Андрей Смирнов
Время чтения: ~23 мин.
Просмотров: 0

Вместо папок и файлов на флешке появились ярлыки: решение проблемы

Как восстановить поврежденные файлы на флешке

Попав на компьютер пользователя или съёмный носитель, зловредный вирус создает папку RECYCLER и прописывается там. Папка скрыта, в ней вредоносный код – это своеобразная маскировка. Параллельно с этим все папки, которые были на флешке становиться невидимыми. Вирус создает ярлыки, которые его активируют.После того, как флешку с вирусом подключают к компьютеру и кликают по ярлыку папки, вредоносная команда запускается. Если у вас на ПК нет антивируса, последствия могут быть печальными. Начиная от взломов паролей, до установки бэкдора.

Есть несколько простых вариантов, для удаления вируса:

  • При помощи Total Commander или другого файлового менеджера.
  • Используя загрузочный диск или загрузочную флешку.
  • При помощи командной строки.

Вариант первый — Total Commander.

  • Скачайте, и установит файловый менеджер.
  • Двойным кликом запустите программу.
  • Найдите подключенную флешку (левый правый угол).
  • В первые секунды, кажется, что все хорошо, но стоит присмотреться — папок не видно, а видны ярлыки.
  • Зайдите в раздел конфигурация – настройки. Установите галочки напротив: показывать скрытые файлы и системные файлы. После этих манипуляций на флешке станут видны папки, которые были скрыты.
  • Все ярлыки удалите.
  • Теперь нужно вернуть прежний вид папок. Выделите нужную папку. Откройте вкладку «файл» — изменить атрибуты. Удалите отметки напротив: только для чтения, архивный, системный, скрытый, системный.
  • Последняя немаловажная деталь. Удалите папку RECYCLER, в которой и спрятался вирус.

Вариант второй — при помощи командной строки.

  • Зайдите меню «Пуск» и кликните на «Выполнить».
  • В открывшейся строке введите «cmd» и подтвердите команду.
  • Появится командная строка. В ней пропишите «cd /d X:\». Х – буква, под которой отображается ваша флешка.
  • Следующий шаг пропишите – «attrib -s -h /d /s».

Выполнив все пункты в правильной последовательности, информация на вашей флешке будет восстановлена.

Третий вариант — используя загрузочный диск Live DVD или загрузочную флешку.Это способ подойдет более опытным пользователям, так для его осуществления необходим загрузочный диск или флешка. А не у всех они есть под рукой.

Особенности

  • Когда осуществляется деятельность с группами документов, разрешается использование специальных подстановочных символов: ? и *. Они прописываются в «название_файла». При деятельности со скрытыми или системными документами, рекомендуется предварительно убрать подобные атрибуты.
  • Значение +a применяется для указания тех документов, которые претерпели корректировку со времени своего последнего резервного копирования. Данный атрибут применяется в специальной команде xcopy. Чтобы можно было получить дополнительные сведения, следует запросить справку.
  • Команда attrib имеется непосредственно в консоли восстановления.

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?

В проводнике Windows включаем отображение скрытых и системных фалов.В Windows XP: Пуск-> Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки».
В Windows 7 путь немного другой:  Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид

Параметры те же самые.
Для Windows 8/10 инструкция есть в статье Показать скрытые папки в Windows 8.

Открываем содержимое флешки, и видим на нем множество ярлыков на папки (обратите внимание на значок ярлыка у иконок папок). Теперь нужно открыть свойства любого ярлыка на папку (ПКМ -> Свойства)

Они будут выглядеть примерно так: Нас интересует значения поля Target (Объект). Строка, указанная в нем довольно длинная, и может выглядит примерно так:

В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:\windows, C:\windows\system32 и в профиле текущего пользователя (о них чуть ниже)).

Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:

  • в Windows 7, 8 и 10 —
  • в Windows XP —

Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде .bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Extended Attributes

File attributes can be read with fsutil usn readdata filename.ext

Constants — the following attribute values are returned by the GetFileAttributes function:

FILE_ATTRIBUTE_READONLY = 1 (0x1)
FILE_ATTRIBUTE_HIDDEN = 2 (0x2)
FILE_ATTRIBUTE_SYSTEM = 4 (0x4)
FILE_ATTRIBUTE_DIRECTORY = 16 (0x10)
FILE_ATTRIBUTE_ARCHIVE = 32 (0x20)

FILE_ATTRIBUTE_NORMAL = 128 (0x80)
FILE_ATTRIBUTE_TEMPORARY = 256 (0x100)
FILE_ATTRIBUTE_SPARSE_FILE = 512 (0x200)
FILE_ATTRIBUTE_REPARSE_POINT = 1024 (0x400)
FILE_ATTRIBUTE_COMPRESSED = 2048 (0x800)
FILE_ATTRIBUTE_OFFLINE = 4096 (0x1000)
FILE_ATTRIBUTE_NOT_CONTENT_INDEXED = 8192 (0x2000)
FILE_ATTRIBUTE_ENCRYPTED = 16384 (0x4000)

For example, a file attribute of 0x120 indicates the Temporary + Archive attributes are set (0x100 + 0x20 = 0x120.)

An alternative way to display extended attributes is using

DFSR will not replicate files if they have the temporary attribute set.
The temporary attribute can be removed by using PowerShell to subtract 0x100:

PS C:\> Get-childitem D:\Data -recurse | ForEach-Object -process {if (($_.attributes -band 0x100) -eq 0x100) {$_.attributes = ($_.attributes -band 0xFEFF)}}

«The moral sense of conscience is by far the most important.. it is the most noble of all the attributes of man» — Charles DarwinRelated:CACLS — Change file permissions.FSUTIL — File and Volume utilities.Show superhidden file extensions.Q326549 — Read-only & System attributes for folders.
Equivalent bash command (Linux): chmod — Change access permissions.

 
Copyright 1999-2020 SS64.com
Some rights reserved

Вирус на флешке — папки стали ярлыками! Решение!

Сегодня я хочу поговорить об одном уже весьма стареньком вирусе, модификации которого до сих пор будоражат компьютеры пользователей не заботящихся о собственной безопасности.

Смысл его деструктивной деятельности заключается в том, что он скрывает содержимое съемного диска и подменяет его ссылками на исполняемый файл, которые умело маскирует с помощью изменения их атрибутов. Всё рассчитано на то, что ничего не подозревающий пользователь не заметит, что вместо папок ярлыки и попытается их открыть.

Таким образом этот троян и кочует от компьютера к компьютеру, поражая незащищённые операционные системы одну за другой.Если же на очередном ПК будет стоять хорошая антивирусная программа типа Касперского или DrWeb, то она, конечно же, сразу его засечёт и удалит сам исполняемый EXE-файл или скрипт.

Но вот изменить атрибуты, из-за которых папки стали ярлыками на флешке, антивирус не в состоянии и Вам придётся делать это вручную. Как это сделать я сейчас и расскажу.

Вычищаем заразу окончательно!

Для начала надо окончательно убедиться, что вируса нет ни на компьютере, ни на USB-диске. Для этого обновляем базы антивирусной программы и проверяем сначала одно, потом другое. Если у Вас её нет — настоятельно рекомендую его установить.

Например, отлично себя зарекомендовал бесплатный антивирус Касперского. Так же можно воспользоваться одноразовым сканером DrWeb CureIT.После этого надо зайти в панель управления Windows и открыть раздел «Параметры папок».

В открывшемся окне переходим на вкладку «Вид»:

Здесь необходимо снять галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов». А вот флажок «Показывать скрытые файлы, папки и диски» надо наоборот поставить.

inf

Затем стоит удалить папку RECYCLER (Кстати, в ней-то обычно EXE-шник вируса и лежит).На жестком диске надо обратить внимание на папки пользователей, а особенно — на C:\Users\\Appdata\Roaming\

Именно сюда пытается прятаться всякая зараза, а потому в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT.

Возвращаем пропавшие папки обратно

Следующим этапом нужно вернуть обратно папки, которые стали ярлыками на USB-накопителе. Вот тут начинается самое интересное.

Дело в том, что в зависимости от модификации, способ с помощью которого вирус спрятал директории может быть разным. В самом простом случае достаточно зайти на флешку. Там вы увидите скрытые папки (их отображение мы включили выше).

