На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду.

Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени.

Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка

Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт:

Attrib "*" -s -h -a -r /s /d

Сохраняем его как run.bat и держим под рукой.

Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр:

1. «Пуск» - «Выполнить» и пишем «regedit»;
2. Открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer»;
4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

1. скопировать run.bat в корень флешки и запустить;
2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
4. теперь осталось удалить с корня все файлы, кроме этой папки.
5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей!

Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.

Здравствуй, дорогой читатель. Вот вот, я написал статью о том: . Конечно же, антивирус это хорошо, он и найдет и обезвредит какой-либо вирус. Но, правда жаль, что эта программа не исправляет последствий появления вируса на компьютере. О чем я говорю?

Почти, у каждого есть флешка, на которой мы храним либо переносим файлы. Но, иногда на нее попадают вирусы и один из самых распространённый является вирус, из-за которого на флешке появляются ярлыки, вместо файлов. То есть, Вы не можете перекинуть файлы, если нажмете копировать, а потом вставить, Вы нечего не перенесёте кроме ярлыка, а сам файлик останется на USB-накопителе невидимым для Вас.

Конечно же, первым делом, нужно проверить антивирусом наше съёмное устройство, в результате чего все зараженные файлы будут удалены (у нас это ярлыки). После, на накопителе ничего не будет, но в системе показывает, что свободное место чем-то занято. Для того, что бы увидеть файлы, вам нужно: . Но, нажав на свойства, Вы увидите, что стоит галочка на «Скрытый» и убрать ее нельзя. По этому, читайте дальше и узнаете, как восстановить скрытые файлы на флешке

Восстанавливаем скрытые файлы на флешке с помощью Total Commander

Открыв скрытые папки, нажимаем на любой файл правой кнопкой и выбираем «Свойства», скорей всего Вы увидите следующею картину.

Что нам понадобится для того, что бы восстановить прежний вид файлов? Для этого, воспользуемся всем известным файловым менеджером Total Commander. Для скачивания переходим на русскую страницу разработчика , Скачав, его нужно установить. Там все просто, нужно выбрать устанавливаемый язык и нажать пару раз кнопку «Далее».

Итак, запустив Total, в списке дисков выбираем съёмный диск.

На Usb-накопителе у меня ничего нет, кроме созданной новой папки (ярлыки который были вместо файлов удалились антивирусом ).

Для того, что бы скрытые файлы были видны в Total Commander, нужно зайти в настройки и выставить соответствующее отображение. Нажав на «Конфигурация » –> «Настройка », появится окно настроек, где мы переходим в пункт «Содержимое панель ». В поле свойств которое находятся справа, отмечаем следующие параметры «Показывать скрытые файлы » и «Показывать системные файлы » после чего нажимаем «Применить».

Далее, выделив все файлы правой кнопкой мишки жмем «Файлы » –> «Изменить атрибуты… ». В появившемся окне, просто убираем галочки со следующих атрибутов «Скрытый» и «Системный», после чего нажимаем «ОК».

Как результат, перед нами появятся файлы которые ранее пропали.

Поэтому, если после проверки антивирусом вашего накопителя он будет пуст, не пугайтесь. Все данные сохранятся на нем, просто нужно воспользоваться способом который я описал для восстановления скрытых файлов на flesh-накопителе, вирусом. Так что, увидев следующий раз, что на флешке ярлыки вместо файлов, я уверен, что Вы сможете не только у себя это исправит, а и помочь своим знакомым. Также, иногда, вредные программы попадают в автозапуск, поэтому рекомендую прочитать статью о том: . Так же, не забываете следить за

Вы подхватили на флешку вирус, который был немедленно детектирован и удален антивирусом на домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками. Первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

Первая запускает и устанавливает вирус на Ваш ПК
Вторая открывает интересующую Вас папку

Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл папки на флешке, т.е. им назначены соответствующие атрибуты (скрытый, архивный).
Наша задача: уничтожить вирус и снять эти атрибуты.

Избавляемся от вируса.

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса, если же его нет – то вручную. Как же найти файлы зловреда?

1. В проводнике Windows включаем отображение скрытых и системных файлов Windows XP :
Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид.
На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки »

В Windows 7 путь немного другой:
Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые

2. Открываем содержимое флешки,выбираем любой ярлык на папку и смотрим его свойства. Они будут выглядеть примерно так:

Нас интересует значения поля Target (Объект). Строка указанная в нем довольно длинная и выглядит примерно так:

%windir%\system32\cmd.exe /c «start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backup

В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Удаляем этот файл, а можно и папку целиком. Теперь клик по ярлыку не опасен!

Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:
в Windows 7 – C:\users\имя_пользователя\appdata\roaming\
в WindowsXP – C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\

Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).

Восстанавливаем вид каталогов и доступ к папкам

В зависимости от модификации вируса оригинальным папкам присваиваются системные атрибуты «скрытая» и «системная», либо они перенесены в некую также скрытую папку, созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

РУЧНОЙ СПОСОБ:

1. Открываем командную строку (Пуск->Выполнить->набираем cmd->Enter)
2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter

где f:\ - это буква диска флешки (в конкретном случае может отличаться)

команда сбрасывает атрибуты скрытости и папки становятся видимыми.

Путь 2:

1. Создать текстовый файл на флешки.
2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.
3. В случае, когда у Вас не получается создать такой файл – Вы можете скачать мой: для смены атррибутов.

Если файлов много, то возможно потребуется время на выполнение команды.

4. После этого, можно восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

В последние несколько лет очень популярен вирус, который блокирует все содержимое флеш-накопителей. Причем пользователю не нужно делать для этого ничего особенного. Достаточно просто дать свою флешку кому-то попользоваться.

Если после использования флешки на чужом компьютере, размер и наполненность флешки не изменились, но внезапно исчезли все файлы, то вывод один - был подцеплен вирус .

Причем наличии вируса на флешке, ее содержимое может выглядеть по-разному:

• папки на флешке есть, но они все в виде ярлыков;
• папок на флешке не видно, но добавить какую либо информацию на флешку невозможно;
• папки пустые внутри, а размер свободного места на флешке не увеличился.
• появление неизвестного файла на флешке с расширением lnk.

Если флешнакопитель показывает следующую информацию, то его нужно лечить.

ярлыки вместо нормальных папок

Иногда пользователь может ничего не заметить, т.к. при нажатии на ярлык, открывается папка и там на месте все ее содержимое. Но это не надолго, потом вирус скрывает и его. Папки с расширением lnk лечатся намного сложнее. Они блокируют возможность в настройках убирать галку "скрыто".

Увидь меня - сделай папку видимой

Лечение флеш-накопителя можно начать с использования возможностей самой операционки.

Для того, чтобы сделать видимым все скрытое, нужно нажать "пуск", потом "панель управления". В открывшемся окне следует выбрать вкладку "оформление" и выделить там параметры папок, выбрав "вид".

Выбор последовательно -пуск-панель управления-параметры папок

В появившемся маленьком диалоговом окне, следует поставить галочку на параметре - отображение скрытых файлов. После этого нажимается "ок".

выбор параметра отображения папок

Обязательно при этом убрать еще галочку с пункта - скрыть системные файлы. Хоть это и сделано намеренно, чтобы пользователь не испортил ничего в самой операционной системе, но при наличии вируса, это необходимо.

Открытие скрытых системных файлов

Обязательно после всех этих манипуляций нужно просканировать флешнакопитель антивирусом. Если на компьютере нет антивируса, то его всегда можно скачать в интернете. Вот несколько самых популярных платно-бесплатных ресурсов, где можно скачать пробные демо-версии:

1. Norton Security антивирус - ;
2. Avast - можно установить бесплатную версию (не ДЕМО) - ;
3. Kaspersky - .

Запустить проверку флешки антивирусом можно путем несложных манипуляций. Правой кнопкой мыши выбирается опция "проверить на вирусы"

Проверка флешки на вирусы

Total Comander - спаситель папок флешки

Еще один вариант подручного средства для отображения скрытых вирусом папок - использование удобного Total Comander . Многие пользователи применяют его для быстрого перехода по файлам и папкам. Скачать командер можно по следующей ссылке .

Работать в командере намного проще и быстрее, чем в том же интерфейсе ОС Windows. Открывается диалоговое окно программы. На верхней панели нужно нажать опцию - "Конфигурация".

Выбор Конфигурации

Далее выбирается "Содержимое панелей", потом "настройка" и выбирается "отображение файлов". После ставится галка на параметре - "скрыть/отобразить скрытые файлы", также можно поставить галочку и на соседнем пункте "отобразить системные файлы". И нажимается ОК.

