Почему компьютер создает ярлыки на флешке. Что делать, если папки стали ярлыками

Вчера на курсах подхватил на флешку вирус, который был немедленно детектирован и удален антивирусом на моем домашнем компе. Однако оказалось, что все папки на флешке стали ярлыками . Какое-то время назад я уже сталкивался с такой проблемой, поэтому знаю первое правило, позволяющее предотвратить заражение вашего компьютера: не в коем случае не пытайтесь открыть ярлыки к папкам! (даже если данные на флешке бесценны, и вы хотите немедленно убедиться в том, что они никуда не пропали). Почему не стоит открывать эти ярлыки? Создатели вируса пошли на такую уловку: в свойствах этих ярлыков прописаны две команды:

  1. Первая запускает и устанавливает вирус на Ваш ПК
  2. Вторая открывает интересующую Вас папку

Т.е. пользователь, на компьютере которого не установлен антивирус, не обратив внимание на тот факт, что все каталоги на флешке теперь отображаются в виде ярлыков, может просто не знать, что флешка заражена, т.к. все папки на флешке открываются и информация в них на месте. В некоторых модификациях подобного вируса папки перестают открываться, даже если щелкнуть по ярлыку. В любом случае, не паникуйте, не спешите форматировать USB флешку и читайте внимательно инструкцию ниже. Поймите, каталоги никуда не делись, они как лежали на флешке так и лежат. Просто вирус скрыл все папки на флешке, т.е. им были назначены соответствующие атрибуты (скрытый + архивный). Наша задача: уничтожить вирус и снять эти атрибуты.

Итак, ниже я приведу инструкцию, описывающую что делать, если папки на флеше стали ярлыками

Удаляем исполняемые файлы вируса на USB флешке

Первым делом необходимо избавиться от исполняемых фалов вируса. Это можно сделать с помощью любого антивируса (благо есть куча бесплатных или portable версий, таких как Dr.Web CureIt или Kaspersky Virus Removal Tool), если же его нет – можно попробовать найти и обезвредить вирус вручную. Как же найти файлы вируса, заразившего USB флешку?


В этом примере RECYCLER\e3180321.exe это и есть тот самый вирус. Т.е. файл вируса с именем e3180321.exe находится в папке RECYCLER. Удаляем этот файл, а можно и папку целиком (рекомендую проверить наличие этой папки как на самой зараженной флешке, так и в системных каталогах C:\windows, C:\windows\system32 и в профиле текущего пользователя (о них чуть ниже)).

  • в Windows 7, 8 и 10 - C:\users\имя_пользователя\appdata\roaming\
  • в Windows XP - C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\

Если в этих каталогах имеются файлы с расширением «.exe », то скорее всего это и есть исполняемый файл вируса и его можно удалить (на незараженном компьютере в этом каталоге.exe файлов быть не должно).

В некоторых случаях такие вирусы не детектируются антивирусами, т.к. их могут создавать в виде.bat/.cmd/.vbs файлов сценариев, которые в принципе не выполняют никаких деструктивных действия на компьютере. Рекомендуем руками проверить флешку на наличие файлов с такими разрешениями (их код можно посмотреть с помощью любого текстового редактора).

Теперь клик по ярлыку не опасен!

Проверка системы на наличие команд автозапуска вируса

В некоторых случаях вирусы прописывают себя в автозапуск системы. Проверьте руками следующие ветки реестра (regedit.exe) на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
  • HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run – программы, автоматически запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программ (ничего плохого вы не сделаете, и если даже вы отключите автозагрузку какой-то нужной программы, вы сможете всегда запустить ее вручную после входа в систему).

Другие способы автозапуска программ в системе описаны в статье .

Восстанавливаем вид каталогов и доступ к папкам

После того, как флешка и компьютер очищена от вирусов, нужно восстановить обычный вид папок и файлов на флешке. В зависимости от модификации вируса (и фантазии «разработчиков») оригинальным папкам могут быть присваивоены системные атрибуты «скрытая» и «системная», либо они могут быть перенесены в некую также скрытую папку, специально созданную вирусом. Просто так эти атрибуты не снять, поэтому придется воспользоваться командами сброса атрибутов через командную строку. Это также можно сделать вручную или с помощью командного файла. Затем оставшиеся ярлыки на папки можно удалить – они нам не нужны

Ручной способ восстановления атрибутов скрытых папок на флешке

  1. Открываем командную строку с правами администратора
  2. В появившемся черном окне вводим команды, после набора каждой нажимаем Enter
    cd /d f:\
    , где f:\ - это буква диска, назначенная флешке (в конкретном случае может отличаться)
    attrib -s -h /d /s
    , команда сбрасывает атрибуты S («Системный»), H («Скрытый») для всех файлов и папок в текущем каталоге и во всех вложенных.

В результате все данные на накопителе становятся видимыми.

Скрипт для автоматического снятия атрибутов скрытия с исходных папок и файлов

Можно воспользоваться готовым скриптов, которые выполняет все операции по восстановлению атрибутов файлов автоматически.

С этого сайта скачайте файл (263 байта) (прямая ссылка) и запустите его с правами администратора. Файл содержит следующий код:

:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

При запуске программа просит вас указать имя диска флешки (например, F: ), а затем сама удаляет все ярлыки, фалы autorun.*, снимает атрибуты скрытия с каталогов, удаляет папку с вирусом RECYCLER и, наконец, показывает содержимое USB флешки в проводнике.

Надеюсь, эта заметка будет полезной. Если у вас встретятся другие модификации вируса, превращающего папки на флешке в ярлыки – описывайте симптомы в комментариях, попытаемся разобраться с проблемой вместе!

Дорогие друзья, сегодня мы с вами узнаем, как исправить проблему, когда папки и файлы на флешке стали ярлыками. Конечно, эта проблема крайне неприятная и требует незамедлительного оперативного вмешательства. Прежде чем что-либо делать, рекомендуется отложить флешку в сторону, вытащив её из порта USB компьютера или ноутбука, и ознакомится с теоретической частью этого вопроса. Давайте узнаем: как эта проблема могла появиться на вашем устройстве? Каков принцип работы такого вредоносного кода? Это поможет не только прояснить текущую ситуацию, но и предупредить её будущее появление. Итак, как можно было занести вирус?

  • Самым распространённым источником является интернет, который включает в себя огромное количество информации. Она, естественно, фильтруется, но гарантировать безопасность работы в сети даже при наличии антивирусного программного обеспечения на компьютере никто не может. Поэтому рекомендуется очень аккуратно загружать и скачивать файлы в интернете. Если имеется хотя бы малейшее сомнение в безопасности ресурса, сразу же закрывайте страницу браузера.
  • При частом использовании флеш-накопителя на учёбе или работе также имеется риск заразить её вирусом. Например, если вы вставляете её в рабочий компьютер одного из сотрудников, то очень легко заполучить вредоносный код: не факт, что ваш коллега беспокоится за безопасность своего устройства как вы. Есть вероятность, что его компьютер просто кишит вирусами. Особенно такой исход событий знаком студентам, которые вставляют свои флешки в университетские компьютеры, которые не всегда отличаются своей чистотой в плане вирусных атак.

Конечно, это не значит, что надо положить устройство хранения и переноса информации дома в тумбочку и никогда не доставать. Просто нужно соблюдать элементарные правила безопасности, способные снизить риск заражения устройства вредоносным кодом. Это лучше, чем каждый раз хвататься за голову, переживая за сохранность информации на флешке или любом другом носителе.

Теперь немного поговорим о принципе работы такого вируса. Для начала он скрывает все файлы и папки на вашей флешке (ну или почти все), создаёт ярлык для каждого из них, который ссылается на сам вирус вместе с папкой назначения. То есть получается своего рода «размножение» опасного кода. Желательно, вообще, его не открывать, так как код может проникнуть не только в другие папки носителя, но и на сам компьютер или ноутбук. Вообще, крайне не рекомендуется в принципе открывать такую флешку.

Первый способ

Теперь, когда мы уже немного познакомились с причиной и следствием обсуждаемой проблемы, можно перейти и к способам устранения неполадки. Прежде всего стоит отметить, что для применения некоторых способов вам может потребоваться активное подключение к интернету . Обратите внимание, что такой способ подходит также для случая, когда флешка отображается как ярлык. Если вы готовы начать, то поехали:


attrib -s -h -r -a /s /d

Закройте файл блокнота и сохраните его. Теперь переименуйте его так:

То есть, получится, что вы создали файл-программу с разрешением bat, который поможет вам решить проблему. Для этого запустите его от имени администратора, нажав по нему правой кнопкой мыши и выбрав соответствующий пункт меню. Дождитесь окончания процесса. После этого можно будет проверить носитель информации. Должна исправиться неполадка, когда открывается флешка как ярлык.

Второй способ

Можно воспользоваться ещё одним методом, который проделает вышеописанные процедуры (кроме сканирования антивирусом) в автоматическом режиме. Может помочь, если ярлык самой флешки на флешке. Но обратите внимание, что способ не всегда 100-процентно рабочий. Всё же лучше воспользоваться ручным способом, представленным ранее. При полной готовности, приступим:

  1. Создайте файл блокнота на флешке, как в шестом пункте предыдущей инструкции. Только код теперь будет другой:

:lable
cls
set /p disk_flash=»Vveditebukvuvasheifleshki: »
cd /D %disk_flash%:
if %errorlevel%==1 gotolable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

  1. Сохраните этот файл и переименуйте его на testbat.
  2. Посмотрите букву вашей флешки через «Мой компьютер». Например, она может быть такая: «Nastroyvse (F:)». Значит, буква устройства будет F. Запоминаем её.
  3. Запустите бат-файл от имени администратора уже знакомым вам способом.
  4. Программа запросит у вас букву вашей флешки. Напишите ту, которую вы запомнили из третьего пункта выше. Введите её и нажмите Готово!

Когда беда будет уже позади, всё равно нужно будет проделать некоторые операции, которые отмечены в этом рекомендательном блоке. Не игнорируйте их, так как они обезопасят ваши устройства ещё больше и заметут следы вирусной атаки.

  • Обязательно проверьте системные папки компьютера или ноутбука на наличие остатков вируса. Для этого перейдите по следующему пути, где имя вы указываете именно своего компьютера:

C:\users\ваше имя пользователя\appdata\roaming\

В этой папке не должны быть никаких файлов с разрешением.exe. Поэтому удалите все такие, если они есть в указанном месте.

  • После проведения всех восстановительных работ обязательно ещё раз просканируйте флешку и компьютер антивирусным программным обеспечением, чтобы удостовериться в безопасности.
  • Рекомендуется скопировать ваши файлы на компьютер, затем отформатировать флешку . Только после этого можно вернуть документы на носитель информации. Это поможет избавиться от дополнительных проблем и неполадок.

Подведём итоги

Уважаемые читатели, сегодня мы с вами разобрались с тем, что делать, если флешка стала ярлыком и не открывается, вместо файлов на флешке ярлыки. Надеемся, что у вас всё получилось, не осталось никаких вопросов. Относитесь теперь к устройству более трепетно, берегите его безопасность. Поделитесь в комментариях своим мнением, впечатление, а также опытом: смогли ли вы

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду.

Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени.

Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка

Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт:

Attrib "*" -s -h -a -r /s /d

Сохраняем его как run.bat и держим под рукой.

Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр:

  1. «Пуск» - «Выполнить» и пишем «regedit»;
  2. Открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
  3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer»;
  4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

  1. скопировать run.bat в корень флешки и запустить;
  2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
  3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
  4. теперь осталось удалить с корня все файлы, кроме этой папки.
  5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей!

Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.

Привет читатели. Сегодня я хочу вам рассказать о том «недоразумении», когда у вас папки на флешке стали ярлыками . Это очень распространенный случай. Например, вы вставляете флешку в свой компьютер, стартует, например , вы открываете флешку и видите, что все папки, которые на ней располагались, превратились в ярлыки. Некоторые, не подозревая об этом, копируете на компьютер, а затем вытаскивая флешку, — не можете получить доступ к папке.

И вот у вас в папке — осталась важная информация, которую срочно необходимо спасти. Вы задаетесь вопросом, почему папки стали отображаться в виде ярлыков, а самое главное, как это все исправить? В данной статье мы и рассмотрим, как решить такую серьезную проблему.

Самое главное, когда вы столкнулись с подобной ситуацией, не стоит форматировать флешку, это только усугубит положение.

Первое. Вся ваша информация, которая была на флешке (флеш-носителе) так на ней и осталась, то есть, никуда не пропала. Причиной того, что все папки стали скрытыми, а вместо них появились ярлыки, стало появление на носителе.

Второе. Не стоит нажимать мышью по этим ярлыкам, так как вы можете запустить вредоносный код, который прописан в самом ярлыке. Когда вы вставляете флеш-накопитель в компьютер, у вас может быть такая ситуация:

Что необходимо делать в ситуации, когда папки стали ярлыками на накопителе.

Шаг № 1. Необходимо включить отображение скрытых файлов и папок. Например, можно открыть какой-нибудь файловый менеджер и сделать через него, а можно и в самой Windows. Для этого необходимо зайти в Мой компьютер и выполнить команду Сервис — Свойства папки — Вид , где затем установить указатель на пункт – Показывать скрытые папки и файлы .

Шаг № 2. Теперь нам необходимо проверить каждый ярлык, который находится на флеш-накопителе. Для этого заходим на флешку, нажимаем по ярлыку правой кнопкой мыши, из контекстного меню выбираем пункт Свойства , затем переходим на вкладку Ярлык и внимательно смотрим на поле Объект . Именно с этого поля происходит запуск вредоносного кода, нам необходимо определить, откуда именно и где он находится.

Как видно, в папке RECYCLER присутствует вирус, выше на рисунке показана данная папка, она в большинстве случаях также будет скрытой. Теперь нам необходимо удалить данную папку с флеш-накопителя.

Также можете проверить (для безопасности и достоверности) пути, по которым может находиться еще данный вирус:

Для Windows 7 – C:\\User\\Имя_пользователя\\appdata\\roamling\\

Для Windows XP – C:\\Documents and Settings\\Имя_пользователя\\Local Settings\\Application Data\\

Если вы откроете какой-то из этих путей (который подходит для вашей операционной системы), то вы сможете там обнаружить файл exe. Если он будет присутствовать, то это вирус, и это означает, что попал он туда с помощью автозапуска, поэтому я бы посоветовал вам .

Шаг № 3. На данном этапе нам необходимо вернуть обычный вид папкам, то есть сделать, чтобы они были не скрытыми, а видимыми. Естественно, это необходимо делать после того, как вы удалили вредоносный код и вредоносные файлы, при этом не забывайте еще удалить сами ярлыки, только не перепутайте с папками.

Вернуть папки в прежнее состояние можно несколькими способами:

Способ 1. Необходимо нажать Пуск — Выполнить и набрать в командной строке – cmd, после чего нажать на кнопку Ок или клавишу Enter . В появившемся окне вам необходимо ввести следующие команды:

Чтобы проверить, скройте системные папки (тот же принцип, как и настраивали — показать системные папки) и далее — заходите на свой флеш-накопитель. На нем должны быть показаны все ваши папки.

Способ 2. Вам необходимо сбросить атрибуты для папок, для этого — создаете на флешке текстовый документ и в нем пишете следующее.

Изобретательность разработчиков вирусного программного обеспечения не знает границ, и никого не удивить обычными «Троянами», которые воруют данные, или рекламными баннерами, для закрытия которых мошенники требуют направить им платное СМС. Оригинальным является вирус, который проникает на внешний накопитель (флешку или жесткий диск) и превращает все папки в ярлыки, вернее, так считает пользователь.

На деле же вирусное приложение скрывает реальные папки с данными и подменяет их ярлыками с аналогичным названием. Нажимая на вирусные ярлыки, с флешки инсталлируются на компьютер вредоносные программы. Если у пользователя компьютера не установлено антивирусное программное обеспечение, он рискует серьезно заразить компьютер вредоносными программами, которые впоследствии могут привести к потере личных данных, важных файлов и другим проблемам.

Важно: Если папки на флешке заменились на ярлыки, не нажимайте на них, даже если они имеют названия вроде «Как решить проблему», «Прочти меня», «ReadMe» и другие. Подобным образом злоумышленники вынуждают пользователя активировать свое вирусное программное обеспечение.

Что делать, если папки на флешке стали ярлыками

Как было сказано выше, главное в подобной ситуации не идти на уловки вируса и не жать на созданные им файлы. Чтобы избавиться от вирусных ярлыков и не навредить своим файлам, сделать необходимо следующее:

В Windows 8, 10 и XP: {Системный жесткий диск}:\Пользователи\{Имя пользователя}\AppData\Roaming В Windows 7: {Системный жесткий диск}:\ Documents and Settings\{Имя пользователя}\ Local Settings\Application Data\

Обратите внимание: Чтобы увидеть папку AppData, а также некоторые другие, потребуется изначально включить в «Панели управления» отображение скрытых файлов и папок.

Для этого:


Избавившись от вируса, можно переходить к устранению проблем, которые образовались в результате его действий.

Как сделать видимыми скрытые папки после действий вируса

Вредоносное приложение, как отмечалось выше, скрывает папки, а вместо них создает ярлыки. После удаления вируса папки остаются скрытыми. Обычно их можно сделать видимыми, если нажать на них правой кнопкой мыши, выбрать «Свойства» и на вкладке «Общие» убрать галочку из пункта «Скрытый».

Однако проблема данного вируса, который превращает папки на флешке в ярлыки, в том, что пропадает возможность снять галочку с параметра скрытости, поскольку атрибут становится неактивным.

Чтобы изменить данное свойство и вновь сделать папку видимой, необходимо создать в корне флешки документ «Блокнот». Когда он будет создан, откройте его и пропишите в нем команду:

Attrib -s -h -r -a /s /d

Далее выберите пункты «Файл» - «Сохранить как». Дайте файлу любое название, но в конце пропишите .bat – расширение для него. После того как блокнот в указанном расширении будет сохранен в корневой папке флешки, необходимо нажать на него правой кнопкой мыши и запустить от имени администратора. После этого будет выполнена команда, в результате которой у пользователя появится возможность вновь сделать видимыми скрытые папки.