Флешку видит как ярлык. Папки на флешке стали ярлыками! Что делать

Изобретательность разработчиков вирусного программного обеспечения не знает границ, и никого не удивить обычными «Троянами», которые воруют данные, или рекламными баннерами, для закрытия которых мошенники требуют направить им платное СМС. Оригинальным является вирус, который проникает на внешний накопитель (флешку или жесткий диск) и превращает все папки в ярлыки, вернее, так считает пользователь.

На деле же вирусное приложение скрывает реальные папки с данными и подменяет их ярлыками с аналогичным названием. Нажимая на вирусные ярлыки, с флешки инсталлируются на компьютер вредоносные программы. Если у пользователя компьютера не установлено антивирусное программное обеспечение, он рискует серьезно заразить компьютер вредоносными программами, которые впоследствии могут привести к потере личных данных, важных файлов и другим проблемам.

Важно: Если папки на флешке заменились на ярлыки, не нажимайте на них, даже если они имеют названия вроде «Как решить проблему», «Прочти меня», «ReadMe» и другие. Подобным образом злоумышленники вынуждают пользователя активировать свое вирусное программное обеспечение.

Что делать, если папки на флешке стали ярлыками

Как было сказано выше, главное в подобной ситуации не идти на уловки вируса и не жать на созданные им файлы. Чтобы избавиться от вирусных ярлыков и не навредить своим файлам, сделать необходимо следующее:

В Windows 8, 10 и XP: {Системный жесткий диск}:\Пользователи\{Имя пользователя}\AppData\Roaming В Windows 7: {Системный жесткий диск}:\ Documents and Settings\{Имя пользователя}\ Local Settings\Application Data\

Обратите внимание: Чтобы увидеть папку AppData, а также некоторые другие, потребуется изначально включить в «Панели управления» отображение скрытых файлов и папок.

Для этого:

Избавившись от вируса, можно переходить к устранению проблем, которые образовались в результате его действий.

Как сделать видимыми скрытые папки после действий вируса

Вредоносное приложение, как отмечалось выше, скрывает папки, а вместо них создает ярлыки. После удаления вируса папки остаются скрытыми. Обычно их можно сделать видимыми, если нажать на них правой кнопкой мыши, выбрать «Свойства» и на вкладке «Общие» убрать галочку из пункта «Скрытый».

Однако проблема данного вируса, который превращает папки на флешке в ярлыки, в том, что пропадает возможность снять галочку с параметра скрытости, поскольку атрибут становится неактивным.

Чтобы изменить данное свойство и вновь сделать папку видимой, необходимо создать в корне флешки документ «Блокнот». Когда он будет создан, откройте его и пропишите в нем команду:

Attrib -s -h -r -a /s /d

Далее выберите пункты «Файл» - «Сохранить как». Дайте файлу любое название, но в конце пропишите .bat – расширение для него. После того как блокнот в указанном расширении будет сохранен в корневой папке флешки, необходимо нажать на него правой кнопкой мыши и запустить от имени администратора. После этого будет выполнена команда, в результате которой у пользователя появится возможность вновь сделать видимыми скрытые папки.

Если все папки на флешке стали ярлыками – не стоит отчаиваться! Проблема имеет решение, причем довольно-таки простое.

Для начала, запомните следующую информацию:

1. Папки на флешке скорее всего никуда не пропадали, 99% что это вирус, а если быть точным – троян Backdoor.win32.ruskill . Он замаскировался под папки, находящиеся на флешке – создал вместо них свои ярлыки (через сопутствующего вируса-червя). Сами папки никуда не делись – они стали скрытыми.
2. Не пытайтесь запустить появившиеся ярлыки-папки. Нет, не так. НИ В КОЕМ СЛУЧАЕ не запускайте эти ярлыки. Принцип действия вируса после запуска ярлыков расписывать не буду, скажу лишь: ничего хорошего не ждите. Если интересно – можете почитать что он способен натворить: http://www.securitylab.ru/virus/405757.php
3. Форматировать флешку не надо. Все Ваши файлы всё ещё находятся там (см. п.1). Если, конечно, ничего важного там нет – можно и форматнуть.

Теперь, когда Вы ознакомились с основной информацией по данной проблеме, давайте постараемся её решить.

Здесь возможно несколько способов решения этой проблемы с флешкой – с помощью сторонних программ и вручную (его мы и рассмотрим).

Давайте по порядку:

1. Если антивирус всё ещё ничего не обнаружил на флешке – запустите его, пусть проверит и удалит вирус.

