А сейчас я бы хотел написать про один нехороший вирус, который скрывает папки и подставляет вместо них ярлыки, по которым не добраться до содержимого папки.Недавно я своей девушке устанавливал новую версию Windows. Но перед этим сбросил все данные на свой внешний винт. Каково было мое удивление, когда вместо всех папок, я увидел ярлыки, к тому же на моем винте и были все данные с моего компа. Но я не стал теряться, а решил разобраться, что за фигня такая случилась.
И ежу понятно, что это вирус. Да, с компа девушки я удалил все вирусы, но один вирус все равно сделал свое дело. KIS 2011 все подчистил хорошо, но папки в виде ярлыков остались. Кстати, можно проверить сразу на глаз, а сохранились ли все данные — размер винта был уменьшен как раз на тот размер, которые занимали все данные. Уже легче 🙂
Самое интересное, что по нажатию на ярлык, конечно же, данные не покажутся, хотя иногда все равно папки запускались (поначалу).
И так, попробуем все восстановить. Для начала, нужно весь винт (или флэшку) проверить на вирусы. Я лично, предпочитаю Kaspersky Internet Security 2011. Чтобы про него не говорили, что он медлителен, что вполне хватает бесплатного антивируса, лично мое мнение такое — KIS для меня лучше. А знаете почему!? Потому что ни разу за столько лет у меня не падала винда из-за вируса, нужно просто грамотно всем пользоваться. Но не будем отходить от темы.
Как только мы все проверили антивирусом, все удалили, необходимо отобразить все скрытые папки в винде и удалить папку RECYCLER, эта папка, которая создается вирусом (она будет скрытая). Когда мы пытаемся открыть ярлык, Windows пишет ошибку и указывает на эту папку, что путь не верен. Извиняюсь, скриншот не смогу предоставить, уже недавно все исправил, и не сохранил скрин, чтобы показать 🙁
Хотя в папке ничего и не будет (KIS удалит тело вируса), но все равно, нафиг она нам нужна. После этого, чтобы все папки показались, необходимо сбросить атрибуты всех папок на винте или флэшке. Для этого нужно создать файл, написать команду сброса атрибутов и сохранить файл с расширением .bat. Текст файла следующий:
attrib -S -H /D /S |
Данный файл необходимо закинуть на нужный носитель в корень и запустить его. Появится окно командной строки и будет висеть некоторое время — команда скидывает все атрибуты папок. Время ожидания зависит от объема носителя и количества данных на нем. Кстати, атрибуты сбрасываются только на том носителе, где лежит этот файл!
После работы команды, все твои папки будут отображены. А ярлыки можно удалить будет. Ну вот и все! Надеюсь кому-то пригодится эта информация!
Для тех, кто не знает, как создать этот файл или было не совсем понятно, выкладываю его здесь.
Удачи! Не ловите вирусы — предохраняйтесь от них 😉
Спасибо! Очень помогли!
Вы можете использовать программу для очистки от вирусов ярлык usbshow
Вы можете скачать программу с сайта usbshow http://www.usbshow.net ….
usbshow программа делает ту же самую процедуру, описанную выше.
usbshow программы нет необходимости устанавливать на компьютере.
usbshow программы бесплатно
Riedel, огромное, человеческое Вам СПАСИБО!!!! Все мои знакомые «знатоки» посоветовали отформатировать диск и не париться, но я не сдалась. Все на месте, не пропал ни один файл и все благодаря вашей простой (для меня, которая умеет только офисом пользоваться) статье! Спасибо!!!
Спасибо 🙂 рад что смог помочь 🙂
Рад был помочь)
Некоторые вирусы скрыватели портят атрибуты и невозможно их изменить. Приходится создавать новую папку с похожим названием (такое же название система не разрешит) и копируем в нее все содержимое испорченной папки.
Я после первого такого попадания создал в корневой папке флешки одну папку и стал эксплуатировать ее как корневой каталог Почему? Потому, что вирус не лезет дальше одного уровня папок, если кто заметил. При этом во время заражения флешки вирусом скрывателем мой домашний АНТИВИРУС (не стану рекламировать…) мочит этот вирус, а папки я восстанавливаю соэдав одну папку и переместив в нее все содержимое скрытой папки (в которую я складываю все вместо корневого каталога флешки). Всего лишь ОДНОЙ папки, у которой оказывается не активный атрибут «скрытый», из-за которого не возможно восстановить папку.
Долго искал решение вируса-плодителя (Microsoft Excel.WsF). Никакие антивирусы не берут. Ни DrWeb CureIt, ни Касперский, ни Eset. Пробовал вручную удалять — без толку. Вирус и в реестре прописан. Помогла программа UsbFix (http://www.en.usbfix.net/download/usbfix/) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Осторожно, вычищает всё ненужное из автозагрузки.
Подойдёт для любого вируса-плодителя.
Спасибо за ваш комментарий по данной проблеме 🙂
У ярлыков которые появляются на флешке снова и снова после удаления такой же путь C:\Windows\system32\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&start ИМЯТОГОСАМОГОФАЙЛА.txt&cls&cls&cls&cls&cls&cls&start notepad.vbe&cls&cls&cls&cls&cls&cls&exit . Во время сканирования всего компьютера DrWeb нашел файл-вирус notepad.vbe по адресу C:\Users\DNS\AppData\Roaming\notepad\notepad.vbe. Удалил. Ничего не поменялось. После воскрешения папок на флешке хоть через бат хоть через totalcommander и удаления ярлыков они опять скрываются и рождаются ярлыки. По этому «C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup адресу лежит ярлык notepad, ссылающийся на удалённый notepad.vbe и так же рождающийся через несколько секунд после удаления. Папки Recycle как у многих на флешке нет(форматировал). ОООчень прошу помочь.
Для тех у кого вдруг будет такая же проблема с notepad`ом. После перезагрузки компьютера проблема исчезла. Файлы на флешках восстановил с пом.Total commander.
Спасибо за ваш ответ) надеюсь комментарии будут гости читать)
У ярлыков которые появляются на флешке снова и снова после удаления такой же путь C:\Windows\system32\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&start ИМЯТОГОСАМОГОФАЙЛА.txt&cls&cls&cls&cls&cls&cls&start notepad.vbe&cls&cls&cls&cls&cls&cls&exit . Во время сканирования всего компьютера DrWeb нашел файл-вирус notepad.vbe по адресу C:\Users\DNS\AppData\Roaming\notepad\notepad.vbe. Удалил. Ничего не поменялось. После воскрешения папок на флешке хоть через бат хоть через totalcommander и удаления ярлыков они опять скрываются и рождаются ярлыки. По этому «C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup адресу лежит ярлык notepad, ссылающийся на удалённый notepad.vbe и так же рождающийся через несколько секунд после удаления. Папки Recycle как у многих на флешке нет(форматировал). Очень прошу помочь.
Не помогло, батник не помогает — практически на все ругается «нет доступа к файлу такому-то»
А вы запускаете батник под админскими правами?
Здравствуйте, у меня комп поймал вирус, скорее всего я перенесла его на флешку вместе с фото, с компа и флешки вирус удалила это был троянский конь.Вопрос как мне найти в виндусе заражённую папку, если путь выглядет так:C:\Windows\system32\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&start Новый» «текстовый» «документ» «(2).txt&cls&cls&cls&cls&cls&cls&start notepad.vbe&cls&cls&cls&cls&cls&cls&exit
Ответил вам на почту.
Здравствуйте, у меня такая же проблема.Можете тоже на почту ответить?
У ярлыков которые появляются на флешке снова и снова после удаления такой же путь C:\Windows\system32\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&start ИМЯТОГОСАМОГОФАЙЛА.txt&cls&cls&cls&cls&cls&cls&start notepad.vbe&cls&cls&cls&cls&cls&cls&exit . Во время сканирования всего компьютера DrWeb нашел файл-вирус notepad.vbe по адресу C:\Users\DNS\AppData\Roaming\notepad\notepad.vbe. Удалил. Ничего не поменялось. После воскрешения папок на флешке хоть через бат хоть через totalcommander и удаления ярлыков они опять скрываются и рождаются ярлыки. По этому «C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup адресу лежит ярлык notepad, ссылающийся на удалённый notepad.vbe и так же рождающийся через несколько секунд после удаления. Папки Recycle как у многих на флешке нет(форматировал). Очень прошу помочь.
