composs.ru

Флешка открывается как ярлык windows 10. Вирус создаёт ярлык флешки на флешке

Флешка открывается как ярлык windows 10. Вирус создаёт ярлык флешки на флешке

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Соображения по защите

Когда приносят флешку с ярлыком в корне, нужно

1. скопировать run.bat в корень флешки и запустить;
2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
4. теперь осталось удалить с корня все файлы, кроме этой папки.
5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Помогла программа UsbFix (ССЫЛКА_УДАЛЕНА) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Осторожно, вычищает всё ненужное из автозагрузки.

Ситуация выглядит так: на флешке были папки, но они чудесным образом превратились в ярлыки, т.е. в файлы с расширением lnk. При попытке открыть такой файл появляется сообщение:

В данном случае «Q» — это имя съемного диска (флешки), у вас оно может быть другое. Ярлык направляет нас в папку с исполняемым файлом (расширение exe), которые является вирусом.

Что именно произошло: в результате действия вируса, всем папкам были присвоены атрибуты «системный» и «скрытый», т.е. они остались на флешке, но мы их не можем увидеть используя графический интерфейс Windows. Вместо папок появились ярлыки с одноименными названиями ведущими на файл с вирусом.

Что делать, если папки превратились в ярлыки? Пошаговая инструкция.

В Интернете мне попался вариант решения проблемы путем изменения атрибутов папок (по сути дела папка — это файл) при помощи командной строки. Для тех пользователей, которые не дружат с командной строкой, предлагаю альтернативный способ — воспользовался для этих целей файловым менеджером FAR Manager. Этот менеджер всегда удобно иметь под рукой и мы его уже использовали при редактировании файла hosts (Видео Не могу зайти в одноклассники. Решение проблемы).

Шаг 1. Проверяем флешку на наличие вирусов. Я проверял при помощи антивируса AVAST 4.8 Professionl. Все «левые» ярлыки от удалил, сообщив, что это троян LNK.

Avast удалил все «левые» ярлыки

Если ваш антивирус оставить ярлыки папок на месте — удалите их самостоятельно, они не нужны.

Шаг 2. Загружаем FAR Manager , распаковываем архив и запускаем файл Far.exe;

Шаг 3. Переходим на съемный диск (флешку). Для выбора диска воспользуйтесь клавишами Alt + F1 ;

Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «исчезнувшие» папки.

Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «потерянные» папки

Шаг 4. Чтобы не менять атрибуты у каждой папки по отдельности, велите их все сразу: выделите сперва первый файл из списка, а потом нажмите клавишу Insert на клавиатуре и держите до тех пор, пока не выделятся имена всех интересующих нас файлов желтым цветом.

Выделение группы файлов в FAR Manager

Шаг 5. Нажмите на клавиатуре клавишу F4 (либо кнопку Edit в FAR). В открывшемся меню уберите знаки (знак вопроса, крестик) в пунктах:

Если вы все сделали правильно, цвет имен файлов изменится с темно-синего на белый.

После изменения атрибутов, цвет имен папок стал белым

Теперь можно зайти на флешку из под Windows и убедиться, что все отображается без проблем.

После изменения атрибутов, все папки стали вновь доступны

Советую держать файловый менеджер FAR Manager всегда под рукой, так он позволит, в случае необходимости, обойти ограничения Windows на изменение файлов.

Как вы понимаете, при помощи FAR Manager можно проделать и обратную процедуру, т.е. скрыть свои файлы на флешке от неопытных пользователей.

В заключение хочу сказать спасибо программисту Евгению Рошалю, который создал FAR Manager и хорошо всем известный архиваторы RAR и WinRAR.

Евгений Мухутдинов

Первая группа будьте внимательны в будущем. Не разбрасывайте флешку направо и налево. На данный момент Ваш компьютер чист от вируса, поэтому чтение остального материала для Вас необязательно. Вторая группа — читаем дальше, если хотим удалить вирус, превративший содержимое флешки в ярлыки.

Удаление вируса будет состоять из двух направлений атаки:

• Удаление вируса с компьютера.
• Удаление вируса с флешки.

Один из этих вирусов активен, другой нет. Для начала разберемся с активным, потому что он постоянно будет втыкать палки в колеса. Можете почитать мою статью про то, как удалить вирусы , там довольно доступно объясняется процесс удаления вирусов, который можно и нужно применять в данном случае. Так же, Вы можете поискать вирус во вкладке Процессы окна Диспетчер задач. Процесс данного вируса носит довольно нечленораздельное название. В ней нет логики, это простая абракадабра. Можете узнать месторасположение данного файла. Дальше так же есть два способа действия:

• Вы уверены в том, что это вирус. В таком случае остановите данный процесс и удалите вирус.
• Вы не уверены в том, что это вирус. В таком случае остановите процесс.

Далее флешку, содержимое

www.nexxdigital.ru

Ответы@Mail.Ru: Вирус: ярлык флешки в флешке

Этот ярлык открывает вредоносный файл, содержащийся в свойствах, а потом уже папку с файлами. Принцип его действия заключается в том, что зараженная флешка создает ярлык самой себя (указывая при этом, что место расположения файлов — rundll32.exe), куда помещает все файлы. Причем, с первого взгляда может показаться, что это обычный глюк, и можно просто извлечь файлы из «ярлыка», сам ярлык удалить, и проблемы закончатся.. . хотя файлы никуда не деваются, и особых трудностей в работе с флешкой не возникает.. .Но, при подключении к компьютеру скрипт вируса записывается в систему, и создает опасную среду для заражения других флешек, попутно «создавая» пару-тройку backdoor’ов. P.S. Интересно, но вирус распространяется только (!) через флеш-накопители. Лечение: Подключите флешку в USB-выход, и откройте командную строку. Далее следует прописать следующие команды: cd /d X: (где X: — буква каталога, которой обозначается подключенная флешка) ; attrib -s -h -a -r /s /d *.* (да-да *.* тоже нужно прописывать) . Теперь, открыв флешку Вы можете лицезреть все скрытые файлы: <img src=»//otvet.imgsmail.ru/download/dcabe5c160c2f5d8f33ddede0e0537f2_i-144.jpg» > Удалите все файлы, за исключением файла autorun.inf. Теперь открываем программу Process Explorer (если у Вас ее нет — можете скачать <a rel=»nofollow» href=»http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx» target=»_blank» >тут</a>).У некоторых могут возникнуть проблемы с правами, поэтому сразу выполнить операцию «File — Show Details for All Processes». Теперь зажмите комбинацию клавиш Ctrl+L (откроется окошко внизу, где показываются все процессы) . Теперь нужно найти файл autorun.inf (можно вручную — процесс находится в ветке svchost, а можно через Ctrl+F). <img src=»//otvet.imgsmail.ru/download/dcabe5c160c2f5d8f33ddede0e0537f2_i-145.jpg» > Теперь кликаем правой кнопкой мыши по процессу, и выбираем функцию Close handle (процесс должен быть закрыт без всяких возражений) . Затем нужно удалить файл autorun.inf на самой флешке. Далее идем в папку Temp (находится по адресу C:\users\%username%\AppData\Local\Temp), и ищем странный файл. Он имеет расширение .pif, и его можно найти с помощью поиска или вручную; его, также, нужно удалить (хотя проще удалить все из папки Temp — все-равно вреда не будет) . Все. Теперь, если Вы все верно сделали (по идее) — Ваш ПК очищен от этой гадости. P.S. Лично я после очистки перезагрузил ноутбук, и проверил двумя флешками — вроде-бы все нормально. P.P.S. Можно, также, после очистки сделать проверку системы CureIT’ом — так, на всякий случай. Upd 1. Вирус может глубоко засесть в реестре, и «терроризировать» Вас даже после проведенной процедуры лечения. Что-бы избавится от него раз и навсегда проведите следующую операцию: в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load реестра найдите и удалите ссылку на данный файл. Например, у меня параметр со ссылкой имел вид: <img src=»//otvet.imgsmail.ru/download/dcabe5c160c2f5d8f33ddede0e0537f2_i-147.jpg»> ОБЯЗАТЕЛЬНО AVIRA и CUREIT СКАНИРУЙТЕ!

Попробуйте поменять АНТИВИРУС, раз такая ситуация. Например: <a rel=»nofollow» href=»http://kaspersky.yandex.ru/» target=»_blank» >Антивирус Касперского Скачать Яндекс-версию бесплатно на 6 месяцев</a>

Вот тут kingslon.ru/virus-sozdal-yarlyk-fleshki-na-fleshke/ все хорошо расписано + есть батник который копируете на флешку и восстанавливаете файлы

вышеуказанный способ не работает

такая же фигня. Походу их несколько вариантов. Так как у меня другие файлы.

не работает ваш способ

touch.otvet.mail.ru

Открыли флешку, а там вместо Ваших документов одни ярлыки?

На флешке ярлыки вместо папок

Данная неприятная ситуация достаточно распространена нынче. От переносных носителей отбоя нет. А люди не сильно заморачиваются насчет антивирусов. Идеальные условия для маленького, но очень неприятного вируса. Действительно, ведь если кто-то увидит на флешке ярлыки вместо папок, то он вряд ли обрадуется. Наоборот, пользователь начнет ругаться с тем, у кого он побывал с флешкой или кому он эту флешку отдавал. Но криком делу не поможешь.

А так же не поможешь кликами по содержимому больной флешки. Запомните, если Вы встретили такой вирус, не трогайте ничего из того что видите! Ничего не открывайте и не запускайте! И еще, не паникуйте зря, Ваши документы в целости и сохранности. Научимся же тому, как вытащить свои документы на свет и избавиться от вируса.

Что не нужно делать, если вместо ваших файлов вы видите ярлыки

Кстати, почему нельзя запускать ярлыки и приложения, которые находятся на флешке? Все довольно просто. Если Вы запустите ярлык, то Вы перед собой увидите ту папку, имя которой оно носит. А в папке будет все Ваши документы. Вроде бы проблема решена, но не все так просто. В данных ярлыках установлен двойной запуск. Первый из них запускает папку, на которую ссылается ярлык. А вот второй, незаметно для пользователя, запускает тело самого вируса. То что у Вас на флешке одни ярлыки, вовсе не говорит о том, что вирус на Вашем компьютере. Ну а если Вы открыли ярлык или запустили приложение, поздравляю, теперь вирус и на Вашем компьютере. Дело усложнилось.

Избавляемся от ярлыков на флешке

Вернуть Ваши файлы не стоит особого труда. Для этого Вам нужно узнать, какая буква получена Вашей флешкой, на которых все файлы превратились в ярлыки. Узнать это Вы сможете в окне Мой компьютер. Указывается она в скобках после имени флешки. Узнав и запомнив букву диска, открываем командную строку. Вводим следующие команды:

f:

 attrib -s -h /d /s

Первая команда переводит нас в корень флешки. Буква f, в зависимости от буквы Вашей флешки, может быть другой. Вторая команда снимает атрибуты «скрытый» и «системный» со всех файлов на флешке(Так же можете более подробно почитать про команду attrib). Благодаря этим атрибутам Вы и не видели свои файлы, но видели созданные ярлыки, которые были лишены этих атрибутов. Теперь, Вы можете заглянуть в свою флешку и убедиться в том, что Ваши файлы в сохранности. Все остальные ярлыки можете удалить. Но я посоветую не делать этого. Пока что.

Удаляем вирус, который на флешке превращает папки в ярлыки

Нам нужно удалить вирус. Если Вы не успели кликнуть ни по одному ярлыку, то Вы не подхватили вирус с флешки. Но возможно и то, что он у Вас уже был на компьютере, а флешка была чиста. Самый лучший способ проверить, есть ли на компьютере вирус, это, после тех двух команд, удалить все лишние ярлыки с флешки. После чего отключить флешку и заново подключить. Тут возможно два варианта:

• Флешка чиста от ярлыков, и это значит что вируса на компьютере нет.
• Флешка снова в ярлыках — вирус сидит в Вашем компьютере.

Первая группа будьте внимательны в будущем. Не разбрасывайте флешку направо и налево. На данный момент Ваш компьютер чист от вируса, поэтому чтение остального материала для Вас необязательно. Вторая группа — читаем дальше, если хотим удалить вирус, превративший содержимое флешки в ярлыки.

Удаление вируса будет состоять из двух направлений атаки:

• Удаление вируса с компьютера.
• Удаление вируса с флешки.