Надо просто на каждой из них кликнуть правой кнопкой, открыть её свойства и снять галочку «Скрытый».

А вот если поработал более продвинутый зловред, то скорее всего эта галочка будет недоступна и так просто снять атрибут «скрытый» с папки после вируса у Вас не получится.

В этом случае прямо в корне флешки создаём текстовый файлик, в котором надо скопировать вот эту строчку:

attrib -h -r -s -a /D /S

Закрываем текстовый редактор и меняем ему расширение с *.TXT на *.BAT.Кликаем на файлике правой кнопкой и в контекстном меню выбираем пункт «Запуск от имени Администратора».

После этого папки должны стать видимыми.Если что-то непонятно — смотрим видео-инструкцию:

Автоматизированный вариант

Для тех, кто не любит всё делать вручную, предпочитая положиться на скрипты, тоже есть отличный способ. Заключается он в том, что на съёмном накопителе надо опять же создать BAT-файл, открыть его блокнотом и скопировать туда вот такой код:

:lable cls set /p disk_flash=”Input USB Drive Name: ” cd /D %disk_flash%: if %errorlevel%==1 goto lable cls cd /D %disk_flash%: del *.lnk /q /f attrib -s -h -r autorun.* del autorun.* /F attrib -h -r -s -a /D /S rd RECYCLER /q /s explorer.exe %disk_flash%:

Закрываем текстовый редактор и сохраняем изменения. Запускаем скрипт на исполнения. В начале он попросит указать букву, под которой флешка отображается в Проводнике. После этого он удалить папку RECYCLER, файл автозапуска autorun.

inf и вернёт атрибуты папкам, которые стали ярлыками. Этот вариант отлично работает в большинстве случаев на «ура».

Но если вдруг Вам попадётся более хитрая модификация такого вируса, то всё же Вам придётся закатать рукава и поработать руками.

Удаляем вирус, создающий ярлыки на флешке. Пошаговая инструкция

Избавиться от вируса, который поселился на вашей флешке можно при помощи антивируса. Воспользуйтесь, например бесплатной версией Dr.Web CureIt или Касперским.Если установить программу нет возможности или вирусы обнаружить он не смог, воспользуйтесь ручным методом.Другие способы отображения информации на зараженной флешке были описаны в предыдущем разделе.

  • Первым делом вирус нужно найти. Через проводник возвращаем папкам видимость. (Показать скрытые папки и файлы, показать защищенные и системные файлы).
  • Заходим на флешку. Открывает свойства любого ярлыка. Видим в поле «Объект» — RECYCLER. Это и есть вирус.
  • Находим на флешке папку с таким названием, удаляем ее целиком. В профилактических целях проверьте наличие вируса в системных файлах C:\windows, C:\windows\system32.

И в следующих папках: в Windows 7, 8, 10 — C:\users\имя_пользователя\appdata\roaming\. Если найдете похожие файлы с расширением «exe», значит это вирус и его необходимо удалить.

Бывают случаи, когда вирусы прячутся под расширением .bat/.cmd/.vbs. Если нашли что-то подобное на съемном носителе, просмотрите их код и удалите.После проведения всех действий вирус будет полностью обезврежен.

ТОП программ, которые сберегут Вашу флешку от вирусов

  • Shortcut Virus Remover 3.1. — самая известная программа для удаления вирусов. Программу не нужно устанавливать, скачайте и откройте архив. Кликните на программу, в открывшемся окне выберите проверку внешнего накопителя.
  • HFV Cleaner Pro — лучшая программа для борьбы с Worm и Trojan. На компьютер ее устанавливать не нужно. При первом открытии программа попросит ввести нужный вам пароль. Найдите флешку и удалите вирус. Восстановите видимость папок и остальных файлов.
  • Shortcut Virus Remover BAT – небольшой файл, который после одного клика поможет удалить вредоносную программу.
  • UsbFix — программа, которая проводит полную проверку и очистку флешки от вредоносных объектов. С ее помощью можно проверить персональный компьютер. Программа постоянно обновляется.

Борьба с вирусом на флешках «Вместо папок — ярлыки»

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки. По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

  1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Вот тот самый путь: RECYCLER6dc09d8d.exe — папка на флешке и вирус в ней. Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны. 2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f: нажать ENTER, где f: — это буква нашей флешки (может отличатся от примера)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: Bat файл для смены атррибутов.

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

  • сносим Windows (1,5-2 часа, самый быстрый способ);
  • устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
  • записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

Ссылки на утилиты, которые могут помочь:

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Оболочкой где подгружены практически всё что нужно для ремонта начиная с драйверов и заканчивая глубокими тестами HDD (для тех кто не понял) и не важно какая у вас операционка стоит хоть ЛИНУКС данный способ использую уже в течении 5-ти лет. и удачно… может и поможет советец..))»

Что происходит при заражении вирусами?

В зависимости от типа и предназначения вирусного ПО, оно может оказывать различное влияние на систему.

К примеру, некоторые вирусы ведут шпионскую деятельность на компьютере, воруя личную информацию, электронные ключи, коды банковских карточек, а также данные для входа в аккаунты социальных сетей, сайтов и т.д. Другие вирусы представляют угрозу для файлов, попросту их удаляя или меняя на бессмысленные ярлыки.

Если Вы столкнулись с вирусом, удаляющим информацию, не стоит отчаиваться! Специалисты Recovery Software разработали специальную утилиту RS Partition Recovery, способную быстро восстанавливать любые данные, которые были уничтожены вирусом, случайным форматированием носителя или были просто удалены. RS Partition Recovery позволяет восстанавливать удаленные данные с жестких дисков, флешек и других накопителей. Помимо этого, функционал программы позволяет восстанавливать давно утерянные данные.

71 комментарий

У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

У меня тоже самое. Что делать?

Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

Благодарю за отзыв, рад что смог помочь

Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:UsersДмитрийAppDataRoamingWinset Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.

Когда я словил вирус, Касперский его еще не обнаруживал.

Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

Как понять, что компьютер заражен

Если в вас закрались подозрения о том, что компьютер заражен вирусом с вашей флешки, просмотрите процессы, выполняемые на нем в данный момент. Для этого откройте диспетчер задач. Самый простой способ это сделать: нажать правой клавишей мышки по значку «Пуск» и в открывшемся меню выбрать «Диспетчер задач».

Теперь просмотрите список всех процессов и ищите там названия со словами USB или FS USB. Между этими словами в названии может быть много других букв или цифр. Если нашли что-то похожее, отключайте этот процесс: правой клавишей мыши – снять задачу.

Во избежание подобных случаев регулярно сканируйте компьютер защитником Windows или другим сторонним антивирусом. Как очистить компьютер от вирусов читайте в нашей статье: избавляемся от вирусов. А лучше не суйте флешку куда ни попадя и проверяйте ее каждый раз прежде, чем разрешить ей доступ к компьютеру. Как говорится, профилактика – лучшее лечение.

Directory Attributes

You can display or change some attributes for a directory/folder.

The Read-only attribute (R) does not apply to a folder. This is because a unlike a file, a folder object does not contain any content that can be edited. The Name of a folder can be changed but that is a rename operation not an edit of the contents.

On Windows Vista and greater, the Read-only attribute of a folder can be set or cleared in Windows Explorer as a fast method of setting/clearing the Read-only attribute of all files within the folder. It does not actually set the attribute on the folder itself.

To use ATTRIB with
a directory, you must explicitly specify the directory name; you cannot use
wildcards to work with directories.

e.g. The following command would affect only files, not directories: ATTRIB +H C:*.*

To hide the directory C:\SECRET, type the following:
ATTRIB +H C:\SECRET

The System attribute is used by Windows to determine that a folder is a special folder, such as My Documents, Favorites, Fonts, etc.

Как обнаружить вирус

Ваша случай не новый и далеко не единичный. Эта зараза уже давно гуляет по интернету. Причем внутреннее хранилище компьютера он не трогает, а флэшки кушает с удовольствием. Обнаружить такой вирус и поставить диагноз зараженному устройству очень просто: ярлыки вместо папок, что тут не понятного.

Сразу предупрежу: ни в коем случае, ни при каких обстоятельствах, не пытайтесь эти папки открыть. К сожалению, большинство пользователей, увидев такую картину, сразу же полезут шариться по этим папкам в поисках своих файлов. А вдруг это шутка такая от коллеги? Но увы, как показывает статистика, это не шутки. Пытаясь открыть такую папку, вы лишь запустите вирус и более того, установите его на свой компьютер.

Дополнительно: восстановление ярлыков файлов в исходный формат

Загрузите и установите бесплатное программное обеспечение для восстановления данных EaseUS. Следуйте данному руководству и восстановите свои данные.

Выберите раздел диска или место хранения, где вы потеряли файлы и нажмите кнопку «Сканировать».

Процесс сканирования автоматически начнёт поиск всех файлов.

Шаг 3: Предварительный просмотр и восстановление потерянных файлов

Вы можете отфильтровать результаты сканирования по типу файла, выбрать найденные файлы и нажать кнопку «Восстановить», чтобы возвратить их. Сохраните файлы в другом безопасном месте на вашем устройстве хранения.

На флешке появились ярлыки вместо файлов

Такой вирус может проявлять себя по-разному:

  • папки и файлы превратились в ярлыки;
  • часть из них вообще исчезла;
  • несмотря на изменения, объем свободной памяти на флешке не увеличился;
  • появились неизвестные папки и файлы (чаще с расширением «.lnk»).

Прежде всего, не спешите открывать такие папки (ярлыки папок). Так Вы собственноручно запустите вирус и только потом откроете папку.

К сожалению, антивирусы через раз находят и изолируют такую угрозу. Но все же, проверить флешку не помешает. Если у Вас установлена антивирусная программа, кликните правой кнопкой по зараженному накопителю и нажмите на строку с предложением провести сканирование.
Если вирус удалится, то это все равно не решит проблему исчезнувшего содержимого.

Еще одним решением проблемы может стать обычное форматирование носителя информации. Но способ этот довольно радикальный, учитывая что Вам может понадобиться сохранить данные на ней. Поэтому рассмотрим иной путь.

Шаг 1: Делаем видимыми файлы и папки

Скорее всего, часть информации вообще будет не видна. Так что первым делом нужно заняться этим. Вам не понадобится никакое стороннее ПО, так как в данном случае можно обойтись и системными средствами. Все, что Вам нужно сделать, заключается вот в чем:

  1. В верхней панели проводника нажмите «Упорядочить» и перейдите в «Параметры папок и поиска».

Откройте вкладку «Вид».
В списке снимите галочку с пункта «Скрывать защищенные системные файлы» и поставьте переключатель на пункте «Показывать скрытые файлы и папки». Нажмите «ОК».

Теперь все, что было скрыто на флешке, будет отображаться, но иметь прозрачный вид.

Не забудьте вернуть все значения на место, когда избавитесь от вируса, чем мы и займемся далее.

Шаг 2: Удаляем вирус

Каждый из ярлыков запускает файл вируса, а, следовательно, «знает» его расположение. Из этого и будем исходить. В рамках данного шага сделайте вот что:

Кликните по ярлыку правой кнопкой и перейдите в «Свойства».
Обратите внимание на поле объект. Именно там можно отыскать место, где хранится вирус

В нашем случае это «RECYCLER\5dh09d8d.exe», то есть, папка RECYCLER, а «6dc09d8d.exe» – сам файл вируса.

Удалите эту папку вместе с ее содержимым и все ненужные ярлыки.

Шаг 3: Восстанавливаем нормальный вид папок

Осталось снять атрибуты «скрытый» и «системный» с Ваших файлов и папок. Надежнее всего воспользоваться командной строкой.

  1. Откройте окно «Выполнить» нажатием клавиш «WIN» + «R». Введите туда cmd и нажмите «ОК».

Введите

где «i» – буква, присвоенная носителю. Нажмите «Enter».

Теперь в начале строки должно появиться обозначение флешки. Введите

Нажмите «Enter».

Так сбросятся все атрибуты и папки снова станут видимыми.

Альтернатива: Использование пакетного файла

Можно создать специальный файл с набором команд, который проделает все эти действия автоматически.

  1. Создайте текстовый файл. Пропишите в нем следующие строки:

    Первая строка снимает все атрибуты с папок, вторая – удаляет папку «Recycler», третья – удаляет файл автозапуска, четвертая – удаляет ярлыки.