А что мне делать? Запустила .bat, внутри attrib -h -r -s -a /d /s. всё было: и файлы я свои увидела, и ярлыки удалила (еще sydefudfls.MOS-DW этот файл был, тоже удалила). вставляю флешку — опять одни ярлыки!!! опять запускаю командную строку… и т.д. и так ничего не изменилось
Привет =) Ты сначала попробуй комп проверить полностью на вирусы, потом вставь флэшку и тоже проверь ее, удали все вредоносные файлы. А после этого только делай восстановление. Скорее всего ты вставляешь зараженную флэшку, вирус снова попадает на комп и всё начинается заново =) Напиши потом, как все сделаешь, интересно будет всем 😉
Спасибо! Очень толковая статья! Выручил! *THUMBS UP*
Не за что, рад был помочь =)
Спасибо огромное просто! Никто из парней и друзей так и не смогли мне помочь)))
Пришлось самой искать информацию, очень понятно все написано, спасибо за файл! =)
Recycler file otsutstvuet.U menya 500Gb HDD ne vydno ne virusov ni failov tolko yarliky……chto delat’ podskazy lz.
СПА СИ БО!
БОЖЕ ХРАНИ IT-ИШНИКОВ!!! )))
😀 спасибо!
Привет))))))) у меня был очень прикольный вирус он заменял настоящие папки ярлыками(оригиналы скрывал) и в каждом оригинале папки создавл файлы host.exe , game.cpl
system.sys но я решыл проблеиу)))))))) написал прогу на vb 2008 express кторая его удаляет,восстанавливает папки,удаляет ярлыки! кому нада скину обращяйтесь ко мне вконтакт http://vk.com/alex_21997 там канешно не без багов но в целом прога полезная))))))))))))
Спасибо ЧЕЛОВЕК!!!
У меня половина ярлыков на рабочем столе одного типа и они не запускаются. Эта инфа к ним тоже относится? В «пуске» все ярлыки такие же.
🙁 господа , а можно все я смотрю, специалисты. а я так не умею.
Можно пошаговую инструкцию еще проще написать?
у меня похоже полный набор техники зараженный этим вирусом. сейчас проверяю антивирусом компьютер, на флешке отобразила все скрытые папки, Есть папка RECYCLER. Что с ней дальше делать?
Помимо Флешки этим вирусом заражен внешний жесткий диск,а вот информацию с него не хотелось бы потерять. пока тренируюсь на флешке…
Пригодилось!!! спасибо, все супер.
вот ярлыков не осталось, так что и удалять даже нечего было… раз и все готово))
*THUMBS UP*
Ты говоришь создать файл написать команду сброса антрибутов и сохранить файл с расширением .bat. Текст файла следующий:
attrib -S -H /D /S а можешь пошагово описать а то я незнаю даже как файл этот создать..щас сканируется жеский как у тебя и написано..помоги плиз..
УРРРРРРАААААА!!!!! СПАААСИИИБООООО наконец то! *CRAZY*
Всегда пожалуйста =)
Спа!
Супер, все получилось!
Статья — просто спасение!
Спасибо огромное! =)
*OK*
Total Commander Вам в помощь)
Дружище, спасибо тебе огромное!!!!!!!!! Ты спас мой курсач своей статьёй!!!!!!!! *YAHOO*
Рад очень *YAHOO*
ты гений спасибо большое! =)
Я конечно, не гений, но спасибо большое 😉
Человек!
🙂
сделали как написано,сработало.а ярлыки и файл неизвестный с расширением exe неудаляются что делать?
А что значит, неизвестный файл!? Что-то на ночь глядя не понимаю 🙁
От души честно,прям спасибо огромное)))респект таким людям)
Спасибо большое, был рад помочь 🙂
Спасибо большое =) =)
Спасибо огромнейшее! Особенно за прикрепленный файл. Очень помогли, просто невероятно сильно.
*IN LOVE*
Рад был помочь =)
Спасибо
а можно подробнее куда закинуть этот файл? кстати когда я его пытаюсь запустить, говорит, что «не удается найти файл сценария «с:\windiws\explorer.exe:1555706019.vbs».»
p.s. если можно на простом языке объясните…. =)
Огромное спасибо за эту информацию! *OK* *BRAVO* *THUMBS UP*
Не за что 😉
Спасибо!Все работает отлично!
спс, помогло)) *CRAZY*
Прошу помощи. Удалила нечаянно ярлыки c помощью Microsoft Security , думала удалится вирус. Размер жесткого прежний , но ни ярлыков, ни папок моих. Создала файл .bat , запустила, но в появившемся окне к моим папкам написано нет доступа. Что делать?
А через Total Comander при снятии атрибутов написано снимите защиту от записи.
А вы заходите на свой компьютер под администратором? Или под какой-то другой учетной записью? Такая ситуация мне встречалась, когда был вход в систему сделан не под администратором. Буду ждать ответа 🙂
помогло
А как можно видео воспроизвести,просто я на флэшке хочу видео посмотреть,а мне выбивает (подскажи что делать): G:\DCIM\100_PANA\P1000631.MOV::Output
MPC — MP4 Splitter::Output 2 («`)
Media Type 0:
—————————
Audio: 0x0000 16000Hz mono
AM_MEDIA_TYPE:
majortype: MEDIATYPE_Audio {73647561-0000-0010-8000-00AA00389B71}
subtype: Unknown GUID Name {736F7774-0000-0010-8000-00AA00389B71}
formattype: FORMAT_WaveFormatEx {05589F81-C356-11CE-BF01-00AA0055595A}
bFixedSizeSamples: 1
bTemporalCompression: 0
lSampleSize: 1
cbFormat: 54
WAVEFORMATEX:
wFormatTag: 0x0000
nChannels: 1
nSamplesPerSec: 16000
nAvgBytesPerSec: 0
nBlockAlign: 0
wBitsPerSample: 16
cbSize: 36 (extra bytes)
pbFormat:
0000: 00 00 01 00 80 3e 00 00 00 00 00 00 00 00 10 00 ….Ђ>……….
0010: 24 00|00 00 00 24 74 77 6f 73 00 00 00 00 00 00 $….$twos……
0020: 00 01 00 00 00 00 70 61 6e 61 00 01 00 10 00 00 ……pana……
0030: 00 00 3e 80 00 00 ..>Ђ..
А с помощью какой программы пытаешься запустить видео файл?
Эти проблемы только с флэшкой, я так понял, с винта, когда видео запускаешь, нет таких проблем? Я так думаю с плеером что-то не так, лучше поставить сразу полную версию k-lite codec pack. Могу ток предположить, ни разу такой проблемы не видел… %)
Напиши, если советы помогут, интересно =)
Попробывал на переносном винте. Объем ~ 600гб. Занято 550.
Пробывал через тотал,не могу менять атрибуты ни файлов ни папок.
Полсе запуска .bat файла прошло минут 5:
I:\>attrib -S -H /D /S
Ошибка в данных (CRC).
Ошибка в данных (CRC).
Такая ошибка характерна, когда повреждены файлы или с диском проблемы. Какие-нибудь файлы вообще копируются с внешнего винта?
*BRAVO* спасибо!!!!!!! :-* *THUMBS UP*
Рад, что смог помочь 🙂
в тотале показать скрытые файлы(Ctrl+h)далее -изменить атрибуты -снимите все галочки и опля! все папки видимые, а файлыс расширением .lnk с чистой совестью удалЯйте
а с батником, извините, головная боль, примените лучше свой потенуиал в другой области
То, что вы умеете пользоваться тотал командером — это плюс, многие тоже, наверное, возьмут на заметку. С батником нет головной боли, судя по комментариям пользователей, многим помогло, а значит, не сложно пользоваться. Минус вашего решения — нужно ставить тотал, а он не у всех есть, и к тому же не все знают, что это такое.
А про потенциал — сказано не уместно.
С тоталом чаще всего не пройдет номер 🙂
под разными предлогами не убирается «скрытость»
а БАТником запросто
Спасибо =)
Спасибо! Через bat файл не смогла ничего сбросить (запускала несколько раз — без толку — без претензий к автору), а через тотал отлично сработало! Уфф!! Возьму на заметку 🙂
а у меня ничего не получилось((((открываю папки,а там вообще пусто…нет информации вообще(((осталась и без фото и без музыки(((что делать?
