На флешці всі файли стали ярликами: як виправити і видалити вірус?

УВАГА! Ні в якому разі не відкривайте якісь ярлики або файли на флешці - ви можете запустити вірус на свій ПК.

Всім привіт! Сьогодні зіткнувся з такою проблемою - відкриваю я флешку, а на ній замість файлів ярлики. Відразу виникло питання: а як це можна вилікувати, і чи є ймовірність повернути пошкоджені дані. Спочатку навіть злякався небагато, оскільки на флешці були дуже важливі документи і фотографії з відео. Але в підсумку мені вдалося їх відновити, і зараз я розповім - як у мене це вийшло.

Як я і здогадувався, якщо всі файли або папки на флешці стали ярликами, то значить там попрацював вірус, і причина може бути тільки в цьому. Може спостерігатися зникнення деяких тек, також обсяг самої флешки і зайнятої пам'яті не змінюється і залишається на колишньому рівні. Також у деяких з них можуть з'явитися інші файли і теки з розширенням «lnk».

Різновиди вірусів ярликів

На сьогодні найбільш поширені 2 типи вірусів, що створюють ярлики: перші створюють ярлики замість файлів і папок на флешці або карті пам'яті, інші створюють ярлики знімних дисків замість самих флешок, зовнішніх USB дисків і карт пам'яті.

Назви найбільш поширених вірусів:

• Shortcu;
• Mal/Bundpil-LNK;
• CPL;
• Shortcut;
• Troj/Agent-NXIMal/FakeAV-BW;
• Generic.7206697 (B);
• VBS.TTE (B);
• VBS.TTE;
• Agent-35;
• Serviks;
• VBS/Autorun.EY worm;
• VBS/Autorun.worm.k virus;
• VBS/Canteix.AK;
• VBS/Worm.BH;
• Exploit.CVE-2010_2568-1;
• Trojan.Starter-2;
• W32/Sality.AB.2;
• Win32/Ramnit.A virus;
• Worm:VBS/Cantix.A;

Вичищаємо заразу остаточно!

Для початку треба остаточно переконатися, що вірусу немає ні на комп'ютері, ні на USB-диску. Для цього оновлюємо бази антивірусної програми і перевіряємо спочатку одне, потім інше. Якщо у Вас її немає - наполегливо рекомендую його встановити. Наприклад, відмінно себе зарекомендував безкоштовний антивірус Касперського. Так само можна скористатися одноразовим сканером DrWeb CureIT. Після цього треба зайти в панель керування Windows і відкрити розділ «Параметри тек». У вікні, що відкрилося, переходимо на вкладку «Перегляд»:

Тут необхідно зняти галочки «Приховувати захищені системні файли» та «Приховувати розширення для зареєстрованих типів файлів». А ось «Показувати приховані файли, теки та диски» треба навпаки поставити. Це робиться для того, щоб побачити все, що шкідлива програма могла приховати від користувача. Наступним кроком потрібно буде вручну підчистити залишки життєдіяльності зловреда. Обов'язково перевірте щоб на флешці не залишилося файлу сценарію автозапуску - autorun.inf. Потім варто видалити теку RECYCLER (до речі, в ній-то зазвичай EXE-шник вірусу і лежить). На жорсткому диску треба звернути увагу на теки користувачів, а особливо - на C:\ Users\< <  Користувач > >\Appdata\Roaming\. Саме сюди намагається ховатися всяка зараза, а тому в ній не повинно бути виконуваних файлів з розширення * .EXE і * .BAT.

Відновлення даних віддалених вірусом

Для надійного відновлення даних вилучених таким типом вірусів використовуйте Hetman Partition Recovery. Оскільки програма використовує низькорівневі функції по роботі з диском, вона обійде вірусне блокування і прочитає всі ваші файли.

Завантажте і встановіть програму, потім проаналізуйте заражену флешку або карту пам'яті. Проведіть відновлення інформації до очищення носія від вірусу. Найбільш надійним варіантом лікування буде очищення флешки за допомогою команди DiskPart, це видалить всю інформацію на ній.

Перевірка системи на наявність команд автозапуску вірусу

У деяких випадках віруси прописують себе в автозапуск системи. Перевірте руками такі гілки реєстру (regedit.exe) на наявність підозрілих записів:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - ці програми запускаються при завантаженні комп'ютера
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - програми, що автоматично запускаються під час входу до поточного користувача

Вилучіть всі підозрілі записи і незнайомі програм (нічого поганого ви не зробите, і якщо навіть ви відключите автовантаження якоїсь потрібної програми, ви зможете завжди запустити її вручну після входу в систему).

Інші способи автозапуску програм у системі описано в статті Управління автозапуском програм у Windows 8.

Вилучення вірусу з флешки за допомогою командного рядка

Цей спосіб не дозволяє гарантовано очистити флешку від усіх видів вірусів, але зможе видалити вірус, який створює ярлики замість файлів. Вам не потрібно буде завантажувати і встановлювати сторонні утиліти, видалення проводиться за допомогою вбудованого в будь-яку версію Windows інструменту.

1. Клацніть правою кнопкою миші за пунктом меню Пуск

вирізайте командний рядок від імені адміністратора.

• Введіть команду f:

і натисніть Enter (де f - це буква флешки зараженої вірусом).

• Введіть команду: attrib f:*.* /d /s -h -r –s

і натисніть Enter:

1. –h: показує всі приховані файли на флешці;

–r: прибирає параметр тільки для читання;

• –s: прибирає системний параметр з усіх файлів.

Лікування флешки одним BAT-файлом

Якщо лінію виконувати все перераховане вище, можна створити файлик, який все це буде робити за вас. Для цього:

1. На стільниці або в будь-якій іншій області комп'ютера клацніть правою кнопкою миші та створіть текстовий файл.
2. Назвати його можете як завгодно - це не має значення. Зайдіть тепер всередину і пропишіть 4 рядки:

attrib -s -h /s /d rd RECYCLER /s /q del autorun.* /q del *.lnk /q

3. Натисніть «Файл» та «Зберегти».
4. Тепер закрийте його, клацніть правою кнопкою і виберіть «Перейменувати».
5. Замість «txt» впишіть «bat». Крапка перед цим обов'язково повинна стояти. Підтвердіть зміну, натиснувши «Так».

Тепер він перетворився на файлик, який запускається BAT. Щоб активувати його, натисніть подвійне клацання лівою кнопкою миші. Після цього через консоль він виконає всі ті ж самі дії, що ви робили трохи раніше: робимо теки видимими, видаляємо теку з вірусом і ярлики.

ПРИМІТКА! Якщо цей спосіб не допоміг, то швидше за все тека у вірусу називається якось по-іншому, тому потрібно використовувати ручне видалення.

Що робити, якщо теки перетворилися на ярлики? Покрокова інструкція.

В Інтернеті мені трапився варіант вирішення проблеми шляхом зміни атрибутів тек (по суті справи тека - це файл) за допомогою командного рядка. Для тих користувачів, які не дружать з командним рядком, пропоную альтернативний спосіб - скористався для цих цілей файловим менеджером FAR Manager. Цей менеджер завжди зручно мати під рукою і ми його вже використовували при редагуванні файлу hosts (Відео Не можу зайти в однокласники. Вирішення проблеми).

Крок 1.

Перевіряємо флешку на наявність вірусів. Я перевіряв за допомогою антивірусу AVAST 4.8 Professionl. Всі «ліві» ярлики від видалив, повідомивши, що це троян LNK.

Avast видалив всі «ліві» ярлики

Якщо ваш антивірус залишити ярлики тек на місці - видаліть їх самостійно, вони не потрібні.

Крок 2.

Завантажуємо FAR Manager, розпаковуємо архів і запускаємо файл Far.exe;

Крок 3.

Переходимо на знімний диск (флешку). Щоб вибрати диск, скористайтеся клавіш  Alt + F1;

Всі приховані системні файли (ліва панель) виділені темно-синім кольором - це і є наші «зниклі» теки.

Всі приховані системні файли (ліва панель) виділені темно-синім кольором - це і є наші «втрачені» теки

Крок 4.

Щоб не змінювати атрибути кожної теки окремо, наказуйте їм одразу: виберіть перший файл зі списку, а потім натисніть клавішуInsert на клавіатурі і тримайте до тих пір, поки не виділяться імена всіх цікавих для нас файлів жовтим кольором.

Вибір групи файлів у FAR Manager

Крок 5.

Натисніть клавішу F4 (або кнопку Edit у FAR). У відкритому меню приберіть знаки (знак питання, хрестик) у пунктах:

Якщо ви все зробили правильно, колір імен файлів зміниться з темно-синього на білий.

Після зміни атрибутів колір імен тек став білим

Тепер можна зайти на флешку з під Windows і переконатися, що все відображається без проблем.

Після зміни атрибутів всі теки знову доступні

Раджу тримати файловий менеджер FAR Manager завжди під рукою, так він дозволить, у разі необхідності, обійти обмеження Windows на зміну файлів.

Як ви розумієте, за допомогою FAR Manager можна виконати і зворотну процедуру, тобто приховати свої файли на флешці від недосвідчених користувачів.

На закінчення хочу сказати спасибі програмісту Євгену Рошалю, який створив FAR Manager і добре всім відомий архіватори RAR і WinRAR.

Євген Мухутдінов

Перша група будьте уважні в майбутньому. Не розкидайте флешку направо і наліво. На даний момент Ваш комп'ютер порожній від вірусу, тому читання решти матеріалу для Вас необов'язково. Друга група - читаємо далі, якщо хочемо видалити вірус, що перетворив вміст флешки на ярлики.

Видалення вірусу складатиметься з двох напрямків атаки:

• Вилучення вірусу з комп'ютера.
• Вилучення вірусу з флешки.

Один з цих вірусів активний, інший немає. Для початку розберемося з активним, тому що він постійно буде втикати палиці в колеса. Можете почитати мою статтю про те, як видалити віруси, там досить доступно пояснюється процес видалення вірусів, який можна і потрібно застосовувати в даному випадку. Так само, Ви можете пошукати вірус у вкладці Процеси

вікна Менеджер завдань. Процес даного вірусу носить досить нечленодільну назву. У ній немає логіки, це проста абракадабра. Можете дізнатися місце розташування цього файла. Далі так само є два способи дії:

• Ви впевнені в тому, що це вірус. У такому випадку зупиніть цей процес і видаліть вірус.
• Ви не впевнені в тому, що це вірус. У такому випадку зупиніть процес.

Далі флешку, вміст якого перетворився на одні ярлики, необхідно почистити способом, який обговорювався вище. І ще раз прошу, не чіпайте жоден ярлик, інакше вся операція піде на марку. Після цього вийте і знову з'єднайте флешку. Якщо Ви не бачите в ній ярликів і все в "