Как вылечить флешку через тотал коммандер
На днях столкнулся с такой проблемой, перекинул в общем у друга фильмы себе на флешку, прихожу домой, открываю ее, а там…на флешке вместо папок ярлыки! Вот тебе на, но нет… я то знал уже такой трюк. Этот вирус (Backdoor.win32.ruskill) скрыл папки на флешке и не более того. Если же с вами случилась такая беда, то не волнуйтесь, эти ваши файлы никуда не делись с флешки, вирус просто включает атрибуты скрытый/системный, что через «Свойства-Скрытый» убрать галочку нельзя. Но можно сделать это через
файловый менеджер «Total Commander» или «FAR», если кто с ними никогда не работал и не понимает, что где, то просто дочитайте этот пост, я в нем изложу все как открыть ваши файлы, как пользоваться тоталом, как удалить вирус. Все по-порядку и по-пунктам.
Конечно, если у вас есть антивирус, то он должен поймать эту заразу, будь то хоть самый последний антивирус на свете, но нет! У меня у друга кончилась лицензия Касперского и он временно поставил бесплатный Nod32, а он уже не увидел этот вирус с флешки. Я вообще антивирусом не пользуюсь больше года и прекрасно себя чувствую:) (…допоры до времени) Нет, вам так рисковать не советую.
В общем, что делать если папки на флешке стали ярлыками? Вам нужно сначала открыть эти файлы с флешки и перекинуть куда нибудь на жесткий диск компьютера. Архиваторы «7-ZIP» и «WinRar» также видят эти файлы, если просто смотреть флешку через них (надеюсь меня понял кто? если нет сейчас объясню) И так…
Нам просто нужно отобразить скрытые папки и файлы, которые не видно или просто стали ярлыками на флешке.
1. Отображаем скрытые папки и файлы с флешки
1.1.Отображение с Total Commander
Незаменимая программа во многих случаях, скачать ее здесь (32бит) и здесь для 64 битных.
Скачали, установили.
Дальше запускаем тотал. Наверху в панели нажимаем: «Конфигурация-Настройка»
Слева переходим: «Содержимое панелей» и ставим галочку на: «Показывать скрытые/системные файлы(только для опытных)»
Потом, в левом или правом окошке (как вам удобней) переходим на флешку, допустим это буква «K » как у меня на примере. Выбираем нужный файл, папку, просто выделив ее, далее наверху, на панели нажимаем: «Файл-Изменить атрибуты…»
Снимаем галочки:
«Архивный, только для чтения, скрытый, системный» :
1.2. Отображение с 7-Zip
Выше уже говорил, что также эти файлы можно увидеть через архиваторы и просто перекинуть себе на компьютер.
Просто открываем 7-Zip, переходим на флешку и мы уже видим наши скрытые файлы, которые можно просто «взять» и переместить на жесткий диск компьютера.
1.3. Отображение с WinRar
Я пользуюсь 7-Zip, но смотрю иногда нужно показывать и на примере стандартного архиватора, который идет вместе с виндой. Значит все так же идем на флешку, на примере у меня опять же это буква «К»
открываем ее и хватаем файлы левой кнопкой мыши и переносим на компьютер.
1.4. Отображение с помощью батника
Про батники я вам немного рассказывал здесь и здесь, где я показывал, как писать маленькие шутки-вирусы, называйте их как хотите.
Этот батник сработает, так же как и в первом примере с Total Commander.
Открываем блокнот. (Стандартный с windows или Notrepad++)
Копируем туда код:
attrib -s -h /d /s
Сохранить как…. В конце названия пишем .bat (пример: antivir.bat).
Перекидываем наш, только что написанный батник на флэшку. Запускаем прямо там на флешке. Все файлы должны появиться. Появились перекидываем на компьютер.
Хотя этот батник вы можете модернизировать добавив туда несколько строк. Напишем, чтобы батник сделал папки видимыми, потом добавим функцию удаления папки Recycler, где храниться тот самый вирус на флешке, далее удалим файл, который запускает вирус (autorun) и удалим ярлыки. Все это вместиться в четыре маленькие строки.
Открываем блокнот и копируем туда:
attrib -s -h /s /d
rd RECYCLER /s /q
del autorun.* /q
del *.lnk /q
Как видите все по-порядку, сначала отобразить скрытые папки, потом удалить Recycler, далее удалить автозапуск и уничтожить ярлыки. Все.
Сохранили, перекинули батник на флешку и запустили.
1.5. Отображение посредством командной строки (CMD)
Папки можно также отобразить через командную строку.