  2. Нажмите «Файл» и «Сохранить как».

Файл назовите «Antivir.bat».

Поместите его на съемный накопитель и запустите (щелкните мышкой дважды по нему).

При активации этого файла Вы не увидите ни окон, ни строки состояния – ориентируйтесь по изменениям на флешке. Если на ней много файлов, то возможно, придется подождать 15-20 минут.

Что делать, если через некоторое время вирус снова появился

Может случиться так, что вирус снова себя проявит, при этом флешку Вы не подключали к другим устройствам. Напрашивается один вывод: вредоносное ПО «засело» на Вашем компьютере и будет заражать все носители.
Из ситуации есть 3 выхода:

  1. Сканировать ПК разными антивирусами и утилитами, пока проблема не решится.
  2. Использовать загрузочную флешку с одной из лечащих программ (Kaspersky Rescue Disk, Dr.Web LiveCD, Avira Antivir Rescue System и прочие).

  3. Переустановить Windows.

Специалисты говорят, что такой вирус можно вычислить через «Диспетчер задач». Для его вызова используйте сочетание клавиш «CTRL» + «ALT» + «ESC». Следует искать процесс с примерно таким названием: «FS…USB…», где вместо точек будут случайные буквы или цифры. Найдя процесс, можно кликнуть по нему правой кнопкой и нажать «Открыть место хранения файла». Выглядит это так, как показано на фото ниже.
Но, опять-таки он не всегда запросто удаляется с компьютера.

Выполнив несколько последовательных действий, можно вернуть все содержимое флешки в целости и сохранности. Чтобы избежать подобных ситуаций, почаще пользуйтесь антивирусными программами.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Устранение ошибок на флешке

Для поиска и устранение ошибок на дисках, в Windows есть стандартная утилита.

Шаг 1. Щелкаем по значку флешки правой клавишей мыши и выбираем команду «Свойства».

Шаг 2. Переходим на вкладку «Сервис» и щелкаем по кнопке «Выполнить проверку».

Шаг 3. Щелкаем по кнопке «Запуск».

После выполнения проверки и исправления системных ошибок, появится соответствующее сообщение.

Сообщение: «Были найдены и устранены некоторые ошибки»

После устранения ошибок, файлы с иероглифами исчезли, а в корневом каталоге флешки появилась скрытая папка с именем FOUND.000.

В корневом каталоге флешки появилась скрытая папка с именем FOUND.000

Внутри папки FOUND.000 оказалось 264 файла с расширением CHK. В файлах с расширением CHK, могут храниться фрагменты файлов различных типов, извлеченных с жестких дисков и флешек при помощи утилит ScanDisk или CHKDISK.

Если все файлы на флешке были одного типа, например, документы Word с расширением docx, то в файловом менеджере Total Commander выделяем все файлы и нажимаем сочетание клавиш Ctrl + M (Файлы — Групповое переименование). Указываем какое расширение искать и на что его менять.

Изменение расширений у группы файлов при помощи файлового менеджера Total Commander

В конкретном случае, я только знал, что на флешке есть вордовские документы и файлы с презентациями Power Point. Менять расширения методом научного тыка весьма проблематично, поэтому лучше воспользоваться специализированными программами — они сами определят, какой тип данных хранится в файле. Одной из такой программ является бесплатная утилита unCHKfree (скачать 35 Кб), которая не требует установки на компьютер.

Указываем исходную папку (я сбросил файлы CHK на жесткий диск). Далее я выбрал вариант, при котором файлы с разными расширениями будут разложены по разным папкам.

Осталось нажать «Старт»

В результате работы утилиты появилось три папки:

  1. DOC — с документами Word;
  2. JPG — с картинками;
  3. ZIP — с архивами.

Содержимое восьми файлов осталось нераспознанным. Однако выполнена главная задача, восстановлены вордовские документы и фотографии.

Минусом является то, что не удалось восстановить сходные имена файлов, так что явно придется повозиться с переименованием вордовских документов. Что касается файлов с картинками, то сгодятся и такие названия как FILE0001.jpg, FILE0002.jpg и т.д.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации