Вирус создал ярлык флешки на флешке

Вирус создал ярлык флешки на флешке

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли. 

Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.

По запросу «ярлык флешки на флешке» поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

cd /d X: (вместо Х  вы вводите букву каталога вашей флешки)

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.

Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Скачать лекарство от ярлыка флешки на флешке

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

Process Explorer v16.20

Process Explorer v16.20

Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L  и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe.

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf.

Во временной папке Temp  ( C:\users\%username%\AppData\Local\Temp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Дополнение:

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:\Users\{Имя пользователя}\AppData\Roaming\ скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

Сохранить

Сохранить

Сохранить

Сохранить

Сохранить

47 комментариев

  1. У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

    1. Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

  2. Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

  3. Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:\Users\Дмитрий\AppData\Roaming\Winset\ Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.

    1. Когда я словил вирус, Касперский его еще не обнаруживал.

  4. Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

    1. Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

  5. Добрый день. У меня такая проблема : Не могу найти файл autorun.inf Но вирус в моем компе, могу удалять все файлы с флешки а потом когда обратно ставлю флэшку в ПК то опять создается ярлык. Делаю все с точностю как написанно однако autorun не создается и все. прошу о помощи.

    1. У вас нет процесса autorun.inf или одноименного файла не флешке?

  6. Добрый день. Не могу найти ПРОЦЕСС autorun.inf Но вирус в моем компе, могу удалять все файлы с флешки а потом когда обратно ставлю флэшку в ПК то опять создается ярлык. Делаю все с точностю как написанно однако autorun не вижу

  7. Добрый вечер, столкнулся с данной проблемой, все делаю по порядку но файл autorun.info ненаходит, и постоянно( несмотря на все попытки остановить) при включении флешки работает Device Config Manager. vbs, который по всей видимости и запускает этот процесс, файл *.pif также не находит, изначально источником заражения был не мой компьютер, уже мучаюсь 1.5 часа, не могу решить проблему

    1. Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:\Users\{Имя пользователя}\AppData\Roaming\ скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

  8. у меня не исчез ярлык папк, т.е когда захожу в мой комп там ярлык папки а не флешки

  9. Здравствуйте на флэшке папка Winset, но найти не могу wscript.exe, подскажите, что делать

  10. Добрый день, не могу ничего сделать, не нахожу файл wscript.exe, на флэшке папка Winset. Подскажите, что делать

  11. Нет не autofun, не Winset ни на флешке, ни в процессах 🙁 В чем ещё может быть проблема?

  12. У меня нет ни папки winset нигде, ни процессов wscript.exe, autorun вообще ничего. А всё проблема есть. И на флешках этот ярлык и комп все флешки заражает

  13. Ребят вопрос, У меня на флэшке засел вирус, ни как вывести не могу, все папки и файлы превращает не в ярлыки, а в маленькие файлы(12.0-16.0 КБ), хотя они занимают столько сколько папки раньше, помогите пожалуйста!

  14. В моем варианте вируса была папка не Winset, а WindowsServices, и в ней файлы с разрешением .vbs, а не .vbr
    Починилось так же, удалением ветки процессов wscript.exe и папки из аппдаты. (название папки было другое, совпадало с папкой, что на флешке была создавалась, возможно, WindowsServices, я не запомнил название)

    Надеюсь, кому-то помог.

  15. В файлах флешки в папке «_» также может находится exe файл, название запамятовал, что-то вроде devicemanager.exe. С этой вариацией вируса достаточно запустить команду на чистку атрибутов со всех папок на флешке (attrib….) и затем просто удалить этот exe-шник и autorun.inf. этого было достаточно, чтобы остановить вирус от распространения по другим флешкам.
    Не знаю, правда, как, в таком случае, вирус заразил мою флешку, т.к. на самом ПК он никаких данных у меня не изменил и не внёс, а значит, и при подключении других флешек ничего с ними сделать не смог бы (хотя я и не программист, так что, могу и ошибаться)

  16. Доброго времени суток, все попробовал как написано, не помогла. Подскажите пожалуйста как вернуть файлы с флешки. Заранее спасибо

  17. А это нормально, что у меня на флэшке не удаляется папка System Volume Information? Файлов не нашла никаких, процессов тоже, на компе папок нет. Но вот папка не удаляется.

  18. Здравствуйте, сделала всё, как здесь написано. И вводила вручную в командную строку, и скачивала файл, однако в корневом каталоге не появились скрытые файлы и папки. Что делать?

  19. Здравствуйте! Сделал всё как вы и написали, всё отлично и казалось бы помогло, но как только я подключаю тот же или другой носитель, этот же вирус появляется заново. Я уже устал проводить этот процесс, как день сурка, честное слово. Но как я понял дело в том, что у меня в компе по вами указанному пути, нет того файла с форматом «pif» (поисковик не находит) и нет «Winset», и на носителе и по указанному пути. Я не пойму, что мне делать, чтобы удалить этот вирус с компа… Видно, что он все еще себе обитает преспокойно, ничем не страшны ему мои процессы и карантин.) Что делать?

  20. Помогите пожалуйста, нет ни файла autorun ни скрытой папки winset сделал всё как в рекомендации, что мне делать?

  21. А что делать, если я ввела в командной строке все верно, но пишет «Нет доступа: G:\System Volume Information»? Как получить доступ к этой папке? Удалось лишь настроить видимость скрытых папок (у меня виндовс 10)

  22. Здравствуйте! Та же ситуевина: «Сделал всё как вы и написали, всё отлично и казалось бы помогло, но как только я подключаю тот же или другой носитель, этот же вирус появляется заново. Я уже устал проводить этот процесс, как день сурка, честное слово. Но как я понял дело в том, что у меня в компе по вами указанному пути, нет того файла с форматом «pif» (поисковик не находит) и нет «Winset», и на носителе и по указанному пути. Я не пойму, что мне делать, чтобы удалить этот вирус с компа… Видно, что он все еще себе обитает преспокойно, ничем не страшны ему мои процессы и карантин.) »
    скажите пож-та, не появилось ли новой понацеи?

  23. Боже. Спасибо тебе, святой человек!!!
    Небольшая предыстория: пишу диплом(!), пару дней назад закончила диплом, на ПК отредактированный не сохранила, поехала в колледж сдавать его на проверку, чтоб разрешили печатать, там с руководителем его немого еще доделала, скидывая на флешку руководителю (сидели с общего ПК на кафедре), я заметила, что на флешке ярлык самой флешки (и у меня и у руководителя), я не придала значения, т.к. самb ярлыкb на том ПК еще спокойно открывался и я спокойно скинула свой готовый диплом, и мне нужно быдло уходить срочно, зная, что у них ПК древний, решила, что дома разберусь.
    И в общем сам случай: спустя два дня, сажусь печатать диплом, а диплома НЕТ!!! он просто не открывает ярлык и что происходит я не понимала. Боже как я перепугалась.
    Ну, теперь всё в порядке, благодаря этой статье. Спасибо огромное ещё раз!!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *