Как удалить вирус через тотал коммандер

Обновлено: 06.01.2025

Файлы и папки на флешке превратились в ярлыки, с чем связано

Почти у каждого пользователя компьютером возникала проблема, когда папки на флешке переставали отображаться, а вместо них появлялись ярлыки. Такой типа вируса может заразить ПК, телефон и любое другое портативное устройство и папки перестанут отображаться.
Как быстро и правильно решить такую проблему? Подробное описание вы найдёте в этой статье.
Также Вы узнаете о типах вирусов и их особенностях.

Вирус после, которого файлы становятся ярлыками, бывает двух типов:

Все папки на съёмном носителе заменились ярлыками.
Вместо локальных дисков на ПК появились ярлыки.

Подробнее о каждом из типов.

Самым распространенным является вирус, что делает папки невидимыми, а вместо них отображаются ярлыки. Это адское сочетание Worm и Trojan. Многие пользователи, впервые столкнувшись с подобной проблемой дважды кликают курсором на ярлык папки в надежде их открыть, и запускают зловредные программы.
Второй вариант — это Trojan, он собирает все файлы на устройствах и переносит их в одну скрытую папку. После этого создает один общий ярлык, пользователь может получить доступ, к файлам только открыв его. И снова после двойного клика вирус начинает вредоносно распространяться по компьютеру, устанавливать шпионские программы и копировать персональные данные.

Как восстановить поврежденные файлы на флешке

Попав на компьютер пользователя или съёмный носитель, зловредный вирус создает папку RECYCLER и прописывается там. Папка скрыта, в ней вредоносный код – это своеобразная маскировка. Параллельно с этим все папки, которые были на флешке становиться невидимыми. Вирус создает ярлыки, которые его активируют.
После того, как флешку с вирусом подключают к компьютеру и кликают по ярлыку папки, вредоносная команда запускается. Если у вас на ПК нет антивируса, последствия могут быть печальными. Начиная от взломов паролей, до установки бэкдора.

Есть несколько простых вариантов, для удаления вируса:

При помощи Total Commander или другого файлового менеджера.
Используя загрузочный диск или загрузочную флешку.
При помощи командной строки.

Вариант первый — Total Commander.

Скачайте, и установит файловый менеджер.
Двойным кликом запустите программу.
Найдите подключенную флешку (левый правый угол).
В первые секунды, кажется, что все хорошо, но стоит присмотреться — папок не видно, а видны ярлыки.
Зайдите в раздел конфигурация – настройки. Установите галочки напротив: показывать скрытые файлы и системные файлы. После этих манипуляций на флешке станут видны папки, которые были скрыты.
Все ярлыки удалите.
Теперь нужно вернуть прежний вид папок. Выделите нужную папку. Откройте вкладку «файл» — изменить атрибуты. Удалите отметки напротив: только для чтения, архивный, системный, скрытый, системный.
Последняя немаловажная деталь. Удалите папку RECYCLER, в которой и спрятался вирус.

Вариант второй — при помощи командной строки.

Зайдите меню «Пуск» и кликните на «Выполнить».
В открывшейся строке введите «cmd» и подтвердите команду.
Появится командная строка. В ней пропишите «cd /d X:\». Х – буква, под которой отображается ваша флешка.
Следующий шаг пропишите – «attrib -s -h /d /s».

Выполнив все пункты в правильной последовательности, информация на вашей флешке будет восстановлена.

Третий вариант — используя загрузочный диск Live DVD или загрузочную флешку.
Это способ подойдет более опытным пользователям, так для его осуществления необходим загрузочный диск или флешка. А не у всех они есть под рукой.

Все современные антивирусы уже давно научились блокировать запуск файлов autorun.inf со съемных носителей и злоумышленникам приходится придумывать новые способы для заражения компьютеров пользователей.

Одним из подобных видов заражения мы сегодня и рассмотрим, а именно: самостоятельно удалим вирус из системы.

Ну что же, теперь перейдем к рассмотрению самого вируса.

Описание вируса

Первые признаки заражения данным вирусом является наличие на съемных носителях, т.е. на флешках, ярлыков для всех папок, которых были на флешке на момент заражения. В свойствах этих ярлыков указан путь к исполняемому файлу самого вируса:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\1b37f31f.exe &&%windir%\explorer.exe %cd%RECYCLER

Ничего не подозревающий пользователь кликает на ярлык, принимая его за обычную папку и тем самым, запускает вирус на исполнение. Одновременно с запуском вируса открывается и требуемая папка и все выглядит вполне обычно, что на самом деле не так.

