Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками. Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:
- Первая запускает и устанавливает вирус на Ваш ПК
- Вторая открывает интересующую Вас папку
Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е. им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.
Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками
Удаляем исполняемые файлы вируса на USB флешке
Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?
- В проводнике Windows включаем отображение скрытых и системных фалов.
- В Windows XP: Пуск-> Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид. На ней снимаем галку у параметра «Скрывать защищенные системные файлы (рекомендуется)» и устанавливаем у «Показывать скрытые файлы и папки».
- В Windows 7 путь немного другой: Пуск->Панель Управления->Оформление и персонализация->Параметры папок->Вкладка Вид. Параметры те же самые.
- Для Windows 8/10 инструкция есть в статье Показать скрытые папки в Windows 8.
- Открываем содержимое флешки, и видим на нем множество ярлыков на папки (обратите внимание на значок ярлыка у иконок папок).
Теперь нужно открыть свойства любого ярлыка на папку (ПКМ -> Свойства). Они будут выглядеть примерно так: 
Нас интересует значения поля Target (Объект). Строка, указанная в нем довольно длинная, и может выглядит примерно так:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backup
В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:\windows, C:\windows\system32 и в профиле текущего пользователя (о них чуть ниже)).
Так же рекомендую посмотреть исполняемые файлы вируса в следующих каталогах:
- в Windows 7, 8 и 10 —
C:\users\имя_пользователя\appdata\roaming\ - в Windows XP —
C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\
Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).
В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде .bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).
Теперь клик по ярлыку не опасен!
Проверка системы на наличие команд автозапуска вируса
В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).
Другие способы автозапуска программ в системе описаны в статье Управление автозапуском программ в Windows 8.
Восстанавливаем вид каталогов и доступ к папкам
После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны
Ручной способ восстановления атрибутов скрытых папок на флешке
- Открываем командную строку с правами администратора
- В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
cd /d f:\
, гдеf:\— это буква диска, назначенная флешке (в конкретном случае может отличаться)
attrib -s -h /d /s
, команда сбрасывает атрибуты S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.
В результате все данные на накопителе становятся видимыми.
Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов
Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.
С этого сайта скачайте файл clear_attrib.bat (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:
:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
При запуске программа просит вас указать имя диска флешки (например, F:), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.
Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!
Автор, спасибо огромное. Я уже думал, что флешке хана
большое человеческое СПАСИБО!!!
Спасибки огромное… Все получилось
Огромное спасибо автору за отличный материал. Думал хана или флешке или компьютеру. Подхватил вирус, он передался на флешку. Вставил флешку из фотоаппарата он перескочил туда, а флешка чужая, не знал что делать. Спасибо за помощь все востановил.
Пишет устройство не готово(((
Виктория На каком этапе появляется эта ошибка? Подозреваю, что вам нужно проверить букву диска, присвоенного вашей флешке и изменить путь в скрипте.
Огромное спасибо! Очень полезная статья. И написано всё понятно — сразу разобралась, а то уж испугалась, что все данные пропали. 🙂
Спасибо
Спасибо!!!
Спасибо, спасли флешку в течении 5 минут! Как хорошо, что есть люди, которые владеют такими полезными знаниями!!!
Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид «меню сервис» у меня такого нету(
Улугбек Какая версия Windows и редакция (Home/Pro/Ultimate)установлена?
Огромное спасибо!
СПАСИБО ВАМ ОГРОМНОЕ!!!
А что если папку recycler открыл? Вирус распространится?
Kaisar Все правильно, будет выполнен код, заложенный в вирусе (что конкретно от сделает — зависит от фантазии и целей вирусописателя)
выкл-вкл комп, вирусом не пахнет, все папки как папки
(ни одного ярлык-папки не открыл)
может ресайклер все-таки не заразный???)
Kaisar Может и не заразный: например его блокирует антивирус, или на флешке самого файла вируса уже нет.
Однако крайне рекомендую проверить компьютер и флешку свежей версией антивируса (не обязательно платного: drweb cureit, avira free)
антивирь не всегда поможет, тока attrib -h -r -s -a /D /S
Все правильно, антивирь не должен править атрибуты файло. Не его это задача 🙂
из дополнительных симптомов: таргет к ресайкл не прописан, а бат-файл говорит, что ему отказано в доступе к изменению атрибутов. Могу приложить фотку на чье-нибудь мыло
Опишите ситуацию со скриншотами на нашем форуме: http://forum.winitpro.ru/
братка, ну ты просто красавчик, — выручил, от души тебе
Оооооооочень большое СПАСИБО!!!!!!!!!
Спасибо. Очень помогло описание решения проблемы =)
Большое спасибо автору, мне очень помогло:) Под угрозой были 300гб фоток
Здравствуйте, я столкнулся с этой проблемой. Я нашел файл типа .exe в папке RECYCLER, удалил его, сделал все файлы видимыми. Все отлично и все сработало думал я, но проблема оказалась в другом, выткнул флешку, воткнул еще раз, опять тот же геморой. Посмотрел название этого вируса на системном диске в appdata\roaming, найти его там не удалось. Не знаю в чем проблема, надеюсь на вас.
Скорее всего заражен компьютер, который и заражает флешку повторно. Выполните полную проверку систему антивирусом с актуальными базами (как вариант подойдут антивирусы, работающие без установки, например, drweb cureit или Kaspersky Virus Removal Tool/ Security Scan)
Нашел несколько вирусов троянов и backdoor, которые быстро удалил. Но что-то на подобии RECYCLER не нашел.
Вероятно антивирус отнес его к одному из этих классов. Проверьте флешку, перезагрузитесь и посмотрите, вернется ли проблема.
Нашел несколько троянов и backdoor. Найти что-то с моей проблемой не удалось. Но после того, как я нажал обезвредить,он встал на каком-то из файлом и остановился. В процесах увидел 1h3a7h9o.exe. Что это не могу представить..
Нашел trojan и backdoor, backdoor — это тот же троян, как мне известно. Но вирусов, связанных с ярклыками, найти не смог.
Все, после повторного прохода по флешке работа нормализовалась. Все работает, спасибо Вам огромное!
Не помогло. Помогло снятие атрибутов у скрытых папок через Far.
аналогично, Far помог
Здравствуйте,у меня проблема наподобие этой.На моём компе есть папка фото,вчера заходила в неё всё было нормально.Но сегодня эта папка стала ярлыком.Что делать,помогите….
Здравствуйте! Включите отображение скрытых файлов. Появится ли среди скрытых файлов нужная папка? Что указано в свойствах ярлыка, куда он ссылается?
когда проверяеш касперским показывает путь к папке:
H:\..\новая папка
Но программа пишет:
«не могу изменить атрибуты.»
