Добрый день, друзья. Как удалить вирус, создающий ярлыки на флешке? Как можно провести восстановление информации, которая была потеряна из-за функционирования данного вредителя? Все ваши элементы, в том числе и папочки стали на флешь карте ярлыками? Вы применяете антивирусное ПО, но ПК всё-таки умудрился заразиться. Сожалею, но не каждый антивирус сможет сберечь ваш компьютер от подобного вредоносного ПО.
Но, данный вредитель не такой коварный, как, к примеру, вирус шифровальщик. Этот вариант вируса можно назвать более безобидным, и вы без особых усилий сумеете произвести восстановление информации и деинсталлировать данного вредителя. Он относится к комбинации вируса трояна с червём.
Также, хочу добавить, если вы не можете сразу отличить обычную папочку, от папки ярлыка то сделать это довольно просто. У ярлыков имеется небольшая скруглённая стрелка в нижнем левом углу. У обычных папочек подобной стрелки нет.
Поэтому, если вы вставили флешку и заметили, что все папки на ней имеют скруглённые стрелки внизу, то скорее всего это зараженные ярлыки и кликать по ним нельзя.
Виды вредительского ПО ярлыков
На данный момент более других распространились два типа вредоносных ПО, которые могут создать ярлыки: одни занимаются созданием ярлыков, заменяя файлы и папки на флешь карте, иные делают ярлыки внешних дисков и прочих съёмных накопителей.
Подобные вирусы носят следующие названия:
Вредитель, который преобразует флешки со съёмными носителями в ярлыки
Данный вредитель является чистым трояном, скрывающим почти все внешние накопители, которые подключены к ПК и подменяет их на ярлыки данных приборов. Всякий раз, как только вы нажмёте на данный ярлык, вы вновь произведёте запуск данного трояна. После этого, вирус начнет поиск на этом ПК данные о финансах и отошлет эту информацию злоумышленникам.
Что можно сделать, если флешка заражена?
Я уже упоминал, что не каждый из антивирусов сможет оперативно найти угрозу и произвести защиту компьютера или съёмного диска. Отсюда, лучшей защитой является не производить запуск внешних накопителей и не нажимать на ярлыки, диски, или файлы с папками, внизу которых стоит стрелка. Стоит быть осторожным и не нажимать на ярлык, если вы его не сделали сами. Лучше нажать на него правой клавишей мышки и выбрать «Развернуть».
Как восстановить удаленную информацию трояном?
Если вы желаете произвести восстановление информации, которую удалил данный вредитель, нужно применить программу Hetman Partition Recovery. Так как данный софт применяет низкоуровневую опцию в работе с накопителем, данный софт обогнёт блок трояна и сможет прочитать вашу информацию.
Скачиваем и устанавливаем софт. Затем, нужно проанализировать съёмный носитель, который подвергся заражению.
Важно: нужно восстановить данные перед очисткой флешки от вредителя.
Также, отличным вариантом удаления вируса с внешнего носителя является команда DiskPart. Она позволит деинсталлировать все данные с носителя.
Удаляем вирус с флешь карты или внешнего диска
Когда вы восстановили информацию с флешь карты, то теперь настала очередь с данного накопителя удалить всю информацию, используя программу DiskPart. Деинсталляция каждого элемента с форматированием накопителя не сможет полностью убрать троян. Этот вредитель может спрятаться в секторе загрузки, может скрыться в таблицу разделов и незамеченную часть диска.
Удаляем вирус со съёмного накопителя используя командную строку
Этот метод не может с гарантией произвести очистку съёмного накопителя от каждого вируса. Но, он удалит трояна, создавшего ярлык из простого файла. Производить данную операцию мы будем с использованием командной строки:
В поисковую строку введём cmd. По открывшемуся файлу кликнем правой клавишей мышки и в ниспадающем меню выбираем «Запуск от имени администратора»;
Затем, в командной строке нужно ввести букву f: и нажать «Ввод» (f – обозначает букву имя флешь карты, которая заражена вредоносным ПО);
Далее, вводим в командную строку следующее сочетание: attrib f:*.* /d /s -h -r –s и нажимаем «Ввод»:
- — h: поможет нам увидеть скрытые элементы съёмного носителя;
- — r: поможет убрать настройку «только чтение»;
- — s: уберёт настройку «Системный» с каждого файла.
Меняем атрибуты, применив bat файл
Чтобы это сделать, нам нужно создать файл в виде текста, а именно:
attrib -s -h /d /s
Его нужно назвать 1.bat и запустить. Если элементов, которые нужно пролечить, много, то лечение займёт больше времени.
Удаляем вирус с помощью кода
В блокноте нужно создать файл, и скопировать в него скрипт, который находится внизу данного метода. Нужно сохранить данный файл как avto.bat (можно загрузить уже созданный файл с Google диска). Затем, поместить его на зараженный съёмный носитель, и провести запуск как администратор.
Как только вы его запустили, ПК запросит ввод буквы, соответствующей номеру съёмного носителя. Вводим эту букву. Затем, будет удалена папочка RECYCLER, элемент автозапуск autorun.inf и возвращены атрибуты папочкам, ставшим ярлыками. После этого, троян должен быть удалён.
Текст скрипта:
:lable
cls
set /p disk_flash=»Vvedite bukvu vashei fleshki: «
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
Удаляем вирус через реестр
Мы выключим запуск трояна во время загрузки ОС через реестр. Итак, кликнем по кнопочкам Win+R и в возникшее окошко нужно вставить следующее сочетание regedit и кликнуть по кнопочке «Ввод». Вот наш адрес в реестре к искомому элементу HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run.
Затем, нужно внимательно просмотреть все данные ключи, находящиеся в этой вкладке. Если вы заметите имя ключа, состоящее из абракадабры, вроде OqTCNHcNjlf или что-то в этом роде, нужно удалить данную строку. Для этого, кликнем по ключу правой клавишей мышки и в ниспадающем меню выбираем «Удалить»;
Все ключи, запускающие форматы VBS, INI, LINK или EXE являются потенциально опасными. Но, лишь сам пользователь в курсе, какой софт он устанавливал на ПК и он должен знать, какая программа должна запускаться вместе с ОС. Отсюда, сам пользователь решает, удалять ключ или нет.
Удаляем вредителя через службы конфигурации системы
- Для этого, кликнем по клавишам Win+R и в возникшем окошке вводим сочетание msconfig и кликнем по кнопочке ОК;
- У нас открывается окошко, где нам нужно выбрать меню «Службы». Далее, нам необходимо все их просмотреть, и выключить каждую подозрительную. Для этого кликнем по подозрительной строке правой клавишей мышки и выберем «Отключить».
Удаление вируса через «Диспетчер задач»
Для этого, нужно отключить программы, которые запускаются, автоматически используя «Диспетчер задач». Нажмем сразу на 3 клавиши Ctrl + Shift + Esc. После этого, переходим в данное окно. В меню нужно выбрать «Автозагрузка». Для этого, нажмём на подозрительную строку и внизу окна выберем «Отключить».
Удаляем вирусы с помощью программы Malwarebytes
Данное вредительское ПО, копирует папочки с файлами и после этого, прячет их. Далее, своими клонами подменяет папки оригиналы. Вредитель является комбинацией вируса трояна с червём. Угроза находится в том, что пользователь производит запуск данного трояна всякий раз, как только кликнул по зараженному файлу с папочкой.
Когда вы запустите данный троян, он начинает копировать себя, тем самым всё больше распространяясь по вашему компьютеру. Кроме этого, частенько устанавливает вредоносную программу шпион, которая ищет ваши данные о пластиковых карточках, паролях и прочей личной информации, которая сохранена на вашем ПК.
Восстанавливаем систему
Данный метод наиболее популярен, так как устраняет различные сбои, которые произошли в системе за прошедшее время. Единственное условие, у вас должны быть созданы точки отката системы. Для восстановления по заранее созданным точкам, нам нужно:
- Нажить на клавиши Win+R и в появившееся окошко ввести надпись без кавычек: «rstrui.exe».
- Изучить созданные заранее точки восстановления. Нам нужно выбрать ту, которая была создана до появления вредителя.
- Нажать «Восстановить». Система начнёт своё возвращение к нужной точке восстановления. После успешного окончания процесса троян должен исчезнуть.
Бекап системы
Если вы до этого создавали резервную копию, я бы порекомендовал провести бекап. Самый удобный метод создания резервной копии ОС с помощью программы AOMEI. Но, я подозреваю, что вы копию системы не создавали. Поэтому, мы пойдём другим путём. Если вы немного разбираетесь в Windows, тогда мы применим другой метод.
Переустановка системы
Самым лучшим методом является новая установка Виндовс на диск С, с форматированием перед этим (форматирование перед установкой необходимо делать в любом случае, чтобы у вас не добавлялась старая система old к новой). Но, при этом способе вам придётся заново устанавливать все программы и прочее.
Вывод: я показал несколько методов, как удалить вирус создающий ярлыки на флешке? Выбираем понравившийся и используем его. Главное, во время очистки диска, не перепутайте его, иначе вы найдёте себе новую проблему в виде восстановления данных с диска. Успехов!
С уважением, Андрей Зимин 29.03.2020
Статья отредактирована 16.07.2023
