Как избавиться от вируса ярлыка с флешки

Борьба с вирусом на флешках «Вместо папок — ярлыки»

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».

Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

• cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
• attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: Bat файл для смены атррибутов.

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

• сносим Windows (1,5-2 часа, самый быстрый способ);
• устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
• записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Оболочкой где подгружены практически всё что нужно для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не важно какая у вас операционка стоит хоть ЛИНУКС данный способ использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»

Источник

Как удалить вирус создающий ярлыки на флешке? 6 методов удаления вирусов

Добрый день, друзья. Как удалить вирус создающий ярлыки на флешке? Как можно провести восстановление информации, которая была потеряна из-за функционирования данного вредителя? Все ваши элементы, в том числе и папочки стали на флешь карте ярлыками? Вы применяете антивирусное ПО, но ПК всё-таки умудрился заразиться. Сожалею, но не каждый антивирус сможет сберечь ваш компьютер от подобного вредоносного ПО.

Но, данный вредитель не такой коварный, как, к примеру, вирус шифровальщик. Этот вариант вируса можно назвать более безобидным, и вы без особых усилий сумеете произвести восстановление информации и деинсталлировать данного вредителя.

Также, хочу добавить, если вы не можете сразу отличить обычную папочку, от папки ярлыка то сделать это довольно просто. У ярлыков имеется небольшая скруглённая стрелка в нижнем левом углу. У обычных папочек подобной стрелки нет.

Поэтому, если вы вставили флешку и заметили, что все папки на ней имеют скруглённые стрелки внизу, то скорее всего это зараженные ярлыки и кликать по ним нельзя.

Виды вредительского ПО ярлыков

На данный момент более других распространились два типа вредоносных ПО, которые могут создать ярлыки: одни занимаются созданием ярлыков, заменяя файлы и папки на флешь карте, иные делают ярлыки внешних дисков и прочих съёмных накопителей.

Подобные вирусы носят следующие названия:

Удаляем вирусы с помощью программы Malwarebytes

Данное вредительское ПО, копирует папочки с файлами и после этого, прячет их. Далее, своими клонами подменяет папки оригиналы. Вредитель является комбинацией вируса трояна с червём. Угроза находится в том, что пользователь производит запуск данного трояна всякий раз, как только кликнул по зараженному файлу с папочкой.

Когда вы запустите данный троян, он начинает копировать себя, тем самым всё больше распространяясь по вашему компьютеру. Кроме этого, частенько устанавливает вредоносную программу шпион, которая ищет ваши данные о пластиковых карточках, паролях и прочей личной информации, которая сохранена на вашем ПК.

Вредитель, который преобразует флешки со съёмными носителями в ярлыки

Данный вредитель является чистым трояном, скрывающим почти все внешние накопители, которые подключены к ПК и подменяет их на ярлыки данных приборов. Всякий раз, как только вы нажмёте на данный ярлык, вы вновь произведёте запуск данного трояна. После этого, вирус начнет поиск на этом ПК данные о финансах и отошлет эту информацию злоумышленникам.

Что можно сделать, если флешка заражена?

Я уже упоминал, что не каждый из антивирусов сможет оперативно найти угрозу и произвести защиту компьютера или съёмного диска. Отсюда, лучшей защитой является не производить запуск внешних накопителей и не нажимать на ярлыки, диски, или файлы с папками, внизу которых стоит стрелка. Стоит быть осторожным и не нажимать на ярлык, если вы его не сделали сами. Лучше нажать на него правой клавишей мышки и выбрать «Развернуть».

Как восстановить удаленную информацию трояном?

Если вы желаете произвести восстановление информации, которую удалил данный вредитель, нужно применить программу Hetman Partition Recovery . Так как данный софт применяет низкоуровневую опцию в работе с накопителем, данный софт обогнёт блок трояна и сможет прочитать вашу информацию.

Скачиваем и устанавливаем софт. Затем, нужно проанализировать съёмный носитель, который подвергся заражению.

Важно: нужно восстановить данные перед очисткой флешки от вредителя.

Также, отличным вариантом удаления вируса с внешнего носителя является команда DiskPart. Она позволит деинсталлировать все данные с носителя.

Удаляем вирус с флешь карты или внешнего диска

Когда вы восстановили информацию с флешь карты, то теперь настала очередь с данного накопителя удалить всю информацию, используя программу DiskPart. Деинсталляция каждого элемента с форматированием накопителя не сможет полностью убрать троян. Этот вредитель может спрятаться в секторе загрузки, может скрыться в таблицу разделов и незамеченную часть диска.

Удаляем вирус со съёмного накопителя используя командную строку

Этот метод не может с гарантией произвести очистку съёмного накопителя от каждого вируса. Но, он удалит трояна, создавшего ярлык из простого файла. Производить данную операцию мы будем с использованием командной строки:

В поисковую строку введём cmd. По открывшемуся файлу кликнем правой клавишей мышки и в ниспадающем меню выбираем «Запуск от имени администратора»;

Затем, в командной строке нужно ввести букву f: и нажать «Ввод» (f – обозначает букву имя флешь карты, которая заражена вредоносным ПО);

Далее, вводим в командную строку следующее сочетание: attrib f:*.* /d /s -h -r –s и нажимаем «Ввод»:

• — h: поможет нам увидеть скрытые элементы съёмного носителя;
• — r: поможет убрать настройку «только чтение»;
• — s: уберёт настройку «Системный» с каждого файла.

Самым лучшим методом является новая установка Виндовс на диск С, с форматированием перед этим (форматирование перед установкой необходимо делать в любом случае, чтобы у вас не добавлялась старая система old к новой). Но, при этом способе вам придётся заново устанавливать все программы и прочее.

Также, если вы до этого создавали резервную копию, я бы порекомендовал провести бекап. Самый удобный метод создания резервной копии ОС с помощью программы AOMEI. Но, я подозреваю, что вы копию системы не создавали. Поэтому, мы пойдём другим путём.

Если вы немного разбираетесь в Windows, тогда мы применим другой метод.

Удаляем вирус через реестр

Мы выключим запуск трояна во время загрузки ОС через реестр. Итак, кликнем по кнопочкам Win+R и в возникшее окошко нужно вставить следующее сочетание regedit и кликнуть по кнопочке «Ввод». Вот наш адрес в реестре к искомому элементу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.

Затем, нужно внимательно просмотреть все данные ключи, находящиеся в этой вкладке. Если вы заметите имя ключа, состоящее из абракадабры, вроде OqTCNHcNjlf или что-то в этом роде, нужно удалить данную строку. Для этого, кликнем по ключу правой клавишей мышки и в ниспадающем меню выбираем «Удалить»;

Все ключи, запускающие форматы VBS, INI, LINK или EXE являются потенциально опасными. Но, лишь сам пользователь в курсе, какой софт он устанавливал на ПК и он должен знать, какая программа должна запускаться вместе с ОС. Отсюда, сам пользователь решает, удалять ключ или нет.

Удаляем вредителя через службы конфигурации системы

• Для этого, кликнем по клавишам Win+R и в возникшем окошке вводим сочетание msconfig и кликнем по кнопочке ОК;
• У нас открывается окошко, где нам нужно выбрать меню «Службы». Далее, нам необходимо все их просмотреть, и выключить каждую подозрительную. Для этого кликнем по подозрительной строке правой клавишей мышки и выберем «Отключить».

Удаление вируса через «Диспетчер задач»

Для этого, нужно отключить программы, которые запускаются, автоматически используя «Диспетчер задач». Нажмем сразу на 3 клавиши Ctrl + Shift + Esc. После этого, переходим в данное окно. В меню нужно выбрать «Автозагрузка». Для этого, нажмём на подозрительную строку и внизу окна выберем «Отключить».

Вывод: я показал несколько методов, как удалить вирус создающий ярлыки на флешке? Выбираем понравившийся и используем его. Главное, во время очистки диска, не перепутайте его, иначе вы найдёте себе новую проблему в виде восстановления данных с диска. Успехов!

Источник