Вы имеет в виду скрипт пишет «не могу изменить»?
Да.
Здравствуйте! Когда я делаю «РУЧНОЙ СПОСОБ» , то при написании второй команды, у меня появляются строки , в которых написано «Нет доступа: Е : \$RECYCLE . BIN\S — 1 — 5 — 21-…» и дальше множество цифр
ещё там написано так же,но без BIN
ЧТО ДЕЛАТЬ?
Вы работает под учетной записью с полными правами? Если да, Попробуйте запустить командную строку от имени администратора(run as administrator). Если не поможет, попробовать сделать свою учетную запись владельцем всех объектов на флешке(вкладка Security->advanced->owner), а потом дайте себе полные права на все объекты. Затем выполните указанные команды. Если что-то не получится — у нас есть форум, попробуйте подробнее описать проблему, и там вам помогут.
А где найти это » Security->advanced->owner»?
Правой кнопкой по диску или папке->Свойства->Вкладка Security (если она не отображается отключите опцию «Использовать мастер общего доступа (рекомендуется)» в свойствах папки )
Я полный даун в компах. Запустила батовский файл, папки появились, но ярлыки никуда не ушли. Удаляю в свойствах ярлыка exe., удаляю потом ярлык, но он все равно опять появляется. У меня виндовс 7, в аппдата в папке роаминг никаких файлов exe нет. Антивирусники ничего не нашли.
Даже отформатировав флешку, на ней все равно остается скрытая папка. Называется wpshare. И к ней идет ярлык)) Как мне вылечить и комп и флешку, учитывая, что для все эти командные строки для меня как китайская грамота?((
Если и после форматирования папка остается, то точно где-то в компьютере засел вирус, который копирует себя на чистую флешку
Антивирусники ничего не нашли, ни на флешке, ни в компе. Нашла на диске С файл с таким названием wpshare почему-то в папке с виндовс медиаплеер. Удалила. Прикол в том, что эта скрытая папка вылазит только на одной флешке. На остальных в упор нету.
Возможно что-то свежее и антивирусы еще не детектируют его. На какой исполняемый файл ссылается ярлык wpshare? (как посмотреть путь описано в статье)
C:\Windows\system32\cmd.exe /c start wpshare\wpshare.vbe &&%windir%\explorer.exe %cd%c
Вот у меня , такая же проблема !!!!
такая же байда! где он засел то?
Это же надо быть таким умищем!!!!!!))))))))))
Я оооооочень благодарна Вам, у меня всё получилось ))))
Благодарю безмерно!
огромное спасибо!
Спасибо ОГРОМНОЕ !!! Только у меня не этот: «RECYCLER\e3180321.exe» был, а другой какой то. Но всё помогло !
Вот этот был: %SystemRoot%\system32\cmd.exe /c «%SystemRoot%\explorer.exe %cd%.Trashes & start %cd%kDeTmnCYoyEMiRl.exe & exit»
Вот этот был: «%SystemRoot%\system32\cmd.exe /c «%SystemRoot%\explorer.exe %cd%.Trashes & start %cd%kDeTmnCYoyEMiRl.exe & exit»
Вдруг кому пригодиться — он тоже лечится.
Модератор огромное спасибо! Эта прога очень помогла!!!
Пуск->Мой компьютер->Меню Сервис->Свойства папки->вкладка Вид, и скажи пожалуйста где именно искать файл «start %cd%RECYCLED\e2a38afd.exe &&%windir%\
Файл вируса e2a38afd.exe лежит в скрытом каталоге RECYCLED на системном диске (C:\) или флешке, смотря в каком контексте выполняется
СПАСИБО ОГРОМНОЕ!!!!!
Проблема начиналась так же, пришли в институт, после работы там за компьютером не у кого не работали флешки. Я пришла домой (дома был антивирус, но он позволил открыть флешку) и заразила компьютер. Потом вручную вроде удалила вирус wpshare, хоть и теперь комп немного глюкнуть работает.А теперь благодаря вашей замечательной статье решила проблему с флешкой.
А как ты нашла этот вирус wpshare ???
А о я не могу найти!!!
Вирус делает из папок на флешке ярлыки. Сам вирус можно найти скрытом каталоге на флешке под названием wpshare. Но похоже и система сама винда уже заражена, т.к. когда я его удаляю, через некоторое время он опять появляется. Касперский с последними базами пока молчит….
СУПЕР!!! Важная и нужная помощь!БЛАГОДАРЮ БЕСКОНЕЧНО!
Автор, побольше бы таких людей как ты!!!!!!
Я на свою голову, как только увидела неполадку, не в интернет пошла, а файлы спасать. В итоге ярлык был открыт, а вирус установлен (предполагаю) на комп. В итоге: батовский файл ничего не находит и ничего не удаляет. Антивирус (Нод 32) чистит один и то же вирус (точнее, их там 2 или 3) по несколько раз. Правда, после сканирования батом рядышком с ярлыками и нормальные папки появились.
Я, конечно, понимаю, что сама наломала дров. Но ситуацию исправить как-то возможно теперь? В комментариях так и не смогла найти полную программу действий конкретно под мою ситуацию.
Папки на флешке целы? Если да обновите антивирусные базы (как вариант прогнать еще бесплатным антивирусом от касперского или cureit от drweb-а), скопируйте всю важную инфу на комп, отформатируйте флешку и выполните полную проверку компа на вирусы…
Уже и просканировала, мой нод сказал что все чисто. Претензий к работе компа нет, симптомов тоже нет. По сути, ничего не беспокоит, есть только опасения, что вирус засел где-то и шифруется, и выстрелить может в какой-нибудь момент. Но я так понимаю, что я сделала все верно и его нигде не должно было остаться?
Видимо все чисто…
Еще прикол в том, что в некоторых случая «вирус», который скрывает папки на флешке является не совсем вирусом, а некой программой-шуткой, не выполняющей никаких деструктивных действий кроме скрытия папок, поэтому и антивирусом такой «весчельчак» может не обнаруживаться…
Не забывайте в дальнейшем регулярно обновлять антивирус.
Обычно, вирус wpshare, после того как его запустили с ярлыка на флешке, поселяется в компьютере по адресу C:\Program Files\Windows Media Player\wpshare.vbe не путать с файлом vmpshare.exe. Файл соответственно тоже скрытый как и на флешке. Удаляем файл, обязательно перезагружаем компьютер, затем чистим флешку.
