Ntuser1 bak на флешке что это
Программирование. Продвижение SEO. Работа с CMS. 1С Предприятие.
Недопустимые символы в папке. Или Как вирус прячет папки на флешке.
Вирус на флешке сделал папки скрытыми.
Если место на флешке занято, а папок, как скрытых, так и системных нет. Это говорит о том, что от Вас вся информация на диске скрыта. Скрывает ее вирус, используя папку в имени которой он использует недопустимые символы. Такую папку не видно в Total Commander и Far, про проводник винды вообще молчу.
В этом случаи форматировать флешку не стоит .
В данном случаи решить проблему нам поможет командная строка: CMD.
Все дело в том, что вирус создает директорию в названии которой есть недопустимые символы. Этих символов нет в наборе символов, которые используют для назначения имен папок в формате 8.3. В результате, такая папка не отображается ни в одном из файловых менеджеров в независимости от настроек последнего.
Затем вирус переносит настоящие папки в эту скрытую папку.
Я попытаюсь описать по шагам, как вынуть файлы из скрытой папки на флешке, которой якобы нет.
Итак, начнем.
Наша флека/диск это диск с буквой I:\
Если поглядеть на картинку то ни каких папок нет. Как тут ни крути =)
Чтобы нам увидеть директорию, обратимся за помощью к командной строке.
Жмем WIN+R вбиваем команду CMD и жмем Enter.
Перед нами приглашение командной строки.
На картинке видно скрытую папку с названием e2e2
Ну вот когда мы знаем название можно на прямую обратиться к ней в менеджере файлов.
Я для простоты использовал Total Commander, просто вбиваете Х:\e2e2
1 в строку и жмете Enter. Затем переносите Ваши файлы на диск С:\, а флешку форматируете.
Советы пользователей присланных мне.
Совет 1: Меняем имя папки
Прислал его один из пользователей.
В командной строке набираем
ren g:\e2e2
1 111
И переименовываем папку e2e2
1 на флешке в 111 с помощью командной строки (win+r, cmd)
Совет 2: Бат файл для скрытых папок
Также если у Вас на флешке есть скрытые папки то вам поможет БАТ файл который был предложен одним из пользователей.
@echo off
mode con codepage select=1251 > nul
echo Please wait…
attrib -s -h -r -a /s /d
Данный файл снимает все атрибуты со всех папок и файлов, ЗАПУСКАТЬ ТОЛЬКО НА ФЛЕШЬ ДИСКЕ .
Внимание 20-03-2011 был добавлен комментарий о том, что уже существует новая модификация вируса, которая не прячет папки, а удаляет их, будте бдительней.
Совет 3: Простой способ вынимания информации
Пользователем СЕРГЕЙ был прислан самый простой способ решение задачи.
Он открыл флешку в Total Commander 7.0 Podarok Edition как оказалось там есть кнопка 8.3 (Короткие имена в формате DOS 8.3) нажав её имена папок отображаемых изменились и появилась нужная папка е2е2
1 войдя в которую всё ее содержимое можно скопировать в другое место, или можно её переименовать в 111 и она становится видна.
Совет 4: Способ пользователя Muller
Пользователем Muller был предложен оригинальный способ. Для этого нужно запаковать флешку архиватором RAR. Затем открыть архив и вынуть нужные вам файлы =) вот ссылка на комментарий Muller`а.
Совет 5: Способ похожий на 4-й c WIN RAR, но проще. Прислан пользователем Димка
Хочу предложить усовершенствованный метод открытия папок с помощью WinRaRа. Запускаем архиватор Пуск>Все программы>WinRaR. Открываем нашу флешку и вуаля, все папки видны, перетаскиваем папки из окна WinRaR в другое место на жестком диске, форматируем флешку.
Вот ссылка на комментарий Димки.
Совет 6: Решение проблемы с проводником Windows, когда невозможно снять с папки атрибут (галочку) крытый
Совет 7: Просмотр флешки через FTP клиент.
Оригинальное решение предложил mops. Каким именно клиентом он просматривал флешку он не уточнил. Но как вариант возьмем на заметку.
С уважением, Acid.
1 882 Комментариев “ Вирус на флешке сделал папки скрытыми. ”
помог с установкой тотал командр подарок эдишн
все крайне просто
Благодарю за информацию
Способ с архивом очень помог. Спасибо.
мне помогло через WinRAR. Всем советую!
Спасибо за совет.
Спасибо огромное, открыл способом №2 респект и уважуха
2 Способ моментально работает! Спасибо!
Спасибо! Мгновенно открыла БАТ файлом
Спасибо огромное, ваша статья очень помогла.
Спасибо 100% помогает 6-й метод
Спасибо ребят!) Второй способ помог)
Благодарю. Совет №5 помог. Димки
Проблема в том, что в этих ярлыках записано по две команды, первая запуск и установка вируса в ПК, вторая открытие Вашей драгоценной папки.
Нашла скрытые файлы EasyRecovery, вперемешку правда, но НАШЛА!
Большое вам спасибо!
Именно ваш способ помог!
попробуйте переименовать
В командной строке набирать
ren h:\folder ..
Пишет что, не найдется найти указанный файл.
у меня написано файл не найден .Ничего не показывает. Что в этом случае сделать помогите пожалуйста
Попробуйте в командной строке посмотреть наличие папок в имени которых есть недопустимые символы.
Открыл флешку через RAR, папки отобразились, скидывать в другой диск неудобно, так как на них более 10 гиг инфы-долго, есть другой способ?
Только используя бат файл. Или в командной строке.
проще всего открыть командную строку. ввести X: где Х буква флешки. потом с помощью изменить-вставить вставить следующие данные attrib -s -h -r -a /s /d *.*
Bak.exe – если вы у себя, в диспетчера задач, обнаружили такой процесс, знайте, по вашему компьютеру безнаказанно гуляет вирус, который делает копии новосозданых документов или папок.
Обычно обнаруживается этот вирус при работе с флешками. Вот мне, попался именно такой тип данного вируса. Например, если я в ноутбук вставляю флеш-накопитель и пытаюсь на нем создать новую папку и переименовать ее так, как мне нужно она создается, вроде бы все нормально но, как только я захожу в нее вижу, что она содержит ещё 2 папки. Одна из которых называется «Новая папка», а другая с таким же названием, как я указал минутой ранее.
То есть, когда я создал и переименовал папку, вирус в свою очередь скопировал эти папки и положил их в директорию, которая была создана мною. Мне эта проблема чем-то напомнил вирус который вместо папок и файлов создавал ярлыки. В общем, начав разбираться что да как, я залез в диспетчер задач, и обнаружил какой-то незнакомый для меня процесс с названием «Bak.exe».
Решив проверить к какой программе данный .exe файл относится, я открыл место хранения файла. Но, к моему удивлению передо мной появилась папка с набором файлов в виде приложений и ярлыков, которые выдавали себя не за тех кем являлись. То есть, я там обнаружил приложение со значком торрента файла, ещё ярлыки с названием Gogle Update и Windows Update, которым в принципе нечего делать в этой папке. Да и само название Windows Update какое-то странное. В общем, сразу стало понятно, что это Bak искомый нами вирус.
Первым делом, я конечно же, закрыл папку и попытался остановить процесс, но как только я попытался это сделать на экране появился синий фон с ошибкой 0x0000004f. Что же, вызов принят, подумал я и перезагрузил компьютер.
Как удалить с компьютера или ноутбука вирус Bak.exe
Так, как в нормальном режиме мы не можем удалить ярлыки с вирусными приложениями не закрыв Bak.exe, а завершить этот процесс нет возможности, из-за резкого появления ошибки на синем фоне, следует запустить ПК в безопасном режиме и выполнить дальнейшие действия там.
Итак, мы в безопасном режиме, первым делом, заходим на диск С:\, открываем доступ к скрытым файлам, и удаляем папку «Google» в которой находятся все зараженные ярлыки и приложения, по крайней мере у меня она называлась именно так.
Теперь, открываем msconfig и переходим в автозагрузку и тут отключаем всё элементы, которые в пункте «расположение», вели в зараженную папку Google. Например, у меня это: С:\Google\Bak.exe или C:\Google\GoogleUpdate.lnk. В общем, убираем галочки с таких элементов и нажимаем «Применить».
Далее, открываем редактор реестра и находим папку «Run» перейдя по ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
И тут перейдя на правую часть окна удаляем все значения, в которых указан путь C:\Google\Bak.exe, а сам параметр называется NewJavaUpdate или просто JavaUpdate , а может быть просто написано « операционная система ». В общем, пример, как это выглядит вы можете увидеть ниже.
Нашли? Если да, тогда правой кнопкой кликаем по параметру и удаляем его. И так делаем со всеми пунктами в которой хоть как-то упоминается Bak.exe
После этого вирус создающий копию папок на флешке с называнием Bak.exe пропал, а папки в флешке создавались и работали в нормальном режиме.
Если будут вопросы вы всегда сможете задать их в группе ВК или написать мне в комментарии, тут на сайте.
Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.
Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.
Убеждаемся, что папки и файлы целые
Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать скрытые файлы и папки — устанавливаем переключатель.
Теперь ваши папки на флешке будут видны, но они будут прозрачными.
Находим и удаляем вирус через свойства ярлыка
Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:
- «%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»
Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.
Удаляем вирус с помощью антивируса
Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы. Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.
Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
- Расшифровка атрибутов R - разрешает или запрещает атрибут « Только для чтения » , S - превращает файл или папку в системный, H - скрываем или показываем файлы и папки, D - обработка файлов и каталогов, +/- установка /удаление атрибута
Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk
Автономный метод удаления вируса
В блокноте создаем файл и копируем туда ниже перечисленный текс после сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени администратора. После запуска компьютер попросит ввести букву, соответствующую вашей флешке, что нужно сделать. После этого он удалить папку RECYCLER, файл автозапуска autorun.inf и вернёт атрибуты папкам, которые стали ярлыками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
Удаление вируса через реестр
В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программы
Удаление вируса вручную
- Во временной папке Temp C:\users\%username%\AppData\Local\Temp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
- Проверяем также папку C:\Users\<<Пользователь>>\Appdata\Roaming\. в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.
Восстановление системы
Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы. После восстановления должно появится окошко о удачно окончании процесса.
На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.
Всем привет В данной заметке я расскажу о том, что за файл ntuser.dat и можно ли его удалить.
В современных версиях Windows вы можете обнаружить много всяких странных файлов, но ни в коем случае не думайте сразу их удалять. Даже если они вам кажутся ненужными. Все файлы, которые системой не используются, они никак не грузят комп. А размер их настолько мал (относительно обьема жесткого диска), что лучше вообще об этом не думать.
Именно он и хранится в файле ntuser.dat.
Файл ntuser.dat хранится вот в этой папке:
Вот какое содержимое данной папки у меня, как видите тут есть один файл ntuser.dat и несколько других, в имени которых также упоминается ntuser.dat:
Есть еще ntuser.ini, это файл у меня лично пустой, внутри ничего нет
Но есть один косяк, а я о нем совсем не написал Короче чтобы вы вообще увидели файл ntuser.dat, то вам нужно сделать так чтобы секретные системные файлы были видны! По умолчанию то их не видно ведь. Это можно сделать при помощи значка Параметры папок в Панели управления. Вот кстати эта галочка:
Это не особо важные файлы, в них записывается служебная информация при создании резервной копии реестра или раздела его. То есть если удалить, то ничего страшного не произойдет. Но так как они занимают очень мало места, то советую их не трогать, все таки не просто так они создаются
Файлы *.log содержат данные про вносимые изменения в юзерский раздел реестра, их также можно удалять, но опять же лучше не трогать. Если удалите, то ошибок не будет, просто Windows, останется без вспомогательной информации, которая могла быть использована при восстановлении работы системы или при автоматическом исправлении некоторых ошибок.
Вот у меня на другом компьютере, там стоит не Windows 7, а Windows 10, так там вообще этих служебных файлов ntuser.dat очень много, я даже и не знал:
А вот сколько места они все занимают (это только служебные ntuser.dat):
Потом в меню Файл нажмите на Загрузить куст:
Потом нужно будет указать имя куста:
И он будет открыт в отдельном разделе в редакторе реестра:
Читайте также: