.ru/raznoe/yarlyiki-vmesto-papok-na-fleshke.html