Включите отображение скрытых файлов и папок, скорее всего сейчас они не отображаются — так по крайней мере вы убедитесь, что Ваши папки никуда не пропали
Здравствуйте! запустила ярлык с флешки, затем форматировала флешку. но дело в том что на компе диск разбит на два раздела удаляю папку с вирусом на одном — он появляется на другом. пожалуйста подскажите что делать, на компьюторе очень ценная информация
Проверьте комп последней версией антивируса с последними базами данных — у вас где то червячок сидит, нужно в первую очередь именно его выковырять из системы, а потом снимать атрибуты скрытости с каталогов и править ярлыки
у меня вся флешка в виде ярлика, не открывается вообще, что мне делать,
моя флешка в виде ярлика и вообще не откривается, WOZGRNLM.FAT вот что пишет когда я хочи открывать флешку, что мне делать?
Очень бы хотелось увидеть, как это выглядит — зарегистрируйтесь на нашем форуме, заведите новую тему и приложите скриншоты : как вы открываете флешку, какая ошибка и т.д.
Есть ощущение, что срабатывает модифицированный вирусом автозапуск, либо Вы запускаете «кривой» ярлык.
я влключаю флешку , а на экране показывает, disc:F в виде ярлика и не откывает ничего, на там покзаывает , что информация на флешке есть, не удалено.а антивирус показывает , что там вирус. ошибка WRGLINM.FAT вот что пишет
Срабатывает автоматический запуск с флешки, просто не открывайте ее таким образом…
Откройте флешку с помощью любого файлового менеджера (far, total commander), или перейдите в «Мой компьютер», щелкните правой кнопкой мыши по флешке и в меню выберите «Открыть» — > должно отобразится содержимое флешки. Включите отображение скрытых файлов, найдите и удалите файл Autorun.inf.
Если хотите понять, что же запускает автзапуск (в нем есть указание на файл с вирусом), выложите содержимое этого текстового файла тут (откройте его с помощью обычного блокнота).
да я этого делала галочку поставила, «показать скритые фалы», ничего не показывал,потом спомошю total commandor,тоже дает ошибку,остается делать формат, хотя там важние инфомации были
помогите!!! все папки на флешке заблокированы! пишет: «отказано в доступе, файл или папка повреждены. чтение не возможно». авторанов и скрытых папок на флешке нет, тотал коммандер тоже не открывает
при копировании этих папок ошибок не выдает и они копируются, но пустыми
может кто сталкивался, что делать???
Проверьте есть ли доступ на уровне NTFS (свойства папки — вкладка безопасность), а лучше обратитесь к знакомому ит-шнику, а то совсем загубите всю инфу на флешке
После того как открыла файл clear_attrib.bat. высветилась ошибка процесс не может получить доступ к файлу, так как файл занят другим процессом. Что делать?
Файл на флешке кем-то занят (может вирусом). Попробуйте закрыть все открытые файлы на флешке, если не поможет попробуйте запустить скрипт на чистом компе
аааааааааааааааааааааааааа.автор!!вы лучший)))спасибо огромное вам))))))))
Во-первых, огромное спасибо автору статьи!!! Вирус цепанул на работе и всё, что нажито непосильным трудом…. :(. На работе выручил коллега — у него ноут под Убунтой — файлы видит, вируса не боиться. Тупо скопировали с флехи на комп, отформатировали флеху и скоприовали обратно. Обрадовался… Пришел домой — та же фигня, но уже с внешним винчестером (он побывал в компе-заразе)… Вот тут я Вас и нашел 🙂 Еще раз спасибо!!!
ОГРОМНОЕ СПАСИБО!
СПАСИБО!!! Всё чётко! с архивом почти попрощалась, а тут такая инфа!!!! Очень признательна!
нет слов спасибо большое
Притащил друг флешку и заразил мне мой жёсткий диск. Я сначала не знал что это вирус и открывал папки. Потом узнал и поставил антивирус. Проверил все диски и жёсткий — нашёл 7 вирусов ( один на жёстком диске, второй на компе в папке windows, они то наверно как раз и были теми вирусами с флешки, а остальные вирусы это так, были скорее всего ещё до неё) После проверки, на жёстком диске у меня осталась только одна скрытая папка «.Trashes», больше ничего. Но в свойствах показывает что занято 400 гигов, значит файлы где то есть. Батник не помогает, пишет: нет доступа. Что делать?
А, не не не, всё появилось! Ура, спасибо вам.
Ура! всё получилось! спасибо! 🙂
благодарюююююююююююююююю!!! ))))))))
Спасибо,очень признательна!
У меня на флешки скрытый фаил KTudAIJogIqORXy.exe наверное вирус и не удаляетса что делать. И появились ярлыки моих папок.
Файл кем-то используется или запущен. Проверьте нет и подобных процессов в планировщике задач. Кем используется файл можно понять, например, с помощью утилитки unlocker.
Ну и конечно установите и обновите до последней версии антивирус, иначе заразу никогда не искорените.
Спасибо большое!!!! Получилось и всё осталось! А вирус скачала из компа в налоговой, когда скачивала программу и уже только на работе появились все эти ярлыки))))
Красавчик автор!Огромное человеческое спасибо!
Спасибо пребольшое, все помогло )))
Спасибо огромное! Вы спасли мне жизнь!
После выполнения всех инструкции из этой статьи, проблема как бы решилась и как бы и не решилась, а конкретнее: удалилось 70% папок(нужных), из оставшихся папок одна папку продолжает выдавать туже ошибку. Антивирус вылечил и удалил все вирусы какие смог найти.
А файлы как не открывались нормально без ошибки так и не открываются
спасибо старичок думал 500 ГБ различной информации уже не вернутся
Спасибо! Только ваша статься и помогла,я думал я с эти никогда не разберусь)
Автор!!! Спасибо Вам за помощь. Дай Вам Бог здоровья и сил для помощи другим. Побольше бы таких ,как Вы.
автор привет,окажи помощь на флэшке ( micro cd) поселился вирус wpshare скачал set_attributes_Acid.Name снял атрибуты начал удалять папку,вирус и его ярлыки но через 1-2 секунды вирус тут же возвращяется,что делать в данной ситуации?
Ставить хороший антивирус с последними базами — пока не победите вирус в системе, флешку лечить безтолку.
Спасибо огромное!!! Принесла вирус с работы, а он перекинулся не на флешку, а на электронную книгу, с которой я сегодня планировала делать доклад на крутой конференции. На ней просто перестали показываться документы.
За 10 минут до выхода я нашла эти рекомендации и спасла свой доклад
Автор-красавчик,- респект.
Просто и доступно, все OK.
Уважуха.
Всем пожалуйста 🙂
>в Windows 7 – C:\users\имя_пользователя\appdata\roaming\
>Если в этих каталогах имеются файлы с расширением «.exe», то скорее всего это файл вируса и его можно удалить (на незараженном компьютере в этом каталоге .exe файлов быть не должно).
Майнкрафт — вирус)))
никакой папки <RECYCLER» нет. Появляется каждый раз, когда вставляешь флэшку, скрытая папка «.Trashes», в свойствах объекта хрень, не дает удалить папку. Каждый раз приходится форматировать, ни касперский, ни livecd nod не помогает. Где сидит этот чертов вирус, из-за нее даже cmd потерялась. Запарился уже (((
Автор большое вам спасибо, на флешке была диссертация и она не открывалась…Долгих лет вам жизни, хорошо,что есть такие люди на свете как вы=)))
что делать если антивирус уже удалил все файлы на флешке и не каких файлов там больше нет ?
%SystemRoot%\system32\cmd.exe /c «start %cd%menu.lst & start %cd%bMYuJnTnQbaqzTq.exe & exit»
а у меня такой адрес
скажите,пожалуйста, где искать этот вредоносный файл
В зависимости от версии ОС: либо в каталоге c:\windows\system32 либо в каталоге с профилем текущего пользователя c:\users\username. Имя файла с вирусом bMYuJnTnQbaqzTq.exe
сделать папку с именем вируса — это и есть защита
_http://www.vrezka.com/portal/index.php?nma=news&fla=stat&page=1&nums=292
чмоки -чмоки спасибо огромное
БОООльшущее спасибо за Ваш труд! Благое дело сделали. Восстанавливал данные на внешнем жестком диске пораженном вирусом. Использовал автоматическое восстановление. Желаю успехов!
респект и уважуха автору, думал каюк столько инфы, как подумаю аж хреново становится
Нереально выручила статья!!!!) СПАСИБО!
Спасибо огроменное….на флешке были фото с выпускного…только у меня вместо RECYCLER было games.exe
привет!!! краткая предыстория!!! попала мне эта хрень, извиняюсь за выражение, со смартфона Nokia N8, и пошло и поехало , весь дом заражен, два системника, фотоаппарат, ноутбук, все дивайсы. ужас!! а вот на счет симптомов: на семерке — после зарожения, при подключении любого носителя через USB, стали высказывать окна, не помню надпись, и пока его пять раз не закроешь, окно это не исчезало. но и после того через пару минут опять открывалась. что бы этого не происходило, после подключения USB, через диспетчер задач, останавливал один из процессов svhost, и тогда проблем с окнами не было. а вот в xp не возможно открыть скрытые папки . после настройки сервиса папки, как поставил нужные галочки, выйдя из настроек, и снова запустив галочки над (показывать скрытые п. и ф) не стоит. удалить или отформатировать флэшку не удается, занята каким то процессом, только через Unlocker. и кстати антивирус касперского ничего не находит. Как бы с девайсов его удалить этот вирус??
Нужно понять где лежат исполняемые файлы вируса и удалить их руками. Посмотрите какая команда прописана в свойствах «ярлыков» на папки (как это сделать описано в статье)
Блин папки появились,но и ярлыки остались,ярлыки не удаляются-пишет что являются системными)ну все равно спасибо-хоть могу папки открывать)))))
Здравствуйте!У меня проблема такого же типа.Попыталась исправить все просто удалив строку во свойствах,но ничего не получилось,потом вручную и мне выбивает строку «Недоступный ключ -h/d/s». Мучаюсь с этой проблемой уже давно, сначала флэшки,теперь карта памяти от фотика. HELP ME!!!!!
Еще раз внимательно прочитайте инструкцию и проверьте правильность введения ключей, похоже просто допустили какую-то ошибку.
Я всё сделала, но когда запустила файл clear_attrib, оно открыло флешку, а на ней все имена файлов написаны квадратиками, цифрами и ничего не открывается. Перед этим флешкой пользовалась мама и там остались важные файлы. Понятное дело, ярлыки открывали. Скажите, можно ещё что-то спасти? Документы то очень важные
Огромное Вам спасибо! Сработало! Почему доктор Веб пропускает эти вирусы? Ведь я сразу включила проверку на вирус, прежде чем открыть флешку. Сканер показал, что вирусов нет. а там — ярлыки.
Он эти ярлыки вообще за вирусы не считает…
Спасибо огромное, чувак! Выручил!
Божечки!!! спасибо вам огромное!!!! я уже попрощалась со своим мр3 плеером!!! спасибо! спасибо вам!!!!!!!!
почему я все как написано делаю,но у меня с компа этот вирус не удаляется???и на флешке включаю батник,но вирус удалить не возможно с флешки,пишет,что файл занят другой программой!!!?????????
Выложенный тут bat- ник не лечит систему от вируса, он помогает от его последствий :).
Вообще, похоже, что вирус сидит в памяти, и ни дает ничего редактировать на флешке. Для начала — хорошо бы установить свежий антивирус и почистить систему от зловредов.
Спасиииииииибо ОГРОМНОЕ, очень помогло)
Прочитала вашу статью, очень поучительная. Я сделала все по инструкции, но у меня все папки оказались пустыми. А когда осуществляю поиск, программа пишет, что искомый файл стал ярлыком, и перемещен. Место нахождения файла прослеживается, но там тоже пусто. И на компьютере и на флешке нужный мне файл не отображается. Что делать?
Вы точно включили отображение скрытых и системных файлов и папок?
Да!
Вы можете на основании информации о занятом места на флешке сделать вывод о том, есть ли на ней какие-то данные или нет? Куда указывают ярлыки, не на системный ли диск?
В свойствах папки размер показывает, что в файле есть данные, но не все: только одна папка занята, а остальные с расширением .zip пустые и никакого места не занимают. Ярлыки действительно указывают на системный диск, но при попытке открытия «выплывает» ошибка. Скажите, есть ли у меня шанс восстановить нужные мне данные или они навсегда потеряны?
Тут все слишком индивидуально — в рамках сайта или форума проблему решать слишком долго. Обратитесь к любому мало-мальски грамотному админу,он вам за 10 минут все разрулит.
СПАСИБИЩЩЕ ОГРОМНОЕ!!!!!!!! Спасли два тб подводных съёмок!
Спасибо огромное за четкие инструкции, ни чего лишнего, всё по делу, без заумных слов. Всё получилось. СПАСИБО!
Да! Я сделала все по инструкции
Запустил бат и все ярлыки и папки удалились. что делать?
Данный скрипт удаляет только ЯРЛЫКИ папок, а не сами папки! Проверьте, что у вас включено отображение скрытых и системных файлов, Сколько места на флешке реально занято?
После всех проведенных мною ухищрений мне таки удалось восстановить нужную мне архивную папку на рабочем столе, но открываться она не хочет, ошибка формата. Места на флешке занято очень мало 156 Мб- столько весит одна уцелевшая папка, ПОМОГИТЕ МНЕ ПОЖАЛУЙСТА!!! я не знаю, что еще делать…
Установи любой файловый менеджер, который показывает скрытые и системные файлы и посмотри какие скрытые каталоги есть на флешке, и есть ли в этих каталогах скрытые данные. Если ничего — нет — скорее всего вирус реально грохнул все документы, в этом случае воспользуйся любой программой по восстановлению удаленных файлов…
С*к*,я зае***ся….запускаю ваш батник(на флешке естественно) он делает все папки видимыми,но с*к* я не могу удалить вирус с флешки-пишет,что «Не удается удалить sdghsdigsl.exe Объект используется другим пользователем или программой.Закройте все программы ,которые могут использовать этот файл и повторите попытку.»что за фигня???
Вирусняк сидит в памяти — вот и все. Установи нормальный антивирус, если уже стоит — придется удалить это exe файл в безопасном режими или, загрузившись с Erd диска
теперь вот это на понятном языке объясни-«придется удалить это exe файл в безопасном режими или, загрузившись с Erd диска»
Нужен загрузочный диск с Windows 7 (например ERD) найти его можно на любом торренте. Качаете образ,Ю записываете его на болванку или флешку, перезагружаетесь, в биосе ставите загрузку с cd/флешки.
Загружаетесь с загрузочного диска, в проводнике находите файл и удаляете его.
ЗЫ. А что насчет нормального антивируса? он есть?
Спасибо огроменное, вы мне прям жизнь спасли будете в Полтаве пишите на мейл проставлюсь, отвечаю!!! Еще раз спасибо!
Заметано 🙂 !
Огромное СПАСИБО!!!!! Все получилось!
Класс, всё работает, отлично. Я думал флешке капец, СПАСИБО Большое!!!!
Мне не помогло ничего вот вирус start %cd%IXjAgJQWfCiaaKr.exe пробовал все и скачивал файл который вы выложили сюда
У меня модификация вируса — вместо exe на флешке файл app.vbe, он же появился в программы Автозапуск. Удалить не получается ни с компа, ни с флешке — файл появляется снова стоит зайти в папку. Код прочитать не получается — закодирован.
Срочно проверяй комп последним антивирусом — у тебя явно какая-то зараза в памяти сидит. Попробуй еще проверить комп AVZ -ом
У меня модификация вируса — вместо exe на флешке файл app.vbe, он же появился в программы Автозапуск. Удалить не получается ни с компа, ни с флешке — файл появляется снова стоит зайти в папку. Код прочитать не получается — закодирован.
у меня была модификация *.vbs избавился восстановлением системы поздним числом
Большущее спасибо
Всё получилось, но стоит вытащить флешку и вставить обратно в комп- картина прежняя- ярлыки! В папке roaming чисто. Постоянно появляются папки $RECYCLE.BIN и .Trasher.
К гадалке не ходи — на компе живет какой-то вирусняк. Антивирус хотя бы стоит?
Да, стоит Dr.Web. Я решила не удалять с флешки папки $RECYCLE.BIN и .Trasher, теперь при запуске папки не превращаются в ярлыки, но появляются ещё и файлы .cmdb и .cm0012. Форматирование не помогает- заражен комп. Проверяла его и AVZ-ом, и сканировала антивирусом- тот ничего не нашел. Проще наверно переустановить Винду, но у меня стоит программа 1С, а установочного диска от неё нет. Боюсь, она не восстановится. 🙁
Помогите пожалуйста.У меня поле Target (Объект) не такое как показано выше . Строка указанная в нем довольно длинная и выглядит так: %hoMEdrive%\WINDOWS\System32\rundll32.exe ~~KMSZWHMVKPBJYIIXQ.ini, lnk И у меня вместо папок всего лишь один ярлык. Где у меня вирус и что мне нужно делать с этим.
Вирус явно в системе живет. Посмотри, куда ссылается файл KMSZWHMVKPBJYIIXQ.ini, lnk в каталоге C:\WINDOWS\System32..
а у меня на первой флешке все получилось (за что огромнейшее спасибо), а на второй папки прозрачные так и остались
все сделала , но не получилось .ярлыки неудаляются
в универе подхватила вирур на флешку ,дома в комп вставила флешке се документы со значками ярлык, но при этом открываютя, и какой то новый ярлуык виден Tresher , но на самом компе эти же документы нормальные без этих ярлыков и нормально открываются. но с компа все копируется с ярлыками.непонятно помогите разобраться
Такая же проблема. Но вирус удалил, а теперь файлы видны и вместе с ними ярлыки появляются. Флешку форматил, бат делал ниче не помагает.
А мне помогло!Огромное спасибо!В компе заразу удалил unlockerom.
Спасла и флешку и комп РАБОЧИЙ!! От шефа (он же и виновник вируса) и меня огромная благодарность.
почти всё получилось. но, здесь проблема: восстанавливаем вид каталогов и доступ к папкам: набираю коды ручным способом, когда набираю этот код d /d f:\ высвечивается что что то там не найдено, затем пердлагают программу зайти CHKDSK там пишут что параметр f не вписан или как то так что сделать?
всё получилось спасибо вам большое
у меня ярлыки на рабочем столе как их убрать ?
после того как я сделал папки видимыми на флешке то после того когда я заново вставляю в компьютер флешку появляются снова ярлыки
флешки почистил опять сую в компьютер и опять они портятся что делать
Нужно чистить комп от вирусов — он так и будет тебе флешки портить
Спасибо огромное))) Я думал документам кердык, а это автоматом увольнение. Все супер
Огромнейшее вам спасибо!!! Я чайник в компьютерах, но даже я смогла разобраться ка и что делать. Я уже было испугалась, что пропали все мои труды, но тут нашла вашу статью. Спасибо Вам большое!!
Либо устанавливаете Total Commander, открываете в нем флешку, на ней будут папки и ярлыки, а также какие то непонятные папки. Все, что не ваше, смело удаляете. Затем выделяете все файлы на флешке и в пункте меню «Файл — Изменить атрибуты» снимаете все галочки с атрибутов и жмете ОК. Через некоторое время у вас «здоровая» флешка. Ярлыки можно выделить и удалить все разом.
Спасибо!!! Реально помогли. Очень профессиональные, лаконичные советы и результат на лицо!!! Еще раз спасибо!
я все как тут написано сделал но появляется обычные папки на пару секунд и исчезает и ярлыки тоже остаются и ни чего не могу удалить помогите пожалуйста
Подскажите, что делать, если в поле объект такое:
%windir%\system32\RunDll32.exe shell32.dll,Control_RunDLL «.\game.cpl» («практика\host.exe»)
Вирус сидит в файле host.exe, который лежит на флешке (или в каталоге C:\windows\system32\) в папке «практика» (возможно они скрыты)
В этих папках нет такого файла.
Все отлично получилось. Огромное спасибо за помощь!!!
Спасибо тебе, добрый человек:)
Я уж думал, хана бедной флешечке!
На флешке вирус wpshare. Помогите убрать
у меня вирус называется app.vbe это сценарий для винды, и он запущен, так как я открывал по незнанию эти ярлыки папок. экзе легко удалить, а как удалить этот? где искать его процесс. может кто знает?
у меня такая же ерунда и суть в том, что в сети ничего об этом нету, а вирус есть.
Убрал с помощью утилитки wpshare с флешки ОГРОМНОЕ СПАСИБО!!!!!!!
У меня не сбрасываются атрибуты скрытности, ни в ручную, ни вашим файлом, вообще просто ничего не происходит, что это может быть? Не вечно же теперь этим файлам скрытыми быть?
Похоже на проделки вируса… Попробуйте добавить в реестр следующее значение:
откройте командную строку с правами админа
Выполните команду: Reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL» /v CheckedValue /t REG_DWORD /d 1
флешка на 16 гб занято из них 14 , но в компе не видно ни чего . кроме этого файла .cm0012 . что это значит помогите разобраться,
А вы случаем не забыли в проводнике включить отображение скрытых и системных файлов?
У меня файлы .cmdb и .cm0012 на флешке появляются после того, как я подключаю ее к телику (Самсунг) и смотрю с нее видео. Похоже это какие-то индексные или служебные файлы, в которых видеоплеер сохраняет информацию о просмотре (точку остановки, громкость и т.п.). Но они обычно по размеру небольшие — несколько килобайт всего…
Спасибо автору. С учетом что я полный чайник, но смог воспользоваться и файл clear_attrib.bat реально сработал!!!
Спасибо, ты крут, чувак)))
У меня был wpshare.vbe, прятался в с:\Program Files\Windows Media Player.
Автозапускался так:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
«wpshare»=»C:\\Program Files\\Windows Media Player\\wpshare.vbe»
лечение, обошелся без liveCD, поиск на компе -> удаление -> лечение флешек. все чисто 🙂
У меня тоже завелся этот wpshare.vbe, причем Касперский и drweb cureit его не детектировали, испортил мне все флешки и внешний USB диск. Удалил вручную с вашей подсказки, сбросил атрибуты скрытых папок и все стало ок, спасибо!!
Здравствуйте. На флешке вирус. Я пробовала убрать ярлыки по вашим инструкциям. У меня все получилось! Как сказано в инструкции в нужных папках ярлыки исчезли, остальные я сама удалила (по инструкции) Но не открывается папка(. Помогите!!! А в флешке программа консультант плюс
Спасибо огромное!! Все получилось)
Спасибо огромное! Облазил весь рунет, спас только Ваш .bat файл!
а у меня свойства ярлыка на флешке показывает такую вещь C:\WINDOWS\system32\cmd.exe /c start fmjhualjvp.vbs&start explorer фото&exit что делать? вирус попал на комп((
Скорее всего вирус сидит в каталоге C:\windows\system32 или на самой флешке (файл fmjhualjvp.vbs)
Спасибо большое!!!!
ПОМОГИТЕ ПЛИЗЗ
Я ЧАЙНИК В КОМПЬЮТАРЕ
В СВОЙСТВАХ ( оБЪЕКТ) НАПИСАННО ТАК ____
C:\WINDOWS\system32\cmd.exe /c start wpshare\wpshare.vbe &&%windir%\explorer.exe %cd%New Matrix 1
ПОДСКАЖИТЕ ТАМ ЕСТЬ ВИРУС ИЛИ НЕТ????
Да вирус есть удали всё до C:\WINDOWS\system32\cmd.exe /c И всё будет нормально.
как понять до C:\WINDOWS\system32\cmd.exe? и как удалить эту хрень?
Все отлично получилось. Огромное спасибо за помощь!!! Спасибо тебе, добрый человек:)
Спасибо огромное, симптомы были те же, одни ярлыки и ничего не работало, с дуру пытался их открыть но благо антивирус не дал этого сделать, с вашей помощью все удалил и папки появились. Вопрос. в файлах — Windows/ System 32, остался файл cmd.exe надо ли его удалять, пытался но не получается, попробую щас из безопасного режима удалить, но надо ли это делать?
Нееее, ты что! cmd.exe удалять не надо — это программа командной строки — без нее потом половина программ работать не будет!
Спасибо, бро, чуть не тупанул!Огромное братское спасибо еще раз!
К сожалению ни один способ не помог. Я когда нажимаю «открыть расположение папки» у меня открывается командная строка. Может ли это означать,что вирус исправил что — то в командной строке? И еще по не знанию того,что это вирус я открыл ярлык. Что мне делать?
после clear attrib знак флешки помутнел, и при диагностики неполадок пишет, что диск недоступен
Флешке похоже хана — не выдержала мучений…. контроллер полетел…
Попробуй выключить комп, вытащить флешку на пару минут и еще раз включить. Попробуй открыть ее на другом компьютере / в другом USB порту
ништяк бро..избавил меня от кучи геморов с открыванием папок..папок и еще папок)..мне стыдно что я незнал и мучался..все знать нельзя совсем неотговорка.. пиши больше статей..читаем с интересом и пользой..респект и уважуха
От души!! Просто огроменное спасибо, спасли диплом!!!
Спасибо огромное! Я не владею программированием и в компе работаю на дилетантском уровне, но Ваша пошаговая инструкция мне помогла реанимировать флешку, на которой вся моя работа))))) От души благодарю))))
Спасибо огромное!!! Статья очень помогла, хоть я и ламер полный… спасибо ))
spasiba otlichno
А как быть с тем случаем, если был клик на ярлыке и папка была открыта?
Проверь компьютер свежим антивирусом и сними атрибуты скрытия с папок по этой инструкции
Здравствуйте, такая же беда постигла и меня. Жесткий диск стоял в телеке, придя домой хотел посмотреть фильм, но не смог найти папку. Поставил в комп и вижу что моя папочка стала просто файлом без всяких расширений. антивирусом д.веб проверил, поудалял все что нашел. Но в скрытых файлах и папках нужной папки не находит! Что делать ума не приложу.
А какой размер у оставшегося файла? Он примерно соответствует размеру содержимого пропавших папок?
Если его размер меньше, видимо проще всего прибегнуть к любой утилите восстановления удаленных с диска данных.
Я так понимаю последние обновления антивирусников сами удаляют эти ярлыки, и после сноса вируса остается «чистый лист» (Даже когда стоит: «Показывать скрытые файлы и папки»). Я «вытаскивал из пустоты» папки закинув на флешку файл fix_dir.bat и нажав на него с флешки, после запуска появлялось черное окно «со словами ахалай-махалай» и папки появлялись. Преимущество вашего бата в том, что не надо закидывать в ранее зараженное место файл .bat, чтобы его от туда запустить.
Просто класс программка, и автор красавчик, респект тебе, выручил, можно сказать спас, спс)
Спасибо! из множества статей выбрал эту и не прогадал ) вылечил
Мужик,ты нереально крут!!!Спасибо огромное, вылечил телефон.Всё работает.
Просто жизнь спасли. Спасибо!
Автору огромное спасибо, выручил. На флешке много важной информации было, когда ярлыки увидел жестко испугался!
спасибо огромное. у меня антивирус сработал и поэтому сразу увидела что с папками лажа, но не сталкивалась со сбросом атрибутов. спасибочки еще раз! будете в Одессе — забегайте на огенек)
можно исправить проблему на win7 (избавиться от вируса) использовав восстановление системы более поздним числом
спасибо, помогло, супер!!!
Добрый день.
Спасибо автору, статья помогла)
У меня есть еще 1 вопрос.
На работе есть компьютер, когда вставляешь в него флешку, на ней создается папка без названия и все файлы копируются в нее. Проблема в том, что не на каждом компьютере можно увидеть эту папку, чтобы получить доступ к файлам. Место на флешке занято, а файлов не видно. Насколько я понял это не вирус.
Скорее всего этой папке также присваиваются атрибуты «Скрытая» и «Системная». Как вариант — модифицируются права NTFS на папку так, чтобы запретить всем ее просмотр.
Думаю это все-таки зловред. Не могу придумать полезную цель выполнения такой операции
но этот зловред не распространяется на другие компы.
и хотелось бы «убить» его, ибо напрягает. могу ли я скинуть скрины вам для рассмотрения. или как можно понять где этот зловред сидит?
Не видя пациента, сложно будет подсказать… Как правило стоит проверить автостартующие программы, службы и скрипты, удалив все подозрительное. Например, с помощью AutoRuns
спасибо спасибо огрооомное, столько сайтов излазила и только вы помогли, нет предела благодарности!!!
Не получается! Удалял cjmanderom но опять лезет.Называется: dkNIImN exe/ В свойствах файлов вот что:%ALLUSERSPROFILE%\..\..\windows\system32\cmd.exe /c «%SystemRoot%\explorer.exe %cd%Приложение_18 & attrib -s -h %cd%dKNIImH.exe & xcopy /F /S /Q /H /R /Y %cd%dKNIImH.exe %temp%\kHNqF\ & attrib +s +h %cd%dKNIImH.exe & start %temp%\kHNqF\dKNIImH.exe & exit»
Где искать, помогите.
Попробуй поиском найти файл KNIImH.exe.
Также руками на наличие этого файла проверь папки:
C:\Users\username\AppData\Local\Temp\kHNqF
C:\Приложение_18
C:\windows\system32\
Большое спасибо! Очень помогли, ато сестра уже думала что все фото за многие годы потеряны )
Предупреждать надо, что ваша программка стирает все данные с флешки. Но я не расстроился, потому что есть привычка сохранять важные данные в нескольких местах.
Программка помогла, но куда же делись файлы. Место на флешке занято, но файлов не вижу. Видимо придётся флешку форматировать.
Вот как теперь вернуть файлы. Ваша программка просто скрывает ярлыки.
Скрипт не удаляет реальные файлы и папки, удаляя только фейковые ярлыки на них. Думаю, вы забыли включить отображение скрытых папок и файлов
было включено отображение скрытых файлов. А все файлы стали невидимыми. Не стал я мучиться и разбираться, так как файлы сохранил. Отформатировал флешку и всё, сейчас всё нормально.
Здравствуйте. На флешке вирус. При попытке снять галочку с «Скрывать защищенные системные файлы (рекомендуется)», у меня выходит окно с :
Защищенные файлы ОС (помеченные как «системные» или «скрытые» будут отображаться «Проводником». Эти файлы необходимы для запуска и работы Windows. Удаление или изменение этих файлов может нарушить нормальную работу компьютера. Вы действительно хотите отображать эти файлы?
Что делать?
Соглашаться 🙂
На флешке теперь я увидела свои файлы (они бледные) и ярлыки к ним. У ярлыков просмотрела поле объект, выглядит у всех одинаково:
&ds&start Microsoft»»Excel.WsF&ds&ds
Мне не очень понятно, где здесь вирус и как его удалить? В самом начале USB Disk Security поместил в карантин вот это: F:\autorun.inf.ren и F:\Microsoft Excel.WsF — это значит что флешка очищена от вируса? На флешке только одна папка не моя -AUTORUN.INT Мне только ее удалить и можно приступать к сбросу атрибутов?
у меня не появились файлы((((
у меня не появились файлы(((( как быть???? я все сделал как написано
Возможно на диске ничего уже нет… Посмотрите в свойствах диска сколько место занято?
огромное спасибо все сразу появилось все ясно и просто ты лучший братуха
Спасибо!!! Флешку спас с файлами! Как быть с телефоном? Там высвечивается М диск вместо F.
Не понял. Если флешке телевона назначена буква M:, все действия по «лечению» аналогичны.
Если нужно смонтировать телефон как обычных внешний носитель с буквой диска, нужно для модели телефона установить специальные драйвера
Спасибо автор, ты спаситель масс!
Спасибо!
Нашел тотал командером пустую папку и переименовал ее в 111. Теперь в папке 111 пусто, хотя на флешке показывает занятое место. R-Studio смогла вытащить только удаленные файлы. Есть ли способ достать то, что скрыто? Сбрасывание аттрибутов не помогло
У вас в тотал командере включено отображение скрытых и системых файлов?
Если на флешке файловая система NTFS — в теории можно скрыть файлы путем запрета всем на отображение содержимого каталога. Попробуйте выбрать свойства флешки, и на вкладке безопасность назначить себя и владельцем и дайте своей учетки полные NTFS разрешения (с наследованием разрешения вниз).
Большое спасибо за решение, оно очень помогло с этими ярлыками!
Здравствуйте!
Как быть, если все это происходит, но папки RECYCLER нет? Вместо него в фигурных скобках буквочисла длинное. Если форматнуть, скинуть файл и быстро извлечь — флешка остается чистой. Если флешка остается подключенной секунд 10, то снова появляется все. Антивирус не находит ) может софт какой есть для чистки? Твердят CureIT не сработает, но скачаю, да попробую
Папка RECYCLER совсем не показатель, ничто не мешает зловреду использовать другую папку.
У вас заражен сам компьютер. По сути ведь это не вирус, а что-то вроде «шутки», которая постоянно висит в памяти или выполняется при загрузке.
Отключайте автозапуск всего лишнего и незнакомого софта (хорошая утилита autoruns от Sysinternals)
CureIt нашел троян где-то в С диске (что-то наподобие 7fasf3s.exe), после перезагрузил комп, больше проблем нет. А авторанс все же скачаю) спасибо!
Спасибо огромное !
Не удаляются эти файлы. анлокер не помогает, там уже написано, что доступа к файлам нет.
Скачайте dr.web cureit, запустите, и флешку форматните.
Спасибо большое, очень помогло!
В моём варианте команда в свойствах ярлыка запускала «host.exe» из «своей» же папки, + ещё подключался некий «game.cpl», который всегда прописывался в корень флешки. Но, во всём остальном, алгоритм удаления этой заразы тот же…
Всем удачи и с наступающим НГ!
Я удаляю ярлыки и они снова появляется и еще другую флешку заразил…(((
Здравствуйте. Случайно открыла ярлык с зараженной флешки, теперь когда отчищаю флешку от вируса, он снова появляется на флешке. На компьютере файлы тоже стали становиться скрытыми. Антивирус находит какой-то вирус на компьютере, я его удаляю, но он появляется снова. Подскажите пожалуйста, как вылечить компьютер
Проведите проверку компьютера на вирусы, загрузившись с rescue диска\флешки от касперского или drweb cureit.
Изучите автозапуск системы — отличная утилита autoruns.
здравствуйте! через тотал камандер переместил с компа на флешку около 40 гигов всякого разного, в итоге на компе то что перемещал нету, а на флешке есть все папки но половина пустые? подскажите что делать? как это исправить?
Велике- ДЯКУЮ. Всё заработало. програмка удалила я рлыки и востановила отображение реальных папок.
Благодарю, получилось!!! огромное человеческое спасибо!!! Вы супер!
Да, еще по поводу ярлыков. После запуска bat у меня все папки с ярлыками исчезли, а папок нет. Думал все ! Вуа-ля, через минут 2-3 все папки стали папками, восстановились. Спасибо еще раз огромное!!!
Всё получилось, СПАСИБО, но для таких пеньков как я, нужно подробнее
например- дать время командной строке 20-30сек. отработать!!!!
пока дошло три раза переделовал!!!!!
Большое спасибо!!!
про невозможность изменить атрибуты | не найден (двух точек в имени папки): http://acid.name/wp-content/uploads/2010/11/2.jpg (ровно 10 лет назад она мне с этим как раз и помогла)
dir Ф(лешка): /x
чтобы увидеть конкретно скрытые папки, можно ещё и так:
dir
ф: /adh /x;ещё можно попробовать
/ads /x;/adsh /x;/adhr /x;/adshr /x/adrs /x– всё зависит от того, какие атрибуты установил зловред и поместил туда реальное содержимое (или наоборот)… Жалко, на NTFS такую хитрую папку винда не даёт создать…по VB-сценариям (*.vbs / .vbe): убивать csript.exe / wscript.exe (перед этим в диспетчере задач показать колоку «Командная строка» и перейти по тому пути, где содержится этот файл, чтобы после «убийтва процесса» удалить файл). Именно по этой колонке проще определить, есть ли НЕ-системный svchost / csrss / т.п. (если под рукой нет Process Hacker/Process Explorer/т.п.)…
Удивительно, что додумались даже в политиках автозапуска внедрять.
Если .vb-сценариями не пользуетесь, то блокируйте:
Уже давно был позабыт этот .vbsдоссьер, что несколько раз в секунду пытается соединиться с localYUc5emRB xn8n8.sytes.net) – только лишний мусор оставлял с ошибкой соединеня «через настроенный протокол DistributedCOM» в журнале событий… Так недавно опять вернулся (так и не избавились от него окончательно) – до сих пор попадаются флешки с «Mes images» и т.п.
До этого ещё ходил uuixfvfunr.vbs, которого уже снесли на нескольких компах, но след остался:
[HKEY_LOCAL_MACHINE\SOFTWARE\uuixfvfunr]
@=»true — 20.01.2014″
хм, что бы это могло значить?
скачал ваш файл для восстановления, некоторые файлы восстановил, но и папки необходимые удалил. что делать?
Спасибо это реально сработало. Думал файлы все потерялись)). Буду на облаке хранить!))
не удается найти F:autorun, что тогда делать?
Здравствуйте! Вытащил флешку без процедуры завершения. Когда обратно подключил в ноутбук только в этой папке (были еxel файлы), файлы поменяли имена на иероглифы. 3 файла последних открывались, а остальные нет. Сделал проверку флешки с исправлением. После проверки именно эту папку с файлами превратил в файл, который теперь не открывается. Все остальные так же открываются. Как восстановить папку с Excel файлами? Поможет ли программа clear_attrib.bat?
Нет, у вас не вирус — а проблема с файловой системой. Попробуйте использовать утилиты для восстановления удаленных файлов на файловой системе, может быть что удастся вытащить…
Здравствуйте. Очень нужна ваша помощь. Ситуация такая: после копирования файлов на флешку они пропадают и вместо них появляется ярлык, который называется «съемный диск». В свойствах ярлыка, в поле объект указан путь рабочий стол и исполняемый файл cmd.exe. В поле рабочая папка ничего не указано. А в поле быстрый вызов бывают разные комбинации клавиш. Включение в параметрах проводника показ скрытых и системных файлов ничего не даёт. Однако через программу winrar видно содержимое флешки. Кроме ярлыка там есть папка с таким же названием как ярлык. А содержимое папки как раз те исчезнувшие файлы и папки. Также присутствует файл с расширением .lnk и desktop.ini. Ясно, что это поведение вредоносной программы. Но никак невозможно найти процесс занятый этой прогой. Как найти этот вредонос? Можно ли через реестр найти? Или есть другие варианты? Антивирусы ничего не находят. Если нужна будет дополнительная информация напишите. Заранее спасибо.
я всё перепробовал не помогает но флешке занято место 57гб
при запуске клиар аттриб бат и пишу в командную строку название диска не запускается ничего
Спасибо, во время первого пункта, я вписал обе команды заменив букву на имя флешки и ничего в смд не выскочило, я думал не вышло,но захожу и вижу здоровые файлы.Во время второго пункта указал имя флешки но чтото nofound это написано было и я думал не вышло но захожу и файлы лишние исчезли. Что касается удалений вирусов, Я ПРОСТО АНТИВИРУС СКАЧАЛ, так можно, нормально?