А что именно случилось? Подробнее можешь написать.
вобще ни чё не открывает !!!файлы не открывает!
игры не открывает!чё делать подскажите пожалуйста!!!(
Расскажи подробнее, что случилось? Папки не открываются или что? Что значит игры не открывает, не запускается? Что пишет? Попробуем разобраться 😉
Откройте ВинРар, в нем будут видны файлы. Скопируйте их на другой диск, а этот почистите от вируса
Спасибо, огромное-преогромное!!!
Рад помочь 🙂
Чувак ты СУПЕР!мои папки живы и снова со мной!Большое тебе спасибо!
Не за что 🙂 Спасибо, приятно 🙂
Что делать если под attrib -S -H /D /S выдаёт «Не удаётся изменить атрибут: G:\autorun. inf\ con»…???
Я так понял, что G:\autorun. inf\ con — это папка у тебя на флешке, да? Если так, то этот авторан остался после вируса, просто удалить эту папку ты не сможешь (но попробуй удалить полностью на всякий пожарный). Поэтому ошибка сброса атрибутов — Windows не может доступ к ней получить. Если не удалось удалить, открой командную строку и введи это «rmdir /s /q G:\autorun.inf\con\» (ток без кавычек), как ввел, нажми Enter.
Папка «con» должна удалиться. Потом удали папку «autorun.inf», введя «rmdir /s /q G:\autorun.inf\». Должна удалиться тож. После этого снова сбрасывай атрибуты моим скриптом и восстанавливай данные. Напиши потом, какой результат.
Разработчик IT..
«ни разу за столько лет не падала винда из-за вируса» — крутой аргумент. Она, при самой минимальной настройке (файрвол в роутере или виндузятский, и отключенный авторан) никогда не упадет из-за вируса. При правильной работе любой антивирус достаточно хорош, потому что для него дел банально не остается.
Согласен с тобой — надо все грамотно использовать и все, это я написал.
я и свою флешку спас и папы и мамы саул от души *YAHOO*
*YAHOO*
Большое спасибо помогло, только помучился с правами доступа к папке RESYCLED))
А что было с доступом? Удаляться не хотела? Можно в безопасном режиме было ее удалить.
Вот спасибо огромное! Автор молодчина, спас меня:)
Денис, спасибо большое 😉
Спасибо БОЛЬШУЩЕЕ! =)
Не за что 🙂
Спасибо огромное, всё работает!
Рад, что помог 🙂
лучше так attrib -h -r -s -a /D /S
а еще можно так
создать bat файл (ATTRIB_flash_all.bat)
в него вставить и сохранить:
——————————————————
:lable
cls
set /p disk_flash=»Vvesti buky flash drive: »
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:
———————————————————
при запуске попросит ввести букву флэшки(это что бы можно было запускать откуда угодно, а не копировать в корень флэшки для запуска) если буква диска введена не правильно, то еще раз попросит ввести
после чего скрипт удалит все ярлыки *.lnk (думаю можно все удалять) если есть файл автозапуска то он его тоже удалит, после снимет со всех папок атрибут «скрытый» (нужно подождать), удалит папку RECYCLER с флэшки(обычно вирус её тоже создает, и записывает туда вирус) и после всего этого, откроет флэшку через проводник, показать, что получилось
кто усовершенствует, пишите
Спасибо, Alexx! Полезная инфа будет для всех. На выходных будет время, рассмотрю детальнее твой скрипт.
Спасибо, также помогло
🙂
Много проблем, я вижу, с данным вирусом…
от души, благодарю, очень нужная вешь
Спасибо за теплые слова 🙂
Огромное спасибо. Оказывается всё так просто!
🙂
Спасибо, помогло!!!
Это хорошо 🙂 Не за что!
I *IN LOVE* written virus in Assembler
А можно как-нибудь по подробнее,я не поняла про создание файла,как это делать?
А это просто — открываешь программу «Блокнот», вставляешь тот код, который в статье (в рамке), далее нажимаешь сохранить как, далее появится окно, пишешь название будущего файла, а там где идет «.txt», после точки пишешь «bat» и сохраняешь! И все 😉
спасибо
Рад был помочь 🙂