«

»

Мар 09

Распечатать Запись

Борьба с вирусами на флешках и восстановление скрытых файлов

Сегодня я бы хотел вам рассказать о том, как уничтожить вирус на съемных носителях и восстановить скрытое содержимое (файлы, папки) путем просто изменения атрибутов.

Ко мне очень много раз обращались с просьбой о помощи. Проблема заключалась в том, что вирус попадая на флешку скрывал реальное содержимое и создавал ярлыки на их запуск через себя. При этом происходило заражение ПК. После удаления вируса ярлыки на содержимое оставались нерабочими и при запуске система выдавала ошибку ссылаясь на отсутствующий файл. И многие пользователи вставали в ступор и задавали себе вопрос. Как же вернуть все файлы и папки? Неужели все пропало? Ответ однозначный, беспокоиться не стоит и все можно вернуть, очень простыми действиями! И так, если вам интересно и вы хотели бы помочь себе или своим друзьям, знакомым, тогда продолжайте читать ниже. Я раскрою сущность проблемы и её решение. Итак, поехали.

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки. По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки.

Если на флешке очень важные файлы, первым делом вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие вашей драгоценной папки. Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отображение скрытых файлов и папок.

Если у Вас Windows XP, то проходим путь: “Пуск->Мой компьютер->Меню->Сервис->Свойства папки->Вкладка вид”.

Windows XPНа вкладке «Вид» отыскиваем два параметра и выполняем:

  • Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку;
  • Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: “Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид”.

Windows 7Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:

Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycler на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.

Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить).

Шаг 3. Восстановление прежнего вида папок.

  • Удаляем все ярлыки наших папок — они не нужны.
  • Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

1. Первый вариант. Открываем: Пуск->Пункт Выполнить->Вводим команду CMD->нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера);
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

2. Второй вариант — создать текстовый файл в корне флешки. Записать команду attrib -s -h /d /s в него, переименовать файл в install.bat и запустить его. В случае, когда у вас не получается создать такой файл — вы можете скачать мой .bat файл в конце статьи. Если файлов много, то возможно потребуется время на выполнение команды.

После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли ваш ПК переносчиком вируса?

Если у вас есть подозрение, что именно ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS…USB…, где точки — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Касперским Removal Tool. Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Вроде бы все, обращайтесь и спрашивайте в комментариях — всегда отвечу.

Дополнение:

В этой статье описывается, как сделать системные файлы видимыми, на примере Windows 7, Windows XP, но для Windows Vista порядок действий точно такой же.

Скачать
Скачать install.bat – файл для изменения атрибутов.

Об авторе

Карабельников Сергей

Сергей является владельцем этого блога, и большинство записей здесь вышло из-под его пера. Он также давно и успешно занимается развитием IT (информационных технологий) МАУЗ ДГБ г. Новотроицка. Основная деятельность: системное администрирование, веб разработка и сетевое планирование. Подробнее обо всем этом здесь.

Постоянная ссылка на это сообщение: http://sysadminblogs.ru/fight-against-viruses-on-flash-cards-and-recovery-of-hidden-files.html

112 комментариев

Перейти полю для комментария

  1. Gulnura

    помогите мне пожалуйста на моей флешке появились ярлыки и они не удаляются, удаляю они снова появляются, и папки прозрачными стали что делать??

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Во-первых, необходимо удалить вирус с флешки любым антивирусным сканером. Во-вторых, удалить ярлыки и восстановить первоначальные атрибуты файлов с помощью утилиты прилагаемой в статье.

      Если Вы не понимаете о чем речь, лучше обратитесь к любому ИТ-специалисту.

      Ваша оценка: Thumb up 0 Thumb down 0

  2. Gulnura

    Documents.vbe я форматирую флешку на почему то именно это не удаляется что это?

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Это скрипт. Скорей всего у Вас еще и компьютер заражен на котором Вы форматировали флешку. После форматирования данные удаляются.

      Ваша оценка: Thumb up 0 Thumb down 0

  3. Gulnura

    и что посоветуете теперь, я компьютер проверила но вирусы не обноружены

    Ваша оценка: Thumb up 0 Thumb down 0

    1. Карабельников Сергей

      Все что мог, я уже Вам посоветовал!

      Ваша оценка: Thumb up 0 Thumb down 0

  4. Страница 5 из 5«12345

    View all comments

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Вы можете использовать эти теги HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>