Один из этих вирусов активен, другой нет. Для начала разберемся с активным, потому что он постоянно будет втыкать палки в колеса. Можете почитать мою статью про то, как удалить вирусы, там довольно доступно объясняется процесс удаления вирусов, который можно и нужно применять в данном случае. Так же, Вы можете поискать вирус во вкладке Процессы окна Диспетчер задач. Процесс данного вируса носит довольно нечленораздельное название. В ней нет логики, это простая абракадабра. Можете узнать месторасположение данного файла. Дальше так же есть два способа действия:

• Вы уверены в том, что это вирус. В таком случае остановите данный процесс и удалите вирус.
• Вы не уверены в том, что это вирус. В таком случае остановите процесс.

Далее флешку, содержимое которого превратилось в одни ярлыки, необходимо почистить способом, который обсуждался выше. И еще раз прошу, не трогайте ни один ярлык, иначе вся операция пойдет насмарку. После этого выньте и заново подключите флешку. Если Вы не видите в ней ярлыков и всё вроде бы чётко, значит Вы сделали все правильно.

Удаляем вирус из автозагрузки

Но расслабляться рано. Те, кто просто остановил процесс, должны перейти в папку, где находится вирус и удалить его. Так же нужно зачистить автозагрузку. Как это нужно сделать можно узнать из той же статьи про то, как удалить вирус. Почистить автозагрузку компьютера необходимо и для первой, и для второй группы.

Проделав это, я обычно перезагружал компьютер. Потом снова перепроверял флешку — появятся ли ярлыки или нет. Рекомендую Вам поступать так же.

Почему такие вирусы редко замечают антивирусы?

Многие, увидев такие ярлыки, пытаются просканировать компьютер и флешку с помощью антивируса. Но, в основном, это безрезультатно. Почему? Потому что тело вируса, который превращает папки в ярлыки — это обычный bat-файл, который содержит в себе команды, которые пользователь может выполнить как в графическом интерфейсе, так и в консоли. А антивирус не должен мешать пользователю работать. И bat-вирусы как раз-таки и подпадают под это правило. Определить что внутри bat-файла — нежелательный код или безобидные команды — довольно тяжело. Убедиться в этом можно на собственном опыте, если попробовать создать обычный bat-вирус.

Если Вы пострадали от данного вируса и хотите, чтобы никакую больше флеш-карту нельзя было бы подключить к компьютеру, можно закрыть доступ для чтения с внешних носителей.

about-windows.ru

Вирус который на флешке делает файлы ярлыками

Вирус который делает папки на флешке ярлыками, а сами папки становятся скрытыми.  Это встречается  довольно часто.

Открывать такие ярлыки не в коем случаи нельзя. В ярлыках записано по две команды, первая – запуск и установка вируса в ПК, вторая – открытие Вашей папки. Открыв такой ярлык вы  заразите компьютер этим вирусом.

Но не стоит паниковать. Этот вирус можно удалить. Все файлы на флешке можно восстановить. И так все по порядку.

  Для начало необходимо  отобразить файлы на флешки

На самом деле все Ваши файлы не пропали. Вирус сделал файлы невидимыми (скрытыми) и на них сделал ярлыки. Открыть ваши скрытые файлы просто для этого нужно:

Если у вас Windows XP, то заходим в «Мой компьютер» → в верхнем меню выбираем «Сервис» → затем «Свойства папки» . В появившемся окне выбираем вкладку «Вид». На вкладке «Вид»  ищем пункт «Скрывать защищенные системные файлы (рекомендуется)» и снимаем галочку.  Далее в пункте «Показывать скрытые файлы и папки» ставим галочку.

Если у Вас Windows 7, то нужно нажать кнопку «Пуск» (в левом нижнем углу) и выбрать «панель управления». В панели управления выбираем пункт «Оформление и персонализация» → «Параметры папок». В появившемся окне выбираем вкладку «Вид». На вкладке «Вид»  ищем пункт «Скрывать защищенные системные файлы (рекомендуется)» и снимаем галочку.  Далее в пункте «Показывать скрытые файлы и папки» ставим галочку.

 Удаляем вирус из флешки

Флешка зараженная вирусом выглядит так:

Для того, чтобы узнать где находится вирус, нужно:

• правой кнопкой мыши нажать на любой ярлык на флешки
• выбрать свойства

В строке «Объект» будет прописан двойной запуск — первый открывает Вашу папку, а второй — запускает вирус.

Строка очень длинная, но в ней легко можно найти путь к вирусу. Чаще всего вирус представлен такого типа 12651515.exe (название может быть любым), который в основном находиться в папке Recycle. В этом примере строка двойного запуска выглядит так:

«%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»

Отсюда мы видим что вирус находиться в папке RECYCLER и называется 6dc09d8d.exe. (%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support)

Удаляем из флешки папку вместе с вирусом.  После этого запуск любого ярлыка не опасен.

 Восстанавливаем файлы на флешке

Теперь смело удаляем все ярлыки. Но наши файлы по прежнему являются скрытыми и системными (они прозрачные). Просто так эти атрибуты не убрать. Для восстановления начальных атрибутов нашим файлам существует несколько способов:

 Первый способ

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

• cd /d f:\  нажать ENTER,  где f:\ — это буква нашей флешки (может отличатся от примера)
• attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

 Второй способ

1. Создать текстовый файл на флешки.

2. Записать в него команду attrib -s -h -r -a /s /d , переименовать файл в 1.bat и запустить его.

3. Скачать файл сброса атрибута.  Распакуйте архив → скопируйте файл «1.bat» на флешку → запустите этот файл. Если файлов на флешке много, то процесс снятия атрибутов может затянутся до 15 минут.

Для предотвращения заражения вирусами настоятельно рекомендуем пользоваться антивирусными программами. Проверьте компьютер на вирусы. После подключения флешки проверяйте ее на вирусы. Проверить флешку можно антивирусом «Касперский». Как пользоваться Касперским легально и бесплатно можете прочитать в этой статье Журнальные ключи для Касперского 2017

Видео: Файлы на флешке стали ярлыками, как исправить?

Смотрите также:

7sof.ru

Папки на флешке стали ярлыками

Опубликовано: 12.01.2013

Очень часто мне приходится использовать свою флешку на множестве разных компьютеров. В последнее время я вставлял ее куда попало 🙂 И вот вчера, воткнув флешку в usb-разъем своего компьютера, я неожиданно обнаружил, что все папки на ней превратились в ярлыки:DrWeb нашел на флешке вирус и удалил его, но папки так и остались ярлыками.
Если и с вами вдруг произошла такая ситуация – не паникуйте и ни в коем случае не форматируйте флешку. Все ваши данные можно спасти. Дело в том, что флешка была заражена вирусом, который задает папкам атрибуты: скрытый, архивный. Нам просто нужно снять эти атрибуты. Это очень легко сделать с помощью файлового менеджера Total Commander.

Запускаем программу и в ней переходим на нашу флешку. Мы увидим на ней папки с восклицательным знаком – это и есть скрытые папки (если вдруг на флешке нет таких папок – тогда в TC в строке меню выберите “Конфигурация” – “Настройка” – “Содержимое панелей” – поставьте галку в пункте “Показывать скрытые/системные файлы (только для опытных!)” – нажмите “ОК”).

Выделяем эти скрытые папки (например, клавишей Insert). Идем в “Файлы” – “Изменить атрибуты”. В открывшемся окошке снимаем все атрибуты. Должно быть вот так:Нажимаем “ОК”.

После того, как увидите ваши папки в том виде, в котором они были до заражения флешки – ярлыки можете удалить.

Если вы догадываетесь на каком именно компьютере подцепили эту заразу – проведите его полную проверку антивирусом с обновленными базами. Если по каким-то причинам запустить проверку антивирусом вы не можете – поищите вирус вручную в следующих папках:

Для Windows 7 в: C:\users\Имя пользователя\appdata\roaming.
Для Windows XP в: C:\Documents and Settings\Имя пользователя\Local Settings\Application Data.
Вирус будет представлять собой файл с расширением .exe. Если найдете такой – обязательно удалите.

Свой собственный компьютер также можете проверить. Хотя лично у меня, DrWeb обнаружил вирус сразу, как только я воткнул флешку и тут же расправился с ним.

blogsisadmina.ru