2. Заходим в Мой компьютер, на верхней панели находим вкладку Сервис (если стоит Windows 7, то нажимаем F10 – панель появится), далее заходим в Свойства папки, во вкладку Вид – снимаем галочку с пункта «Скрывать защищенные системные файлы» и ставим галочку на «Показывать скрытые файлы и папки».

3. Теперь на Вашей флешке должны появиться папки, которые скрыл злой вирус 🙂 Создаем новые папки с похожими на скрытые названиями и перемещаем всю информацию в них (вырезать-вставить, легко же!)

4. Удаляем пустые скрытые папки, удаляем ярлыки, созданные вирусом, удаляем папку RECYCLER (если антивир её всё ещё не удалил).

5. Собственно, всё! Проблему с папками, ставшими ярлыками на флешке мы решили.

ЗЫ: Можно проверить «следы» вируса, которые он мог оставить на компьютере. Для этого заходим в

C:\users\Имя_пользователя\appdata\roaming\ (Windows 7)

C:\Documents and Settings\ Имя_пользователя \Local Settings\Application Data\ (Windows XP)

В этой папке ищите файлы со странным названием, типа «9fpoi8j5.exe» (может быть любой набор букв-цифр) – это и будет исполняемый файл вируса, удалите его.

Затем лезем в реестр (пуск-выполнить или win+R, вводим regedit), заходим в следующий каталог: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, где ищем название вируса по вышеописанному принципу и удаляем! Вот и всё.

Приветствую, вас дорогие читатели. Уверен, что большинство пользователей у которых работа или хобби связанно с компьютером, встречались с одним очень вредным вирусом, который вместо файлов на флешке создавал ярлыки. Ну, а сами файлы, не удалялись, что очень радует, а просто становились невидимыми, доступ к которым можно было получить только . Кстати, о том как вернуть флешку к прежнему состоянию я описал .

Обычно ко мне приходили пользователи с флешкой и просили просто . Но, недавно мне на глаза попался компьютер, в котором засел именно этот вирус — Microsoft Excel.WsF и при подключение любого флеш-накопителя он скрывал на нем все возможные файлы. Если честно, я первый раз встретил такой вирус непосредственно, на самом компьютере.

При подключение флешки сразу было понятно, что ПК заражен вредоносной программой, потому как через мгновение на любом подключенном устройстве все документы и папки превращались в ярлыки. Вынув flash-накопитель, я начал . Она нашла несколько зараженных файлов, но это все было не то (в основном bat-файлы ярлыков с рекламой для различных браузеров ), конечно, я их удалил и запустил антивирус заново с полной проверкой. Но, на мое удивление, Cureit больше ничего не нашёл и оповестил, что угроз на компьютере не найдено, хотя проблема не решилась и вирус (Microsoft Excel.WsF ) по прежнему скрывал файлы.

Следующим шагом, была чистка папки с временными файлами, как в ручную так и утилитой CСleaner. Рекомендую, ознакомиться с руководством того: с помощью разных утилит. А так же, с его продолжением, где подробно описано, что можно сделать если . Почистив все возможные папки от TEMP-файлов, вирус (Microsoft Excel.WsF ) продолжал портит файлы на флешка не обращая внимание на меня и на все мои действия.

Как удалить вирус, который превращает файлы в ярлыки, этот вопрос никак не выходил у меня з головы. Но, зайдя в автозагрузку компьютера я понял, что все, на самом деле, очень просто.

Удаляем вирус превращающий файлы в ярлыки

Итак, удалив все временные файлы в моей любимой утилите ССleaner, я перешел на вкладку «». Как оказалось в списке autoruna было очень много различных программ, начиная от обновлений Google приложений и заканчивая браузером Amigo и MailUpdate . В общем, из всего этого списка я нашел один очень подозрительный процесс под названием «wscript.exe ». Удивило то, что в описание программы производителя указан Microsoft Office. Удивило меня это тем, что раньше такого процесса связанного с Office я не встречал. Но посмотрев на расположение файла стало понятно, что это и есть та команда запускающая вирусный скрип «Microsoft Excel.WsF », который превращает файлы в ярлыки.

Что же нам нужно сделать, для удаления этого вируса. Сначала открываем « » и находим процесс под название wscript.exe, виделив его нажимаем на кнопку «Завершить процесс».

Дальше, запускаем CCleaner и . И смотрим путь к нашему файлу. У меня он был таким: С:\Documents & Settings\User\Local Settings\Application Data\Microsoft Office\\Microsoft Excel.WsF. Для Windows 7 и 8 такой: C:\Users\UserName\AppData\Roaming\Microsoft Office\\Microsoft Excel.WsF.

Зайдя в эту папку удаляем файлик, который был указан в пути, например в моем случае это: Microsoft Excel.WsF. Не забудьте, открыть доступ к отображению скрытых системных файлов, иначе вы его не увидите.

Так, первый шаг по удалению вируса превращающего файлы в ярлыки, сделан. Теперь, возвращаемся обратно к автозагрузке, где нажав на вирус правой кнопкой мыши выбираем «Открыть в Regedit... ». В следствие чего, перед нами с выделением нужной для нас строки. Здесь, также просто удаляем все записи в которых встречаются слова Microsoft Excel.WsF. Это действие повторяем до тех пор, пока в реестр не будет очищен от всех записей где упоминается название вирусного файла. У меня нашло его в двух местах:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;

Опять вернувшись обратно к автозагрузке ССleanera, отмечаем пункт с процессом wscript.exe, и нажав на кнопку «Удалить » убираем полностью его с автозагрузки.

Теперь, закрыв утилиту идем к папке с временными файлами пользователя и полностью удаляем все её содержимое.

Windows7 и Windows 8 : C:\Users\Игорь\AppData\Local\Temp

Windows XP: С:\Documents & Settings\User\Local Settings\Temp

Ну и наконец, не забудьте очистить корзину от тех файлов, которые мы удалили. После этого обязательно перезагрузите ПК, и проверяйте результат.

При следующем подключение флешки, все файлы должны остаться на своих местах. По крайней мере, мне это помогло и пока все флешки опредиляются и работают без каких либо проблем. Но, если появятся вопросы или Вам нужна будет помощь, как всегда оставляйте коментарии и я постараюсь Вам помочь. В который раз, напомню Вам о подписке на сайт , которая позволит вам иметь под рукой бесплатные руковоства по востановлению рабочего состояния рабочего или домашнего компьютера.

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки .

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».


Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:


Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить ).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

• cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
• attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: .

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

• сносим Windows (1,5-2 часа, самый быстрый способ);
• устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
• записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

• F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Если у вас появились ярлыки на флешке вместо папок , знайте, — вы поймали вирус. Не стоит беспокоиться, все ваши файлы на месте, и занимают все тот же объем, просто вирус скрывает их, используя в имени папки недопустимые символы, не давая ей отобразиться. Такую папку не видно в Total Commander, а в стандартном проводнике windows – тем более. Существует несколько методов исцеления этого недуга, но мы воспользуемся самым простым из них, не требующим особых навыков. Для дальнейших действий нам понадобиться файловый менеджер Total Commander, скачать его можно .

Установите commander, он поможет нам вылечить накопитель в несколько нажатий.

Наши действия будут осуществляться в 2 этапа:

1. Найти наши файлы на флешке;
2. Сделать файлы видимыми.

Этап 1:

Готовы? Поехали! Вставляем флешку в usb порт компьютера. Включаем файловый менеджер, в появившемся окне выбираем нашу флешку (1), в пенеле меню выбираем пункт «Конфигурация» (2), в выпавшем списке кликаем по пункту меню «Содержимое панелей» (3):

Перед нами выпадает окно, отвечающее за это содержимое. В нем необходимо выбрать пункт «Содержимое панелей» (4) и поставить галочку напротив подпункта «Показать скрытые/системные файлы» (5) и жмем кнопку «ОК»:

Если вы все сделали правильно, то перед вами появятся все ваши файлы на флешке (6):

Поздравляю! Этап 1 пройден, ярлыки на флешке вместо папок испарились, и вы видите свои папки с вложенными файлами. Пора переходить к этапу 2.

Этап 2:

Для того что бы сделать ваши файлы на носителе доступными необходимо убрать атрибуты, которые присвоил папкам вирус. Выделяем папки/файлы с восклицательными знаками (нажимаем кнопку «Ctrl» и кликаем по ним). Выбираем в главном меню пункт «Файлы» (7), в открывшемся списке кликаем по пункту «Изменить атрибуты» (8):

В появившемся окне снимаем все галочки (9):

После проделанного, вы увидите, что восклицательные знаки напротив папок пропали, и папки свободно отображаются (10):

Поздравляю, ярлыки на флешке вместо папок больше беспокоить вас не будут!