Запускаем «Выполнить» (Win+R) в строке пишем: CMD и нажимаем «Ок».
В открывшемся окошке командной строки пишем:
cd /d x:
Нажимаем «Enter».(X-буква вашей флешки)
Далее пишем:
attrib -s -h /d /s
Снова нажимаем «Enter». Теперь папки должны появиться.
2. Удаляем вирус, скрывающий папки на флешке
В принципе я уже все рассказал, а удалить вирус можно как в ручную ( в этом случае если вы не активировали сам вирус) так и просто антивирусом.
Если вы не активировали, т.е. на запустили вирус, а вирус запускается если вы запустили сам ярлык на флешке, но я сомневаюсь, что вы этого не сделали 🙂 Просто запустив его, вирус сработал и скорее всего уже скопировался на компьютер. Если же не запустили, то идем на флешку нажимаем правой кнопкой мыши на ярлык папки и выбираем «Свойства». В строке «Объект» есть длинная строчка, где и есть что-то наподобие: …start %cd%RECYCLER4dfg5s.exe…, т.е это посередине где-то, а RECYCLER4dfg5s.exe это и есть сам вирус на флешке в папке «RECYCLER» вирус «4dfg5s.exe» Просто удалим эту строку «RECYCLER4dfg5s.exe» Теперь можно запустить и ярлыки нам не страшны, а желательно просто удалить ярлыки и одним из выше перечисленных способов отобразить скрытые папки.
Если же вирус появляется постоянно после записи файлов на флешку, то проблема не с флешкой, а с компьютером, т.е. вирус сидит в компьютере. А почистить его можно каким-нибудь мощным антивирусом, утилита CureIT! от Доктор Веб (Dr.Web) подойдет как ни кстати. С помощью нее вы найдете заразу без проблем. Так же можно попробовать утилиту от Касперского — «Kaspersky Virus Removal Tool», тоже достаточно мощный инструмент.
На этом, пожалуй все, сегодня я рассказал как отобразить скрытые папки, если на флешке вместо папок ярлыки.
Источник
Некоторые пользователи сталкиваются с неприятной ситуацией: файлы, которые были на флешке, после подключения к компьютеру пропадают. Если пользователь их не стирал самостоятельно, то вывод один – на флешке есть вирус, который не удалил, а только скрыл данные. Информацию можно восстановить несколькими способами.
Отображение скрытых файлов
После обнаружения пропажи информации первым делом нужно настроить в системе отображение скрытых файлов.
- Зайдите в панель управления и выберите режим просмотра «Крупные значки». Откройте «Параметры папок».
- Перейдите на вкладку «Вид». Установите отображение скрытых защищенных файлов и показ скрытых файлов.
Откройте съемный диск и посмотрите, какие данные теперь отображаются на флешке. Вероятнее всего вы увидите ярлыки и неизвестные исполнительные файлы вируса.
Удаление вируса
После настройки отображения необходимо удалить с флешки вирус, который скрывает данные. Для проверки накопителя используйте установленный антивирус или лечащие утилиты типа Dr. Web CureIT и Kaspersky Virus Removal Tool.
- Запустите чистящую утилиту.
- Проведите сканирование внешних накопителей.
- Удалите обнаруженный вирус.
Провести чистку флешки можно и вручную, удалив с носителя неизвестные файлы с расширением *.exe и ярлыки.
Восстановление информации
После настройки системы и удаления вируса можно приступать к восстановлению утраченных данных. Обычно вирус просто меняет атрибуты файлов, делая их скрытыми. Ваша задача – восстановить атрибуты к исходному состоянию или вовсе их сбросить, чтобы данные отображались в проводнике Windows. Попробуем восстановить атрибуты через командную строку:
- Запустите командную строку (Win+R – cmd, или в меню «Пуск»).
- Введите букву флешки и команду для снятия атрибутов – «X: attrib -s -h -r -a /s /d *.*» . Вместо «X» вы указываете букву, под которой флеш-накопитель определился на компьютере.
Процесс можно автоматизировать, создав BAT-файл. Скопируйте в блокнот текст такого вида:
@echo off
echo Please wait…
attrib -s -h -r -a /s /d
Назовите текстовый документ view и сохраните его с расширением *.bat – получится view.bat. Перенесите полученный файл на съемный диск, с которого пропали данные. Запустите Bat-файл. После изменения атрибутов данные, которые якобы удалил вирус, будут возвращены на съемный диск.
Работа с FAT32
Если у флешки установлена файловая система FAT32, то вирус мог пойти дальше и не просто спрятать данные, а переместить их в скрытый каталог E2E2~1. В таком случае порядок восстановления информации после её потери немного поменяется:
- Откройте командную строку. Введите букву диска с двоеточием – например, «E:».
- Отобразите список файлов и папок на флешке командой dir /x.
- Если в списке есть каталог E2E2~1, выполните команду ren E2E2~1 Folder.
После выполнения этих действий на флешке появится папка Folder; в ней будут файлы, которые вам удалось восстановить.
Восстановление через файловые менеджеры
Если после работы с командной строкой данные на флешке восстановить не удалось, то попробуйте найти их через файловые менеджеры. Сначала используйте Total Commander:
- Раскройте меню «Конфигурация» и перейдите в настройки. Откройте вкладку «Содержимое панелей». Установите показ скрытых файлов.
- Откройте через Total Commander флешку. Выделите все каталоги, возле которых стоят восклицательные знаки.
- Раскройте меню «Файл». Выберите пункт «Изменить атрибуты». Снимите все атрибуты, кроме «Архивный», и нажмите «ОК».
Если Total Commander не помогает, используйте для изменения атрибутов программу Far Manager. У неё не такой удобный интерфейс, но свои функции она выполняет исправно:
- Запустите файловый менеджер. Нажмите Alt+F1 и откройте съемный диск.
- Выделите первый файл и нажмите Insert. Все данные будут выделены желтым цветом.
- Нажмите F4 и уберите отметки напротив пунктов «Hidder», «System» и «Read Only». Чекбоксы должны быть пустыми.
После отключения лишних атрибутов данные в окне файлового менеджера поменяют цвет с темно-синего на белый. Это значит, что файлы больше не скрыты, и вы можете открыть их на флешке.
Специальные утилиты
Так как проблема пропажи файлов после действия вируса достаточно распространена среди пользователей, есть специальный софт, позволяющий быстро восстановить информацию.
USB Hidden Recovery, LimFlashFix и другие подобные утилиты работают по одному принципу. Вам нужно:
- Запустить программу.
- Выбрать флешку и нажать кнопку «Восстановить» или «Исправить».
Остальную работу утилита выполнит за вас, изменив атрибуты файлов и сделав их снова видимыми через проводник Windows.
Есть и другие способы восстановления. Если Вы хотите их попробовать, то следующее видео для Вас:
- Issue: *
- Your Name: *
- Your Email: *
Источник
Вирусы бывают разные и совершают они различные действия. Сегодня в статье речь о таких вирусах, которые скрывают настоящие папки (чаще всего недавно используемые) и заменяют их на свой ярлык с таким же названием, который ссылается на скрытую папку в которой находится сам вирус. Вот такая вот чехарда, в результате которой Вы открываете флешку (а чаще всего заражаются именно они) и видите вроде бы все свои папки. Открываете и заражаете свой компьютер кучей вирусов, и неизвестно чем они там заниматься будут…
Для начала разберемся с тем, как вылечить такой вирус. Если у Вас нет антивируса, то можете скачать бесплатный антивирус от
DrWeb
или от лаборатории
Касперского
, а затем проверить ими компьютер или флешку. Обычно после них всё встаёт на места и вирусы удаляются.
На заметку:
1) Включите показ скрытых файлов и папок
2) Можете щелкнуть ПКМ по созданному вирусному ярлыку и выбрать в меню Свойства. Там будет указан путь, куда перенаправляет этот ярлык. Обычно это программа (с расширением
exe
) в папке
RECYCLER
. Затем можете удалить как сам файл, на который ссылается ярлык, так и саму эту папку, содержащую вирус. Этим Вы поможет антивирусу или избавитесь без антивируса.
3) Если увидите файл
autorun.inf
, то тоже его удалите. (Файл Autorun.inf — вирус или шалость?)
4) Введите следующие строки в адресную строку проводника.
Для
Windows XP
:
%USERPROFILE%Local SettingsApplication Data
Для
Windows 7
и
8
:
%USERPROFILE%appdataroaming
Если найдёте в этой папке какой-нибудь файл с расширением
exe
, то смело удаляйте.
Идём далее.
После удаления вирусов, нужные нам папки остаются, но они невидимые (скрытые). Место же они занимают. Чаще всего у них ещё стоит атрибут Скрытый, который неактивен (галочку нельзя убрать) и серый.
Чтобы убрать атрибут можно воспользоваться несколькими способами:
1) Скачать с официального сайта
тотал коммандер
. Запустить его. Проверить по пути “Конфигурация” –> “Настройка” –> “Содержимое панелей”. Здесь должна стоять галочка в пункте “Показывать скрытые/системные файлы (только для опытных!)”
Если нету, то ставим и жмем Применить и Ок.
Далее открываем нашу флешку через Тотал Коммандер и видим наши папки скрытые. Выделяем их с помощью нажатой клавиши Ctrl и нажатием левой кнопки мыши на каждой папке (или просто ПКМ по ним щёлкаем). Затем идём в “Файлы” –> “Изменить атрибуты”. В этом окошке снимаем все атрибуты. В итоге должно быть пусто:
Жмем Ок и наслаждаемся результатом.
2) Открываем Блокнот (Пуск -> Все программы -> Стандартные -> Блокнот) и вставляем в него следующие строки:
Затем верхнее меню «Файл» -> «Сохранить как…» и называем любым именем, но чтобы расширение (Тип файла) было
bat
, а местоположение указываем корень (начало) нашей флешки или диска зараженного.
Теперь запускаем этот файл и всё должно стать видимым.
Тут стоит знать то, что если заражен системный диск, то все системные папки станут видимыми тоже, что не совсем хорошо.
Кстати, если боитесь, то можете скачать с моего сайта файл ниже, разархивировать, закинуть в корень и запустить
ubrat_virus_vindavoz_ru.zip340 bcкачиваний: 855
3) Нажимаем Пуск -> Выполнить (или сочетание клавиш Win+R) и вводим в окошко:
attrib -h -s /d /s «Путь к папке или файлу»
Например у Вас заражена флешка и в ней папка
vindavoz
скрытая, тогда будет так:
Обратите внимание на знак обратного слеша. Он должен быть.
Жмем Ок и радуемся что папки стали видимыми.
4) Точно так же, как и во 2 пункте, создаем файл со следующим содержимым:
:lable
cls
set /p disk_flash=»Vvedite bukvu vashei fleshki: «
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
Далее нужно его запустить от имени администратора, ввести в окно букву диска (узнать можете в Моем компьютере) и нажать Enter. После этого всё встанет на свои места, папки вновь станут видимыми, а вирус будет удален (если он всё ещё в папке RECYCLER).
Статья в тему: Защита флешки от вирусов
У кого возникнут вопросы — пишите в комментариях.
Источник
В сети появилась новая разновидность вируса, который заражает флешки и внешние накопители. С подобным вирусом, я впервые столкнулся около полугода назад, когда у одного из моих клиентов, подобный вирус скрыл все папки на флешки, а на их месте создал ярлыки. Так как случай был единичный, подумал, что не стоит волноваться и описывать эту проблему. Но совсем скоро посыпались призывы о помощи «помогите восстановить данные с флешки» и причиной всему оказался именно этот вирус!
Если вы заметили, что папки на флешке стали ярлыками
Предположим, что вы заметили, что при открытии папок на флешки «вылетает» системная ошибка и лишь потом открывается папка. Посмотрите имеют ли папки значок ярлыка – это маленькая стрелка на значке папки в левом нижнем уголке.
Если подобных папок-ярлыков много или даже все – то вероятно, система заражена вирусом, а его распространителем служит ваша флешка.
Чистим флешку от вирусов
1. Для поиска и удаления подобного вируса рекомендую использовать несколько антивирусов: сначала сделайте полную проверку компьютера, установленным антивирусом. В моем случае это Аваст (см. рис. 2). Просканируйте системный диск C: и съемный носитель, т.е. вставленную флешку.
Если вирусы найдены, то удалите их. Разумеется, с зараженными файлами из системной папки Windows нужно обходиться аккуратно: полечить его сперва или поместит в карантин. Все остальные – можно смело удалять.
2. Вне зависимости был найден или нет вирус — проверьте систему любой другой антивирусной утилитой. Я рекомендую использовать CureIt. (https://www.freedrweb.com/download+cureit+free/).
Просканируйте этой утилитой системный диск C и флешку. Другие логические диски можно просканировать в другой раз, иначе удаление простого вируса может занять много времени.
3. После того, как систему проанализировали несколько антивирусных программ и возможно что-то было найдено, а может и нет, пора переходить к восстановлению скрытых папок на флешке, а заодно и почистить флешку от вирусов, которые могли не заметить сканеры антивирусов.
Как отобразить скрытые файлы и папки на флешке
Два слова скажу в чем тут дело и почему папки становятся скрытыми и невидимыми, а их место занимают ярлыки.
Логика подобного вируса проста, но в тоже время и неординарна. Попав на флешку через зараженный компьютер, он прописывает себя в скрытой папке RECYCLER, которую скрывает с помощью системного атрибута «Скрыть». В нее помещает экземпляр вредоносного кода (вирус) под любым названием. Таким образом он маскируется. Всем файлам и папкам, которые есть на флешке вирус задает атрибут «скрытый и системный» в результате чего они становятся невидимыми, т.е. скрытыми.
Потом, вирус создает ярлыки ко всем скрытым файлам и папкам и делает их видимыми, подставляя их вместо оригиналов. Неплохо задумано, правда?
Как только такую зараженную флешку вы вставите в компьютер, откроите ее и кликните по папке-ярлыку, сработает системная команда на запуск вируса из папки RECYCLER, а затем на открытие скрытой папки-оригинала. Если антивирус не среагирует на вирус, ваш компьютер будет заражен и последствия могут быть разные: от кражи паролей и до установки бэкдора для управления вашим компьютером.
Есть несколько вариантов как можно удалить вирус с флешки, а скрытые файлы сделать видимыми:
- С помощью командной строки
- С помощью загрузочного диска Live DVD (или загрузочной флешки)
- С помощью файловых менеджеров (Total Commander, Far и др.)
Лично я использую в работе загрузочный диск и флешку. Но так как этот способ требует наличие специального диска или специальной флешки, которые нужно смонтировать, для простого пользователя — это трудновато.
Поэтому я покажу вам другой более простой способ — с помощью файлового менеджера Total Commander.
Восстановление прежнего вида папок на флешке
1. Зайдите на сайт https://www.ghisler.com/850_b15.php и скачайте версию программы 32+64-bit (Combined installer Windows 95 up to Windows 8, 32-bit AND 64-bit!).
2. Установите ее. Даже если у вас уже установлена подобная программа, обновите ее. На рабочем столе появится ее значок (в некоторых случаях аж два).
3. Откройте программу, кликнув по ее значку. В окне программы нажмите на кнопку запуска по нужным номером (1, 2 или 3). Это небольшое неудобство позволяет нам бесплатно пользоваться этой программой.
4. В левом окне программы из выпадающего списка выберите вашу флешку.
5. На первый взгляд с флешкой все в порядке, папки на месте, файлов только нет, но это только так кажется. Если посмотреть внимательно, то можно заметить, что папки – это ярлыки так как у них расширение .Ink, а на самом деле у папок расширения нет.
Откройте раздел Конфигурация — Настройка… В окне настроек выберите раздел Содержимое панелей и правой части поставьте галочки напротив следующих параметров:
- Показывать скрытые файлы
- Показывать системные файлы
Далее кнопка Применить — Ок.
Теперь картина изменилась. У нас отобразились скрытые, системные файлы (при этом они могут быть и не системными, ведь им просто задали такой атрибут).
6. Удалите все папки-ярлыки с расширением Ink. Для этого удерживайте клавишу CTRL, а мышкой выделяйте нужные файлы. Нажмите клавишу DELETE на клавиатуре. Согласитесь на удаление.
7. Осталось восстановить прежний вид папок. Для этого достаточно снять с них атрибуты «скрытый, системный и др.». Стандартными средствами операционной системы Windows XP, 7 или 8 этого не сделать, а с помощью файлового менеджера Total Commander — легко.
Укажите (одноразовый клик по файлу левой кнопкой мыши) на любой файл и выделите все папки и файлы с помощью комбинации клавиш на клавиатуре CTRL+A.
Откройте раздел Файлы — Изменить атрибуты. Снимите все точки напротив значений:
- Архивный
- Только для чтения
- Скрытый
- Системный
И нажмите на кнопку ОК. Теперь файлы на флешке можно просмотреть с помощью простого Проводника.
8. Еще одна маленькая деталь. Остается удалить папку RECYCLER, в которой возможно находится вирус. Выделите папку RECYCLER с помощью правой кнопки мыши и нажмите на клавиатуре кнопку DELETE. Согласитесь на удаление всех файлов в этой папке. Если при удалении появится предупреждение, что файл так просто не удалить, тогда выберите кнопку «с правами администратора».
Вот и все! Вирус будет удален, а файлы благополучно восстановлены.
В завершении этого обзора, заранее хочу вас предупредить, если вы вдруг заметите, что на флешке пропали файлы или, как в данном примере, появились ярлыки вместо папок и файлов, НЕ СПЕШИТЕ ФОРМАТИРОВАТЬ свою флешку! Попробуйте с помощью данного способа вернуть все на свое место.
Источник