Итак, сам вирус находится в папке RECYCLER, которая расположена на съемном носителе. Внутри этой папки находятся два файла: 1b37f31f.exe и Desktop.ini. Первый файл – это сам вирус, второй отвечает за отображение значка папки в виде обычной корзины.

Стоит напомнить, что на флешке не должно быть никаких Корзин, то есть папок с названием RECYCLER. Данные папки могут присутствовать только на жестком диске компьютера, но никак не на флешке. Если вы обнаружили данную папку на флешке – это стопроцентно вирус.

При запуске, вирус делает скрытыми все папки на съемном носителе и создает ярлыки с именами папок. Таким нехитрым образом, происходит запуск данного вируса.

Технические данные вируса

Многими антивирусами этот вирус детектируется как троян и хотя прошло много времени с момента создания этого вируса, в сети Интернет очень мало информации по этому вирусу.

Итак, немного технической информации:

Имя файла: 1b37f31f.exe

Размер файла: 246.8 KБ (252731 байт)

Тип файла: Win32 EXE

Удаление вируса

Для начала, стоит включить отображение скрытых файлов и папок на вашем компьютере. Для этого, откройте Проводник и выберете пункт меню «Сервис», затем «Свойства папки», перед вами отобразится окно «Свойства папки». Перейдите на вкладку «Вид» и поставьте переключатель на пункт «Показывать скрытые файлы и папки», затем, чуть выше, уберите галочку с «Скрывать защищенные системные файлы (рекомендуется)», появится окно предупреждения о том, что защищенные файлы операционной системы будут отображаться «Проводником». Нажмите на кнопку «Да», затем в окне «Свойства папки» нажмите кнопку «Применить» и «Ok».

После этого, помимо ярлыков вы увидите те самые папки, которые скрыл вирус.

Теперь, когда стали доступны скрытые файлы и папки, удалите с флешки папку RECYCLER, вместе со всем ее содержимым. После чего, удалите все ярлыки, созданные вирусом.

Один важный момент: на всех разделах вашего жесткого диска также следует удалить папки RECYCLER, так как зачастую в этих папках остается рабочая копия данного вируса.

Устранение последствий вируса

Когда вы удалили папку RECYCLER и созданные им ярлыки, вам потребуется вернуть атрибуты для скрытых папок, которые присвоил им вирус. Тут кроется одна хитрость: через программу Проводник не удастся убрать атрибут «Скрытый» для скрытых вирусом папок. Все дело в том, что помимо атрибута «Скрытый», вирус присвоил еще один атрибут: - «Системный». Именно поэтому, Проводник не позволит убрать атрибут Скрытый» для требуемой папки.

Однако все эти атрибуты легко убираются любым файловым менеджером, например Total Commander или Double Commander.

В Total Commander атрибуты убираются следующим образом:

1. Откройте Total Commander (предварительно включив в Total Commander отображение системных файлов) и откройте в одной из панелей Total Commander корень вашей флешки;

2. Выберите меню «Файлы», а затем «Изменить атрибуты…»;

3. В открывшемся окне, уберите флажки напротив Архивный, Только для чтения, Скрытый и Системный, и после этого нажмите на кнопку «OK».

В программе Double Commander атрибуты убираются подобным образом:

1. Откройте Double Commander (предварительно включив в Double Commander отображение системных файлов) и откройте в одной из панелей Double Commander корень вашей флешки;

2. Выберите меню «Файлы», а затем «Изменить атрибуты»;

После этого, скрытые вирусом папки перестанут быть таковыми.

Альтернативный способ

Существует и другой способ снятия атрибутов, присвоенных папкам, рассматриваемым нами вирусом. Этот альтернативный способ заключается в запуске всего лишь одной команды «attrib», которая позволяет присваивать либо снимать атрибуты файлов и папок.

Сейчас мы не будем рассматривать весь синтаксис данной команды, так как это тема отдельной статьи – мы только создадим один простенький сценарий, точнее bat-файл со следующим содержимым:

Наберите или скопируйте эту строчку в Блокнот и сохраните под любым именем, но с расширением .bat. Стоит отметить, что сохранять этот файл надо на флешке, на которой требуется убрать атрибуты «Скрытый» и «Системный». Имя файла может быть примерно таким «NoHidden.bat», но обязательно с расширением .bat.

Убедитесь, что созданный вами файл находится в корне вашей флешки, после чего запустите его. После запуска нашего файла «NoHidden.bat», папки вновь станут видимыми.

Вывод

Вот такими нехитрыми манипуляциями мы удалили назойливый вирус не только на съемном носителе, но и на флешке. Помимо этого, мы узнали как можно снимать атрибуты «Скрытый» и «Системный» у папок.