Выбор отображения скрытых файлов

Для удобства пользователя все отображенные новые файлы отмечает программа красным восклицательным знаком. Все отмеченные таким образом файлы следует сделать видимыми на постоянной основе. Для этого кликают правой кнопкой мыши, при наведении курсора на сам испорченный файл. Выбирается в меню - "Свойства". В открывшемся окне убирают все галки на параметрах файла.

Устранение скрытых параметров

Если после этих манипуляций все файлы в папке восстановились, убрались ярлыки и флешка вновь нормально работает, то все хорошо. Нужно только снова проверить ее антивирусом . Если же поправить атрибуты файлов не удалось, то придется воспользоваться собственноручно написанной мини-программой.

Спаси свою флешку сам - напиши программку

При тяжелых случаях, когда стандартные методы отображения файлов уже не спасают, приходится прибегать к ухищрениям. Далее представленная программа-спаситель флешки к ним и относится.

Программы, как известно пишутся в таком виде:

• в формате.txt;
• в файле "Блокнот".

Для создания данной программки достаточно будет сохранить нижеприведенный текст в блокнот.

Программа для лечения флешки

После этого стандартно сохраняют файл как, называют его любым именем. Обязательно у файла расширение должно быть.bat . В новом месте хранения данный файл теперь должен отображаться, как документ для правки (в значке будут колесики и шестеренки).

Последовательность сохранения программы в новом формате

Далее наведя курсор на этот файл с шестеренками, нужно кликнуть правой кнопки мыши и выбрать опцию "запуск от имени администратора". Появится стандартное черное окно, которое всегда используют при переустановке ОС, программ и т.п. После этого программа затребует ввести букву флешки. Ее нужно внести и нажать ентер на клавиатуре. Программа начнет работать.

Введение буквы названия флешки

По окончании лечения "больного" накопителя, откроется окно с его содержимым. После этого обязательно нужно будет снова запустить антивирус для проверки флешки на наличие вредностей. Для удобства файлик с такой программой всегда лучше иметь на флешке , чтобы в любом случае можно было полечить накопитель от вирусов.

Лечение флешки сторонними программами

Можно лечить накопители и прочими сторонними ресурсами, только в этом случае придется помаеться и поискать эти программки. Да и их нужно установить и разобраться, что и как работает.

Самые известные:

1. LimFlashFix - скачать можно ;
2. HiddenFilesRecover -скачать можно ;
3. USB Hidden Folder Fix - скачать можно .

В чем особенности каждой программы? Следует отметить, что все программы маленькие и легкие, много места на дисках не займут и все проверены на наличие вредных вирусов. С этой стороны проблем не будет.

Английская LimFlashFix

У этой программы есть одно расстраивающее свойство. Весь ее интерфейс на английском языке. Для тех кто не знает языка будет трудновато. Но поскольку программа простенькая, достаточно пройти первый раз всю процедуру восстановления флешки. А дальше будет легко.

Последовательность действий, нажать всего две кнопки - выбрать сьемный носитель - нажать Browser и нажать Yes! Unhied the folders. Это означает запуск и лечение выбранного накопителя.

Запуск лечения флешки

Личный помощник HiddenFilesRecover

Эту программу не нужно даже загружать. все, что нужно от пользователя, это выбрать битность его операционной системы -32 или 64, и выбрать непосредственно саму флешку для лечения и нажать "ок". Из удобств можно отметить русский язык интерфейса.

Простейший LimFlashFix

У данного вида программы только один недостаток - при загрузке и запуске самой программы, требуется сосредоточиться. Иначе по старинке, можно испортить пользователю весь интерфейс интернет-страниц . По умолчанию загрузка предполагает установку всех услуг Яндекса - от стартовой страницы, до поиска по умолчанию. Потому галочки с предложенного Яндекса нужно снимать, если нет планов пользоваться этим сервисом.

Для очистки и лечения флешки достаточно выбрать ее и нажать кнопку исправить. Больше программа ничего не потребует.

Интерфейс программы

Потому никогда не следует впадать в панику любому пользователю при проблемах с накопителями. При желании можно найти любые потерянные файлы. Возможно они никуда и не делись с накопителя.