Вирус скрыл папки на флешке? Что делать и как восстановить данные?

В сети появилась новая разновидность вируса, который заражает флешки и внешние накопители. С подобным вирусом, я впервые столкнулся около полугода назад, когда у одного из моих клиентов, подобный вирус скрыл все папки на флешки, а на их месте создал ярлыки. Так как случай был единичный, подумал, что не стоит волноваться и описывать эту проблему. Но совсем скоро посыпались призывы о помощи «помогите восстановить данные с флешки» и причиной всему оказался именно этот вирус!

Если вы заметили, что папки на флешке стали ярлыками

Предположим, что вы заметили, что при открытии папок на флешки «вылетает» системная ошибка и лишь потом открывается папка. Посмотрите имеют ли папки значок ярлыка – это маленькая стрелка на значке папки в левом нижнем уголке.

Ярлык папки

Если подобных папок-ярлыков много или даже все – то вероятно, система заражена вирусом, а его распространителем служит ваша флешка.

Чистим флешку от вирусов

1. Для поиска и удаления подобного вируса рекомендую использовать несколько антивирусов: сначала сделайте полную проверку компьютера, установленным антивирусом. В моем случае это Аваст (см. рис. 2). Просканируйте системный диск C: и съемный носитель, т.е. вставленную флешку.

Антивирус Avast

Если вирусы найдены, то удалите их. Разумеется, с зараженными файлами из системной папки Windows нужно обходиться аккуратно: полечить его сперва или поместит в карантин. Все остальные – можно смело удалять.

2. Вне зависимости был найден или нет вирус — проверьте систему любой другой антивирусной утилитой. Я рекомендую использовать CureIt. (http://www.freedrweb.com/download+cureit+free/).

Просканируйте этой утилитой системный диск C и флешку. Другие логические диски можно просканировать в другой раз, иначе удаление простого вируса может занять много времени.

Сканирование CureIt

3. После того, как систему проанализировали несколько антивирусных программ и возможно что-то было найдено, а может и нет, пора переходить к восстановлению скрытых папок на флешке, а заодно и почистить флешку от вирусов, которые могли не заметить сканеры антивирусов.

Как отобразить скрытые файлы и папки на флешке

Два слова скажу в чем тут дело и почему папки становятся скрытыми и невидимыми, а их место занимают ярлыки.

Логика подобного вируса проста, но в тоже время и неординарна. Попав на флешку через зараженный компьютер, он прописывает себя в скрытой папке RECYCLER, которую скрывает с помощью системного атрибута «Скрыть». В нее помещает экземпляр вредоносного кода (вирус) под любым названием. Таким образом он маскируется. Всем файлам и папкам, которые есть на флешке вирус задает атрибут «скрытый и системный» в результате чего они становятся невидимыми, т.е. скрытыми.

Потом, вирус создает ярлыки ко всем скрытым файлам и папкам и делает их видимыми, подставляя их вместо оригиналов. Неплохо задумано, правда?

Как только такую зараженную флешку вы вставите в компьютер, откроите ее и кликните по папке-ярлыку, сработает системная команда на запуск вируса из папки RECYCLER, а затем на открытие скрытой папки-оригинала. Если антивирус не среагирует на вирус, ваш компьютер будет заражен и последствия могут быть разные: от кражи паролей и до установки бэкдора для управления вашим компьютером.

Есть несколько вариантов как можно удалить вирус с флешки, а скрытые файлы сделать видимыми:

  • С помощью командной строки
  • С помощью загрузочного диска Live DVD (или загрузочной флешки)
  • С помощью файловых менеджеров (Total Commander, Far и др.)

Лично я использую в работе загрузочный диск и флешку. Но так как этот способ требует наличие специального диска или специальной флешки, которые нужно смонтировать, для простого пользователя — это трудновато.

Поэтому я покажу вам другой более простой способ — с помощью файлового менеджера Total Commander.

Восстановление прежнего вида папок на флешке

1. Зайдите на сайт http://www.ghisler.com/850_b15.php и скачайте версию программы 32+64-bit (Combined installer Windows 95 up to Windows 8, 32-bit AND 64-bit!).

Загрузка программы Total Commander

2. Установите ее. Даже если у вас уже установлена подобная программа, обновите ее. На рабочем столе появится ее значок (в некоторых случаях аж два).

Установка Total Commander

3. Откройте программу, кликнув по ее значку. В окне программы нажмите на кнопку запуска по нужным номером (1, 2 или 3). Это небольшое неудобство позволяет нам бесплатно пользоваться этой программой.

Открытие программы Total Commander

4. В левом окне программы из выпадающего списка выберите вашу флешку.

Выбор зараженной флешки

5. На первый взгляд с флешкой все в порядке, папки на месте, файлов только нет, но это только так кажется.  Если посмотреть внимательно, то можно заметить, что папки – это ярлыки так как у них расширение .Ink, а на самом деле у папок расширения нет.

Ярлыки на флешке

Откройте раздел Конфигурация — Настройка… В окне настроек выберите раздел Содержимое панелей и правой части поставьте галочки напротив следующих параметров:

  1. Показывать скрытые файлы
  2. Показывать системные файлы

Далее кнопка Применить — Ок.

Конфигурация — Настройка

 

Показывать скрытые файлы

Теперь картина изменилась. У нас отобразились скрытые, системные файлы (при этом они могут быть и не системными, ведь им просто задали такой атрибут).

Скрытые файлы и папки на флешке

6. Удалите все папки-ярлыки с расширением Ink. Для этого удерживайте клавишу CTRL, а мышкой выделяйте нужные файлы. Нажмите клавишу DELETE на клавиатуре. Согласитесь на удаление.

Удаление ярлыков с флешки

7. Осталось восстановить прежний вид папок. Для этого достаточно снять с них атрибуты «скрытый, системный и др.». Стандартными средствами операционной системы Windows XP, 7 или 8 этого не сделать, а с помощью файлового менеджера Total Commander — легко.

Укажите (одноразовый клик по файлу левой кнопкой мыши) на любой файл и выделите все папки и файлы с помощью комбинации клавиш на клавиатуре CTRL+A.

Выделение всех папок и файлов на флешке

Откройте раздел Файлы — Изменить атрибуты. Снимите все точки напротив значений:

  • Архивный
  • Только для чтения
  • Скрытый
  • Системный

Файлы — Изменить атрибуты

Снимаем атрибуты

И нажмите на кнопку ОК. Теперь файлы на флешке можно просмотреть с помощью простого Проводника.

Отображение файлов на флешке

8. Еще одна маленькая деталь. Остается удалить папку RECYCLER, в которой возможно находится вирус. Выделите папку RECYCLER с помощью правой кнопки мыши и нажмите на клавиатуре кнопку DELETE. Согласитесь на удаление всех файлов в этой папке. Если при удалении появится предупреждение, что файл так просто не удалить, тогда выберите кнопку «с правами администратора».

Как удалить вирус с флешки

Вот и все! Вирус будет удален, а файлы благополучно восстановлены.

В завершении этого обзора, заранее хочу вас предупредить, если вы вдруг заметите, что на флешке пропали файлы или, как в данном примере, появились ярлыки вместо папок и файлов, НЕ СПЕШИТЕ ФОРМАТИРОВАТЬ свою флешку! Попробуйте с помощью данного способа вернуть все на свое место.

Комментарий (174) Оставить комментарий

  1. Большое спасибо, Евгений, за хороший урок, за то, что делишься своими знаниями, за неравнодушие!

    Ответить

  2. Евгений, действительно, часто приходится сталкиваться с такой проблемой. Раньше не знал про тотал коммандер, что он может так просто снять атрибуты. Я копировал такие файлы на комп и уже на их копиях снимал виндой эти атрибуты. С этим командером нужно поближе познакомиться! Спасибо!

    Ответить

  3. Спасибо за урок,но мне кажется,что в этом уроке более интересным является применение Total Commander,Так как по работе с этой программой встречается мало информации.

    Ответить

  4. Спасибо конечно. Хотел для себя узнать что то новое. Но увы. Все это давно известно.

    Ответить

  5. Этот вирус уже как 2 года скрывает папки и оставляет ярлыки вместо папок. Есть более простой метод восстановления скрытой информации на флешке. Создаете текстовый файл на флешке, после открываем его и пишим в текстовом файле: attrib -S -H /S /D , после сохраняем и закрывае текстовый файл , потом переименовываем расширение с txt на bat. После всех проделанных операций запускаем наш переменованные файл. ВОТ И ВСЕ И НЕТ НЕОБХОДИМОСТИ СТАВИТЬ TOTAL COMMANDER

    Ответить

    • И что ? Запустил переименованный файл — открылось окно
      с командной строкой … Всего-навсего. И что делать дальше????

      Ответить

  6. Премного благодарен, недавно столкнулся с такой же проблемой. Только название файла было другим, бессмысленный набор заглавных букв, а расширение — ini. Помог товарищ-компьюторщик по аналогичному методу, теперь я смогу сам!! Спасибо!

    Ответить

  7. Добрый день!Помогите пожалуйста кто может, проблема такая-была заражена флешка, все файлы были в виде ярлыков,от флешки все папки на рабюстоле стали тоже ярлыками, на флешке восстановила все с помощью текстового файла attrib -S -H /S /D и программы clear_attrib, НО не все так удачно закончилось, я нечаянно нажала на эту программу на рабочем столе-УДАЛИЛОСЬ ВСЕ, остались только скаченные программы….Как все вернуть на рабочий стол, галочка «отображать значки» стоит!!!??? Помогите, плиз!

    Ответить

  8. Я просто счастлива!!! На этой флэшке пять лет упорного труда. Спасибо!!! Всё получилось!!! Для меня, «чайника», всё понятно и всё восстановилось. Ура!!!

    Ответить

  9. Здравствуйте! Помогите, пожалуйста. Делала все так, как здесь написано…….дошла до пункта 8……стала искать папку RECYCLER……не нахожу её на своей флешке…..что делать? как удалить вирус?

    Ответить

    • Здравствуйте. Если нет папки RECYCLER, тогда вирусный фал может быть в другой папке в том числе и в системе, а ни на флешке. Сделайте следующее… Удалите все ненужные файлы и папки с флешки, оставьте только нужные вам. Если нет папки RECYCLER, значит ее и удалять не надо! ))

      Ответить

  10. Спасибо за помощь! Ваша подробная информация по программе Total Commander помогает найти скрытые папки зараженные вирусом и удалить его. Очень полезный сайт и я его всем рекомендую!!!!!

    Ответить

  11. Помогите пожалуйста!!!Сделала в се как Вы написали. И даже папку RECYCLER нашла и удалила (она была не на флешке, а на диске С). Только вот когда флешку вытащила потом опять вставила, то все началось снова: антивирус удаляет ярлыки с расширением .Ink и опять приходиться менять атрибуты папок чтобы открыть их. Подскажите что это значит и что с этим делать???????

    Ответить

  12. Я дошёл до 8 пункта нашёл эту папку а удалить не могу пишет эта папка или файл открыты в другой программе. Что делать?

    Ответить

  13. Здравствуйте,у меня другая проблема,компьютер вообще не открывает флешку и пишет сначала отформатируйте флешку,даже нет файлов не видимых,а я не могу,там же все мои папки,что делать??Помогите…

    Ответить

  14. Дякую! з допомогою Ваших інструкцій та Тотала я востановив дані на обох флешках! ще раз дякую! Питання — якщо через Тотал видно скриті файли на диску С та D їх також можна за таким же принципом удалити?

    Ответить

  15. Спасибо! Сам чиню компьютеры, у вот поймал вирус, не охото было всё удалять) При помощи Вашей статьи восстановил атрибуты папок. Спасибо ещё раз! И успеха! =)

    Ответить

  16. Огромное спасибо автору. надо было срочно работать с флешкой, а все файлы пропали.

    Ответить

  17. Вайвайвай, спасибо большое. Тут куча проблем еще и это дерьмо откуда-то свалилось. Помогло 100500%

    Ответить

  18. Огромнейшее спасибо!!! Спасибо, что есть такие люди, которые реально помогают!!

    Ответить

  19. Огромное спасибо автору! Флешка спасена. Эх, если бы мой преподаватель информатики в такой доступной форме материал излагал…не было бы у меня такой паники при слове вирус! После такой статьи понимаешь-все решаемо!

    Ответить

  20. Огромное, преогромное спасибо за помощь!!! Объяснения четкие и ясные. Помогли очень. Еще раз спасибо.

    Ответить

  21. атребуты у файлов почему то не меняются…удалил RECYCLER ничего не произошло..всё равно путые файлы вместо моих папок с информацией.Может разновидность вируса какая то

    Ответить

  22. Окей данные восстановили на флешке, все ярлыки с корзиной и вирусом удалили, теперь как удалить вирус с компа?

    Ответить

  23. Спасибо!!! Всё получилось, до этого обычно долго игралась с командной строкой. Получалось не сразу:) Вирус с компа удаляла Каспером 🙂

    Ответить

  24. Cпасибо огромное. Сегодня у меня такое случилось,а информации на флешке было очень много. Я нашла Вашу статью и у меня всё получилось.

    Ответить

  25. Спасибо! Все получилось! Только корзины из вирусного файла не хотят удаляться. попробую каспером.

    Ответить

  26. Спасибо большое!!! Твоя статья очень помогла. Съемный носитель работает как прежде, вирус удалён и файлы в норме. Ещё раз большое спасибо ! = )

    Ответить

  27. была таже история. есть способ еще. так же удаляете recycler потом архивируете на комп и все ваши файлы на компе уже, потом форматируете и обратно заливаете. не заню может кому поможет. но блокируйте корень флешки и этот противный вирус больше не буит вас беспокоить. правда для этого надо форматнуть флэху и сделать NTFS. потом создаете папку, затем блокируете запись на флэшку, а в ту папку разрешаете. помогает и заразы меньше пристает, правда не забывайте потом ее извлекать)))))

    Ответить

  28. Огромнейшее спасибо, автор, вы просто мой спаситель!!!Думала, что огромное количество папок с документами для работы потеряны на вечно((((((Если бы не ваша замечательная статья. Всё получилось сразу и так как описано. Вы-волшебник)))

    Ответить

  29. Спасибо! Получилось сделать видимыми файлы, только не могу удалить папку с вирусом -нехай живет еще один день!

    Ответить

  30. Здравствуйте, уважаемый Евгений!

    Огромное спасибо за урок.
    Сегодня у меня произошло такое несчастье, и с Вашей помощью я все восстановил.
    Правда, осталось непонятным, почему папка RECYCLER фигурировала аж на двух дисках и отсутствовала на системном диске и той самой флешке. На всякий случай я удалил обе.

    Ответить

  31. У меня, кошмар! Папка $RECYCLE.BIN сидит на диске С и не удаляется! И появились файлы с расширением .ini

    Ответить

  32. Спасибо огромное! Один раз моя флешка побывала в школе и все! Всем папкам крышка! Если бы не вы, то не знал бы что делать. Еще раз спасибо огромное!

    Ответить

  33. Все прекрасно в отношении очистки флешки, но можно и проще с помощью ДИСКо Командир 5,2, а как почистить комп который заражает флешки?

    Ответить

  34. НУ ОЧЕНЬ ОГРОМНОЕ СПАСИБО ! У меня на съемном диске это фигня завелась. Антивирус убрал все 380 гигов ,оставив только пару фото на память ) Если бы не Вы с пошаговыми иллюстрациями то инфаркт бы хватил!

    Ответить

  35. теперь норм скачала, сделала все пункты до 6 и все, ничего больше не осталось на флэшке!:( все удалилось и не восстановить никак что ли? у меня там файлы важные были((

    Ответить

  36. Долго мучилась, не могла ничего сделать. Потом сделала как вы написали и всё получилось!!! Спасибо вам огромное!!!! Вы спасли мои курсовые работы, мои нервы и время, а также сессию!!!

    Ответить

  37. Всё сделал, всё получилось, только есть одно «но»! Когда открывал через тотал коммандер, то файлов с указанными расширениями(«lnk») не было, после того как вскрыл все файлы, то и папки «RECYCLER» обнаружено не было, можно полагать, что вирус удален или он спрятан более надежнее, что скажете по этому поводу?

    Ответить

  38. Спасибо за помощь! Мне помогло. Вот еще погоняю антивирусов на всякий случай. Респект автору!

    Ответить

  39. здравствуйте Евгений, может ли заразиться флешка, если она получила инъекцию программой
    usb defender или Panda USB Vaccine?

    Ответить

  40. Евгений, помоги пожалуйста!
    Ваша статья очень помогла почистить флешку, но папка с вирусом скопировалась на диск Д. Смена атрибутов, сканирование антивирусом не помогает удалить файл, а при нажатии с «правами администратора» запрашивается пароль, который никто никогда никуда на данном компьютере не устанавливал.
    Очень прошу Вас помочь в удалении заражённой папки!
    заранее спасибо!

    Ответить

  41. Здравствуйте! Нет на флэшке скрытых файлов. Но с некоторых пор все сбрасываемые на неё документы кодируются странным образом. Они не превращаются в ярлыки. Превращаются либо в файлы с дикими совершенно названиями (в китайском стиле), либо вместо текста открываются «квадратики», а то и вовсе речь идёт о том, что файл повреждён. Кстати, форматирование не помогает. Проверяла 3 антивирусниками весь комп вдоль и поперёк. Результат тот же. Где сидит зараза на этот раз?

    Ответить

  42. Спасибо большое за объяснение! Но вот только у меня не получается удалить папку RECYCLER даже с правами администратора. Что делать? Подскажите, пожалуйста.

    Ответить

  43. Болльшое СПАСИБО автору!!!!!!! Когдато такую процедуру делал со своей флешкой на 32Гб, долго собирал инфу и тут нарисовался вирус, форматировать нестал, догадался посмотреть свойства и увидел что там есть инфа. По моему даже с этого сайта всё прочитал, помогло, остался доволен как слон!!!! Конечно можна было и в нете всё понаходить, но когда ждёт работа то это уже потеря клиентов и своих нервов. Ещё раз большое СПАСИБО за ликбез Евгению!!!

    Ответить

  44. Для меня это всё сложно, потому, что мои знания в этой области нулевые. Я скачал программу DrWeb Curelt с vamvpomoch.ru. Она обозначилась как 360 Total Security. Просканировал ей флешку и удалил вирус. Так же просканировал комп.

    Ответить

  45. Благодарю.
    Столкнулся пол года назад в win8 что-то муторно как-то решил. А тут win7 и не стал ковыряться -забил в гугл)))
    Забавно , что если на папочку в тотале жмем правой кнопкой и свойства, вроде как тоталовская менюшка, но изменить свойства папочки нам не дают. А вот через ФАЙЛ—> Изменить атрибуты — пфф, на раз)))
    Всем фана!

    Ответить

  46. Велике спасибі! Відновив інформацію на флешці за 1 хв., а вручну затратив би день! Щиро вдячний.

    Ответить

  47. Огромное спасибо! Просто спасли меня! Только у меня папок-ярлыков с расширением Ink не было, их антивирусник удалил сразу, как вставила флешку в комп.

    Ответить

  48. Большое спасибо автору!!! Нужная статья, а главное все доступно изложено. Удачи!!!

    Ответить

  49. Большое спасибо!!
    Всё востановил
    Программа очень проста в использовании
    Советую на всякий случай заранее скачать программу)))
    Кыргызстан

    Ответить

  50. Спасибо!!! Спасли файлы рабочие на флешке, которые просто не востановить было!Спасли судьбу работающего человека!

    Ответить

  51. Спасибо огромное!!!! Очень важную информацию восстановила с Вашей помощью!!!

    Ответить

  52. СПАСИБО !!! Вот это правильно, давить всех этих гадов надо, а то вирусняк задавит всех…

    Ответить

  53. С флешки удалил вирус, но еще вирус оказался скрытым на дисках С и D , но когда я снимаю галочки с скрытых файлов — они появляются, но потом резко снова исчезают. Что мне делать невозможно удалить папку «RECYCLER»!! Помогите пожалуйста!

    Ответить

  54. У меня папки есть на флешки, а фоток нет и после проделаных операций не чего не помогло

    Ответить

  55. Очень полезная статья, просто нету слов, чтоб это описать! Спасибо большое автору! Спас и выручил! Уж и не думала, что можно что-то сделать. Еще раз спасибо, удачи.

    Ответить

  56. Здравствуйте!
    А у меня вот какая проблема.
    Пошла на «Горбушку» и дописала на переносной жёсткий диск разные песни, где у меня уже записаны многочисленные фильмы. Придя домой и вставив диск в ноутбук я увидела надпись «Файл или папка заражены». То есть, содержимое диска даже не открывается, и работать с ним невозможно.
    Когда я подсоединила диск к телевизору, то он по-прежнему демонстрирует фильмы, а музыку не открывает.
    Что делать? Как мне удалить эти папки и файлы музыкой, не повредив при этом мою многочисленную коллекцию фильмов? Я предполагаю, что после удаления музыки диск снова будет распознаваться ноутбуком.
    Спасибо.

    Ответить

  57. Доброго времени суток!!!
    Большое Вам спасибо, восстановил данные с флешки !!!

    Ответить

  58. Доброго времени суток! Подскажите пожалуйста, как быть, если даже с помощью тотал командер не удается снять на файлах галочку с пункта «скрытый»? Все что Вы писали, сработало, все очистил, удалил, но приходится отображать скрытые папки, а в этих скрытых папках лежат все мои файлы и они не скрыты…. Как-то так… Как быть? подскажите пожалуйста.

    Ответить

  59. Решил проблему с помощью запуска от администратора. Спасибо огромное за статью, очень помогло!

    Ответить

  60. Большое спасибо, Евгений! Однако вирус Recycle.bin я обнаружила да диске D и С у ноутбука. На D мне удалось его убрать. Но на диске С он не убирается. Несмотря на администратора…Подскажите, если сможете.

    Ответить

  61. Спасибо огромное! на флешке был диплом,а тут оп и вирус подцепила где то, думала все без диплома останусь,но благодаря Вашему уроку все восстановила благодарна очень!! Дай бог вам здоровья и благополучия!!

    Ответить

  62. С вашей помощью восстановили ВСЁ на флешке!!! СПАСИБО ВАМ ОГРОМНОЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

  • © 2012–2015 Компьютерные уроки от Евгения Серова
  • Все права защищены
  • Положение