«

»

Мар 09

Распечатать Запись

Борьба с вирусами на флешках и восстановление скрытых файлов

Сегодня я бы хотел вам рассказать о том, как уничтожить вирус на съемных носителях и восстановить скрытое содержимое (файлы, папки) путем просто изменения атрибутов.

Ко мне очень много раз обращались с просьбой о помощи. Проблема заключалась в том, что вирус попадая на флешку скрывал реальное содержимое и создавал ярлыки на их запуск через себя. При этом происходило заражение ПК. После удаления вируса ярлыки на содержимое оставались нерабочими и при запуске система выдавала ошибку ссылаясь на отсутствующий файл. И многие пользователи вставали в ступор и задавали себе вопрос. Как же вернуть все файлы и папки? Неужели все пропало? Ответ однозначный, беспокоиться не стоит и все можно вернуть, очень простыми действиями! И так, если вам интересно и вы хотели бы помочь себе или своим друзьям, знакомым, тогда продолжайте читать ниже. Я раскрою сущность проблемы и её решение. Итак, поехали.

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки. По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.

Если на флешке очень важные файлы, первым делом вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие вашей драгоценной папки. Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отображение скрытых файлов и папок.

Если у Вас Windows XP, то проходим путь: “Пуск->Мой компьютер->Меню->Сервис->Свойства папки->Вкладка вид”.

Windows XPНа вкладке «Вид» отыскиваем два параметра и выполняем:

  • Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку;
  • Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: “Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид”.

Windows 7Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycler на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.

Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3. Восстановление прежнего вида папок.

  • Удаляем все ярлыки наших папок — они не нужны.
  • Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

1. Первый вариант. Открываем: Пуск->Пункт Выполнить->Вводим команду CMD->нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера);
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

2. Второй вариант — создать текстовый файл в корне флешки. Записать команду attrib -s -h /d /s в него, переименовать файл в install.bat и запустить его. В случае, когда у вас не получается создать такой файл — вы можете скачать мой .bat файл в конце статьи. Если файлов много, то возможно потребуется время на выполнение команды.

После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли ваш ПК переносчиком вируса?

Если у вас есть подозрение, что именно ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS…USB…, где точки — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Касперским Removal Tool. Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Вроде бы все, обращайтесь и спрашивайте в комментариях — всегда отвечу.

Дополнение:

В этой статье описывается, как сделать системные файлы видимыми, на примере Windows 7, Windows XP, но для Windows Vista порядок действий точно такой же.

Скачать
Скачать install.bat – файл для изменения атрибутов.

Об авторе

Карабельников Сергей

Сергей является владельцем этого блога, и большинство записей здесь вышло из-под его пера. Он также давно и успешно занимается развитием IT (информационных технологий) МАУЗ ДГБ г. Новотроицка. Основная деятельность: системное администрирование, веб разработка и сетевое планирование. Подробнее обо всем этом здесь.

Постоянная ссылка на это сообщение: http://sysadminblogs.ru/fight-against-viruses-on-flash-cards-and-recovery-of-hidden-files.html

106 комментариев

Перейти полю для комментария

  1. Дима*

    Спасибо за такую поддержку закину его в закладки вдруг ещё пригодится!

    Добавлено 14.06.2013 в 17:32
    Хороший сайт.

    Ваша оценка: Thumb up 0 Thumb down 0

  2. Елена Александровна

    Сергей, огромное спасибо за информацию и особенно за файл install.bat. Восстановила скрытые вирусом файлы и до-ки на флэшке.Ура! Чмок-чмок!

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Пожалуйста :)

      Well-loved. Like or Dislike: Thumb up 6 Thumb down 0

  3. Raf

    Доброго времени суток!
    У меня такая проблема. Дело в том, что я хотел удалить вирус, с флешки и я его удалил а на компьютере он остался и не удаляется. Подскажите пожалуйста, что делать?
    P.S. Интернет только на планшете, ноут работает без подключения к интернету.

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Приветствую!
      Вам необходимо проверить компьютер, либо облачным сканером HitmanPro, либо Dr.WEB Curelt и Kaspersky Remove Tools. Но в любом случае необходим компьютер с доступом в интернет, для того чтобы скачать последние версии этих утилит с офф. сайтов.

      Ваша оценка: Thumb up 0 Thumb down 0

      1. Raf

        У меня есть интернет на пк. Скачаю и сделаю то, что вы написали.
        Спасибо!

        Ваша оценка: Thumb up 0 Thumb down 0

        1. Карабельников Сергей

          Пожалуйста :)
          О результатах работы, отпишитесь. Я думаю данные решения Вам помогут, если вдруг нет, предложу другой вариант!

          Ваша оценка: Thumb up 0 Thumb down 0

          1. Raf

            забыл сказать, у меня та проблема, которую вы описывали в данной статье. Этот самый вирус и не удаляется

            Ваша оценка: Thumb up 0 Thumb down 0

  4. Raf

    Спасибо за статью!
    вирус уничтожен

    Ваша оценка: Thumb up 2 Thumb down 0

  5. Кристина

    Здравствуйте Сергей.

    У меня с флешки доктор вэб переместил в карантин файлы, зараженные трояном кей логгером 2289. Есть ли возможность восстановить потерянные файлы на флешке?

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Здравствуйте!

      Кристина, сейчас ваши файлы находиться в карантине? На флешке что у Вас? Объем занят?

      Ваша оценка: Thumb up 1 Thumb down 0

      1. Кристина

        На флешке удалились вирусные файлы с расширением exe, но объем больше, чем информация на флешке. Скрытых файлов или папок не обнаружила, а все, что вэб удалил, переместилось в карантин на компе. На флешку больше ничего не записывалось

        Ваша оценка: Thumb up 0 Thumb down 0

        1. Карабельников Сергей

          Кристина Вы уверенны, что на флешке нет скрытых файлов? Им может быть присвоен атрибут “системный”. Попробуйте использовать мой файл, который я приложил к статье.

          Если не поможет, отпишитесь, будем думать дальше :)

          Ваша оценка: Thumb up 2 Thumb down 0

          1. Кристина

            Спасибо огромное. Все получилось. Использовала Ваш файл. Все папки восстановились.
            Вы меня просто спасли!

            Ваша оценка: Thumb up 0 Thumb down 0

          2. Карабельников Сергей

            Пожалуйста! Рад, что смог Вам помочь )))

            Ваша оценка: Thumb up 1 Thumb down 0

  6. Валентина

    Здравствуйте, у меня проблема, после удаления вируса на флешке папка перешла в ярлык и не открывается ((( там важная информация. Не знаю, что и делать! Впереди выходные, не знаю и куда обратиться. Помогите, пожалуйста!!!

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Здравствуйте!

      Валентина, прочитайте внимательно мою статью, в ней есть решение Вашей проблемы. Также, можете использовать файл приложенный к статье для восстановления скрытых файлов!

      Ваша оценка: Thumb up 0 Thumb down 0

  7. Ирина

    Добрый день, подскажите пожалуйста, если флешка заражена и ее вставить в телевизор – телевизору это не повредит?)))

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Здравствуйте!

      Если только Ваш телевизор не работает под управлением ОС Windows :)
      Смело тыкайте в телевизор, ничего не будет!

      Ваша оценка: Thumb up 0 Thumb down 0

  8. Максим Игоревич

    Здравствуйте, Сергей (Простите, не знаю Вашего отчества)!
    Вчера столкнулся с проблемой заражения двух своих флешек.. Мой антивирус помог тормознуть “супостата”. Однако очень ценная для меня инфо оказалась недоступной для чтения (хотя подозревал, обоснованно, что инфо ещё не пропала и не видна для меня!).
    Скачал и применил предложенный Вами файл install.bat..
    Сработало и под мою Win’8.
    Благодарю Вас искренне!!!!

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Спасибо! Рад, что моя статья Вам помогла :)

      Ваша оценка: Thumb up 0 Thumb down 0

  9. Леся

    Как удалить trashes с флешки и ноутбука? Объясните пошагово.

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Леся, в статье все расписано пошагово! Что Вас не устраивает?

      Ваша оценка: Thumb up 0 Thumb down 0

  10. Сергей

    Прочитал статью, попробовал пошаговую инструкцию – не помогло, скачал Ваш файл, запустил – безрезультатно! Система WIN 7 full. Как быть? Спасибо за ответ!

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      В вашем случае стоит обратиться к специалисту!

      Ваша оценка: Thumb up 0 Thumb down 0

  11. Алекс

    Спасибо огромное за совет

    Ваша оценка: Thumb up 0 Thumb down 0

  12. bauka

    Вам спасибо огромное за эту статью

    Ваша оценка: Thumb up 0 Thumb down 0

  13. alina

    Сергей, скажите, пожалуйста, как проще определить, с какого компа поймали вирус. С того, при подключении к которому появились ярлыки, или все-таки раньше, на предыдущем? повторяется ситуация в одном и том же месте.

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Если при подключении к компьютеру у Вас появляются ярлыки, то однозначно этот компьютер является инфицированным. Не исключено, что и другие компьютеры тоже. Рекомендую, провести чистку всех компьютеров вместе с флешками.

      Ваша оценка: Thumb up 0 Thumb down 0

  14. самир

    спасибо брат!Выручил!Пишу из Баку!

    Ваша оценка: Thumb up 0 Thumb down 0

  15. АННА

    Я УЖЕ УДАЛИЛА ВИРУСЫ. СДЕЛАЛА ПЕРВЫЙ ПУТЬ ВОССТАНОВЛЕНИЯ ПРЕЖНЕГО ВИДА ПАПОК. НО ПОЧЕМУ-ТО ОНИ ТАК И ОСТАЛИСЬ ПРОЗРАЧНЫМИ.В ЧЕРНОМ ОКНЕ ПИШЕТ НЕТ ДОСТУПА.

    Ваша оценка: Thumb up 0 Thumb down 0

  16. Страница 4 из 4«1234

    View all comments

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Вы можете использовать эти теги HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>