Довольно часто многим приходится иметь проблемы с полным или частичным исчезновением информации на USB-накопителе. Как правило, это свидетельствует о том, что флешка ранее использовалась на заражённом ноутбуке или компьютере, откуда, скорее всего, и был занесён вирус. Избавиться от такой неприятности можно и, более того, есть возможность сохранить всю информацию, которая находилась до этого на девайсе.

Отображение скрытых файлов: как включить

Обнаружив данную проблему, действовать нужно предельно аккуратно. В первую очередь следует сделать так, чтобы система видела скрытую информацию. Для этого следует выполнить ряд действий:

Зайти в меню панели управления, найти «Параметры папок» и открыть эти настройки.
В новом окне перейти на вкладку «Вид».
Отключить параметр «Скрывать…» и активизировать «Показывать…».

После применения данных параметров, абсолютно все файлы на флешке станут доступными. Но не следует торопиться переместить их оттуда на компьютер, так как это грозит заражением всего устройства. Более того, информация на накопителе всё равно будет отображаться не файлами, а ярлыками, перемещение которых будет бесполезным.

После проведения всех настроек Windows можно переходить к непосредственному удалению вируса. Делается это при помощи любой антивирусной программы. Принцип работы и эффективность наиболее популярных антивирусных утилит очень схожи, поэтому каждому из них можно доверить поиск и лечение троянского вируса. Всё, что нужно сделать на этапе восстановления — это просто установить такой утилит, задать в настройках проверку всех подключаемых внешних устройств, подключить флешку и подождать, пока программа удалит все вредоносные файлы.

Как восстановить флешку через Total Commander

Ещё одним полезным утилитом, использующимся для восстановления USB-накопителей, можно считать Total Commander, который идеально справляется не только со своими функциями проводника, но ещё и довольно хорош в помощи по очистке флешки от вирусов. Для того чтобы восстановить девайс, необходимо сделать следующие процедуры:

Как восстановить информацию (папки и документы) на флешке после вируса

Избавившись от вирусов и открыв доступ ко всем файлам, можно начинать восстановление данных, которые находятся на накопителе. Есть два очень хороших способа проведения такой операции:

использование определённого утилита;
отладка через командную строку.

Среди программ, использующихся для восстановления утраченных файлов, можно выделить USB Hidden Recovery и Folder Fix. Интерфейс данных программ очень простой, для восстановления файлов достаточно запустить программу, выбрать необходимый внешний накопитель и дать согласие на полную очистку флешки.

Что касается второго способа, то в этом случае всё нужно делать самостоятельно. Процедура состоит из следующих действий:

Итак, восстановление флешки после вируса — процесс несложный, но следует помнить, что сохранить утраченную информацию и полностью восстановить накопитель удастся лишь в том случае, если все действия будут проводиться аккуратно и последовательно, согласно приведенной инструкции.

В сети появилась новая разновидность вируса, который заражает флешки и внешние накопители. С подобным вирусом, я впервые столкнулся около полугода назад, когда у одного из моих клиентов, подобный вирус скрыл все папки на флешки, а на их месте создал ярлыки. Так как случай был единичный, подумал, что не стоит волноваться и описывать эту проблему. Но совсем скоро посыпались призывы о помощи «помогите восстановить данные с флешки» и причиной всему оказался именно этот вирус!

Если вы заметили, что папки на флешке стали ярлыками

Предположим, что вы заметили, что при открытии папок на флешки «вылетает» системная ошибка и лишь потом открывается папка. Посмотрите имеют ли папки значок ярлыка – это маленькая стрелка на значке папки в левом нижнем уголке.

Если подобных папок-ярлыков много или даже все – то вероятно, система заражена вирусом, а его распространителем служит ваша флешка.

Чистим флешку от вирусов

1. Для поиска и удаления подобного вируса рекомендую использовать несколько антивирусов: сначала сделайте полную проверку компьютера, установленным антивирусом. В моем случае это Аваст (см. рис. 2). Просканируйте системный диск C: и съемный носитель, т.е. вставленную флешку.

Если вирусы найдены, то удалите их. Разумеется, с зараженными файлами из системной папки Windows нужно обходиться аккуратно: полечить его сперва или поместит в карантин. Все остальные – можно смело удалять.

Просканируйте этой утилитой системный диск C и флешку. Другие логические диски можно просканировать в другой раз, иначе удаление простого вируса может занять много времени.

3. После того, как систему проанализировали несколько антивирусных программ и возможно что-то было найдено, а может и нет, пора переходить к восстановлению скрытых папок на флешке, а заодно и почистить флешку от вирусов, которые могли не заметить сканеры антивирусов.

Как отобразить скрытые файлы и папки на флешке

Два слова скажу в чем тут дело и почему папки становятся скрытыми и невидимыми, а их место занимают ярлыки.

Логика подобного вируса проста, но в тоже время и неординарна. Попав на флешку через зараженный компьютер, он прописывает себя в скрытой папке RECYCLER , которую скрывает с помощью системного атрибута «Скрыть». В нее помещает экземпляр вредоносного кода (вирус) под любым названием. Таким образом он маскируется. Всем файлам и папкам, которые есть на флешке вирус задает атрибут «скрытый и системный» в результате чего они становятся невидимыми, т.е. скрытыми.

Потом, вирус создает ярлыки ко всем скрытым файлам и папкам и делает их видимыми, подставляя их вместо оригиналов. Неплохо задумано, правда?

Как только такую зараженную флешку вы вставите в компьютер, откроите ее и кликните по папке-ярлыку, сработает системная команда на запуск вируса из папки RECYCLER , а затем на открытие скрытой папки-оригинала. Если антивирус не среагирует на вирус, ваш компьютер будет заражен и последствия могут быть разные: от кражи паролей и до установки бэкдора для управления вашим компьютером.

Есть несколько вариантов как можно удалить вирус с флешки, а скрытые файлы сделать видимыми:

С помощью командной строки
С помощью загрузочного диска Live DVD (или загрузочной флешки)
С помощью файловых менеджеров (Total Commander, Far и др.)

Лично я использую в работе загрузочный диск и флешку. Но так как этот способ требует наличие специального диска или специальной флешки, которые нужно смонтировать, для простого пользователя — это трудновато.

Поэтому я покажу вам другой более простой способ — с помощью файлового менеджера Total Commander .

Восстановление прежнего вида папок на флешке

2. Установите ее. Даже если у вас уже установлена подобная программа, обновите ее. На рабочем столе появится ее значок (в некоторых случаях аж два).

3. Откройте программу, кликнув по ее значку. В окне программы нажмите на кнопку запуска по нужным номером (1, 2 или 3). Это небольшое неудобство позволяет нам бесплатно пользоваться этой программой.

4. В левом окне программы из выпадающего списка выберите вашу флешку.

5. На первый взгляд с флешкой все в порядке, папки на месте, файлов только нет, но это только так кажется. Если посмотреть внимательно, то можно заметить, что папки – это ярлыки так как у них расширение .Ink, а на самом деле у папок расширения нет.

Откройте раздел Конфигурация — Настройка… В окне настроек выберите раздел Содержимое панелей и правой части поставьте галочки напротив следующих параметров:

Показывать скрытые файлы
Показывать системные файлы

Далее кнопка Применить — Ок.

Теперь картина изменилась. У нас отобразились скрытые, системные файлы (при этом они могут быть и не системными, ведь им просто задали такой атрибут).

6. Удалите все папки-ярлыки с расширением Ink . Для этого удерживайте клавишу CTRL , а мышкой выделяйте нужные файлы. Нажмите клавишу DELETE на клавиатуре. Согласитесь на удаление.

7. Осталось восстановить прежний вид папок. Для этого достаточно снять с них атрибуты «скрытый, системный и др.». Стандартными средствами операционной системы Windows XP, 7 или 8 этого не сделать, а с помощью файлового менеджера Total Commander — легко.

Укажите (одноразовый клик по файлу левой кнопкой мыши) на любой файл и выделите все папки и файлы с помощью комбинации клавиш на клавиатуре CTRL+A .

Откройте раздел Файлы — Изменить атрибуты . Снимите все точки напротив значений:

Архивный
Только для чтения
Скрытый
Системный

И нажмите на кнопку ОК. Теперь файлы на флешке можно просмотреть с помощью простого Проводника.

8. Еще одна маленькая деталь. Остается удалить папку RECYCLER , в которой возможно находится вирус. Выделите папку RECYCLER с помощью правой кнопки мыши и нажмите на клавиатуре кнопку DELETE . Согласитесь на удаление всех файлов в этой папке. Если при удалении появится предупреждение, что файл так просто не удалить, тогда выберите кнопку «с правами администратора».

Вот и все! Вирус будет удален, а файлы благополучно восстановлены.

В завершении этого обзора, заранее хочу вас предупредить, если вы вдруг заметите, что на флешке пропали файлы или, как в данном примере, появились ярлыки вместо папок и файлов, НЕ СПЕШИТЕ ФОРМАТИРОВАТЬ свою флешку! Попробуйте с помощью данного способа вернуть все на свое место.

Читайте также: