Вирус создал ярлык флешки на флешке

Вирус создал ярлык флешки на флешке

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли. 

Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки – это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.

По запросу “ярлык флешки на флешке” поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое – это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе – это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

cd /d X: (вместо Х  вы вводите букву каталога вашей флешки)

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия “-” будут лежать все исчезнувшие файлы и папки.

Вам останется лишь удалить лишние файлы, и вырезать из папки “-” ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Скачать лекарство от ярлыка флешки на флешке

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

Process Explorer v16.20

Process Explorer v16.20

Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L  и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe.

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf.

Во временной папке Temp  ( C:\users\%username%\AppData\Local\Temp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Дополнение:

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:\Users\{Имя пользователя}\AppData\Roaming\ скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

Сохранить

Сохранить

Сохранить

Сохранить

Сохранить

82 комментария

  1. У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

    1. Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

  2. Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

    1. Благодарю за отзыв, рад что смог помочь

  3. Столкнулся с такой проблемой – флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь – C:\Users\Дмитрий\AppData\Roaming\Winset\ Но сначала надо на панели управления – свойства папки – вид-поставить точку – показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла – они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер – и отформатировал флешку при подключении и всё.

    1. Когда я словил вирус, Касперский его еще не обнаруживал.

  4. Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

    1. Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

  5. Добрый день. У меня такая проблема : Не могу найти файл autorun.inf Но вирус в моем компе, могу удалять все файлы с флешки а потом когда обратно ставлю флэшку в ПК то опять создается ярлык. Делаю все с точностю как написанно однако autorun не создается и все. прошу о помощи.

    1. У вас нет процесса autorun.inf или одноименного файла не флешке?

    2. Добрый день. Периодически сталкиваюсь с этой проблемой, с той же периодичностью с которой в дом попадает флешка, побывавшая в хронически зараженном и не леченного ноутбука, стоящего в одной из организаций на работе у одного из членов семьи. Домашний ноутбук защищен подписным антивирусом, который, тем не менее, пропускает эту заразу, и даже, надо отдать должное, специалист поддержки антивируса на удаленном доступе (была такая возможность, пока я был в отпуске) в несколько длительных приемов почистила наш ноутбук, но пояснила, что для исключения повторного заражения надо произвести такую же тщательную чистку того ноутбука, с которого, предположительно, исходит заражение, конечно , при условии, что тот ноутбук будет подлежать обслуживанию т.е. если на нем будет работать тот же антивирус. Но организовать это не удалось, и вот, опять 25, за рыбу деньги, пришла в дом флешка с того рассадника, и домашний ноутбук снова заражен, но, уже на этот раз мне не удается найти процесс autorun.inf, и файл .pif, и папку winset тоже, хотя последовательность действий все та же, что и в предыдущих случаях. Сделанные мной проверки в NIS, по восходящей, и до N. Power Eraser – ничего не находят, проверки (при отключеннном антивирусе) другими средствами например, свежими DrWeb CureIt и пробным IObit’ом, и пр., и пр. – увы, тоже. Повторный чат с т.п. N, предпринятый уже после 18-00, для выяснения того, как им отправить лог и подозрительные файлы для анализа, дал мне только то, что после стандартного опроса, спец с индийской обходительностью переадресовал меня на нашу службу поддержки, но вот незадача, наши рабочие часы совпадают и до следующего отпуска я вряд ли смогу уделить этому увлекательному общению столько времени. Вопрос “Кто виноват?” отпадает, и я его не задаю, мы не были достаточно аккуратны, но вот вопрос “Что делать”, заданный в том смысле, что можно еще попытаться сделать самостоятельно, до того, как отвезти ноутбук в мастерскую на переустановку системы, для меня остается невыясненным. Если кто-либо знает, как самостоятельно и без переустановки системы избавиться от проблемы повторного заражения, которое проявляется в виде переписывания файлов на флешках, вставленных в зараженный ноутбук, в невидимую папку _, и образованием невидимых папок WindowsServices, ярлыка с копируемым с флешки ее наименованием (label) – большая просьба отозваться. Спасибо.

  6. Добрый день. Не могу найти ПРОЦЕСС autorun.inf Но вирус в моем компе, могу удалять все файлы с флешки а потом когда обратно ставлю флэшку в ПК то опять создается ярлык. Делаю все с точностю как написанно однако autorun не вижу

  7. Большое спасибо Вам за такую подробную инструкцию! Очень выручили 🙂

  8. Добрый вечер, столкнулся с данной проблемой, все делаю по порядку но файл autorun.info ненаходит, и постоянно( несмотря на все попытки остановить) при включении флешки работает Device Config Manager. vbs, который по всей видимости и запускает этот процесс, файл *.pif также не находит, изначально источником заражения был не мой компьютер, уже мучаюсь 1.5 часа, не могу решить проблему

    1. Вместо autorun.inf может присутствовать ещё одна скрытая папка “Winset” с тремя скриптами .vbr (кроме папки “_”, в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:\Users\{Имя пользователя}\AppData\Roaming\ скрытую папку “Winset” в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку “Winset” тоже удалить.

  9. у меня не исчез ярлык папк, т.е когда захожу в мой комп там ярлык папки а не флешки

  10. Здравствуйте на флэшке папка Winset, но найти не могу wscript.exe, подскажите, что делать

  11. Добрый день, не могу ничего сделать, не нахожу файл wscript.exe, на флэшке папка Winset. Подскажите, что делать

  12. Нет не autofun, не Winset ни на флешке, ни в процессах 🙁 В чем ещё может быть проблема?

  13. У меня нет ни папки winset нигде, ни процессов wscript.exe, autorun вообще ничего. А всё проблема есть. И на флешках этот ярлык и комп все флешки заражает

    1. Здравствуйте. Поймал этот вирус с чужого компьютера. Но у меня на флешке просто копия самой флешки создаётся (вместе с папкой system volume, и больше ничего), которая перекидывает в себя несколько папок, а остальные не трогает. Поэтому с файлами все нормально и их удалось без проблем перенести с флешки. Но как тогда удалять этот вирус?

  14. Ребят вопрос, У меня на флэшке засел вирус, ни как вывести не могу, все папки и файлы превращает не в ярлыки, а в маленькие файлы(12.0-16.0 КБ), хотя они занимают столько сколько папки раньше, помогите пожалуйста!

  15. Благодарю. Проблема решена. Отчёт по работе спасён. Нервы успокоены.

  16. В моем варианте вируса была папка не Winset, а WindowsServices, и в ней файлы с разрешением .vbs, а не .vbr
    Починилось так же, удалением ветки процессов wscript.exe и папки из аппдаты. (название папки было другое, совпадало с папкой, что на флешке была создавалась, возможно, WindowsServices, я не запомнил название)

    Надеюсь, кому-то помог.

  17. В файлах флешки в папке “_” также может находится exe файл, название запамятовал, что-то вроде devicemanager.exe. С этой вариацией вируса достаточно запустить команду на чистку атрибутов со всех папок на флешке (attrib….) и затем просто удалить этот exe-шник и autorun.inf. этого было достаточно, чтобы остановить вирус от распространения по другим флешкам.
    Не знаю, правда, как, в таком случае, вирус заразил мою флешку, т.к. на самом ПК он никаких данных у меня не изменил и не внёс, а значит, и при подключении других флешек ничего с ними сделать не смог бы (хотя я и не программист, так что, могу и ошибаться)

    1. У меня на флешке как раз этот самый devicemanager.exe был вместе с файлом autorun.inf. А вот в ProcessExplorer этот autorun.inf не обнаруживался. А в ProcessExplorer надо было удалять файлы WINSVCS.EXE или все подобные – я смотрела на те файлы, у которых не была прописана компания в колонке Company Name.
      пы.сы. Прежде всего спасибо огромное автору статьи – реально помог! А ведь у нас на компах лицензионный Доктор Веб стоит.

  18. Доброго времени суток, все попробовал как написано, не помогла. Подскажите пожалуйста как вернуть файлы с флешки. Заранее спасибо

  19. А это нормально, что у меня на флэшке не удаляется папка System Volume Information? Файлов не нашла никаких, процессов тоже, на компе папок нет. Но вот папка не удаляется.

  20. Здравствуйте, сделала всё, как здесь написано. И вводила вручную в командную строку, и скачивала файл, однако в корневом каталоге не появились скрытые файлы и папки. Что делать?

  21. Здравствуйте! Сделал всё как вы и написали, всё отлично и казалось бы помогло, но как только я подключаю тот же или другой носитель, этот же вирус появляется заново. Я уже устал проводить этот процесс, как день сурка, честное слово. Но как я понял дело в том, что у меня в компе по вами указанному пути, нет того файла с форматом “pif” (поисковик не находит) и нет “Winset”, и на носителе и по указанному пути. Я не пойму, что мне делать, чтобы удалить этот вирус с компа… Видно, что он все еще себе обитает преспокойно, ничем не страшны ему мои процессы и карантин.) Что делать?

  22. Помогите пожалуйста, нет ни файла autorun ни скрытой папки winset сделал всё как в рекомендации, что мне делать?

  23. А что делать, если я ввела в командной строке все верно, но пишет “Нет доступа: G:\System Volume Information”? Как получить доступ к этой папке? Удалось лишь настроить видимость скрытых папок (у меня виндовс 10)

  24. Здравствуйте! Та же ситуевина: “Сделал всё как вы и написали, всё отлично и казалось бы помогло, но как только я подключаю тот же или другой носитель, этот же вирус появляется заново. Я уже устал проводить этот процесс, как день сурка, честное слово. Но как я понял дело в том, что у меня в компе по вами указанному пути, нет того файла с форматом «pif» (поисковик не находит) и нет «Winset», и на носителе и по указанному пути. Я не пойму, что мне делать, чтобы удалить этот вирус с компа… Видно, что он все еще себе обитает преспокойно, ничем не страшны ему мои процессы и карантин.) ”
    скажите пож-та, не появилось ли новой понацеи?

  25. Боже. Спасибо тебе, святой человек!!!
    Небольшая предыстория: пишу диплом(!), пару дней назад закончила диплом, на ПК отредактированный не сохранила, поехала в колледж сдавать его на проверку, чтоб разрешили печатать, там с руководителем его немого еще доделала, скидывая на флешку руководителю (сидели с общего ПК на кафедре), я заметила, что на флешке ярлык самой флешки (и у меня и у руководителя), я не придала значения, т.к. самb ярлыкb на том ПК еще спокойно открывался и я спокойно скинула свой готовый диплом, и мне нужно быдло уходить срочно, зная, что у них ПК древний, решила, что дома разберусь.
    И в общем сам случай: спустя два дня, сажусь печатать диплом, а диплома НЕТ!!! он просто не открывает ярлык и что происходит я не понимала. Боже как я перепугалась.
    Ну, теперь всё в порядке, благодаря этой статье. Спасибо огромное ещё раз!!

  26. Спасибо огромное! Сработало! Флешка открылась, Винсет убрал с нее, а на компе его нет. остальное доделал Аваст премиум

  27. Грохнул каспером с флешки сначала три *.vbr файла, проверил комп, на компе подобного не было, в процессах тоже. Вытащил скриптом файлы, скопировал на комп, форматнул флешку и вернул все назад) Спасибо!

  28. Всем спасибо! Все проще простого! Что бы удалить вирус! “Вирус создал ярлык флешки на флешке” зашел в папку C:\Users\{Имя пользователя}\AppData\Roaming\ (удалил оттуда все папки лень было искать) И единственную не смог удалить WindowsServices где нашел 3 файла helper.vbs installer.vbs movemenoreg.vbs
    Добавьте в шапку! Этот вирус поменял название папки!

  29. UPD. В папке c:\Users\(имя пользователя)\AppData\Roaming\ при включенной видимости системных файлов, а лучше – в TotalCommander (даже в пробной версии), отыскивается WindowsServices\ с вредоносными скриптами helper.vbs, installer.vbs и movemenoreg.vbs, далее командой TC папка выделяется и с помощью “файлы”-“изменить атрибуты” с чекином “обрабатывать содержимое каталогов” или иным способом, если без TC, снимаются атрибуты на нейтральные, после чего видимую уже скрипты из папки можно удалить, хотя папку удалить не получается, и приступить к поиску процессов , как советуют авторы выше

  30. Проблема была такая же как описано. Мучился неделю потому-что пытался сделать как сказано выше, а так же в комментариях.
    Оказалось решить всё проще.!!!
    В папке C:\Windows если есть скрытые папки название которых – одни цифры. Рубим их.
    Если какие-то не удаляются, останавливаем процессы в них с помощью того же ProcessExplorer.
    Чистим корзину.
    Всё !

  31. Спасибо за статью. Зашел в автозагрузки. Отключенил приложение helper. Проверил ПК dr.web cureit удалил файлы с расширением vbs. Все заработало.

  32. Дмитрий, сработал только Ваш способ. Удалил из директории C:\Windows все папки с множеством цифр в названии. Видимо, вирус модернизируется, чтобы сложнее было от него избавиться. Предложенные выше способы для моего случая на сегодняшний день (03.02.2019) не работают. Файл “autorun.inf” на флешке был и автоматически перезаписывался при его удалении, но в программе “ProcessExplorer” не искался. Оказалось, что нужно искать, останавливать процесс, который назывался примерно “winsvcs.exe” (в списке он находился в самом конце, в подчинении “explorer.exe”), и удалять его с компа. Точное имя не запомнил, так как был очень рад решению проблемы, а комментарий пишу спустя некоторое время. Удачи всем!

  33. Все, ура, у меня дисковод не работает, так что пришлось удалить вручную, а потом винлв менять со флэшки, спасибо!!! Огромноеееее

  34. Здравствуйте!
    Скажите пожалуйста, что делать если запустил ярлык с флешки (который ссылается на вирус).
    Сами ярлыки и папку на которую они ссылались я уже удалил.

  35. Спасибо за помощь, Админ! Все восстановил без потери файлов! Здоровья тебе, чувак!)

  36. Народ у кого не ищется в Процесс Экспоорере и у кого нет папки Винсет. Я просто пролечил каспером и помогло. Сам ярлык отсылался к командной строке почему то. Вирусный файл который нашёл каспер назыаается ДевайсМенеджер или как то так

  37. Делал всё согласно инструкции, но файла “autorun.inf” не нашлось. При форматировании флэшки ярлык также остаётся, при просмотре расположения файла на него он ссылается на флэшку. При удалении ярлыка он снова появляется. При проверке антивирусом (стандартным для Windows 10) вирус находится, удаляется, а потом появляется снова.
    До того как начать следовать инструкции, я отключил автозапуск.
    Как мне избавиться от вируса?

  38. Спасибо, добрый человек, вернули к жизни флешку! Источник заразы: школьный комп, антивирус Каспер. его распознает но не удаляет

  39. Пожалуйста скажите откуда можно скачать Прокесс Эксплолер
    я просто не нашел
    ссылку киньте

  40. Попробовал все варианты. Сработал способ, предложенный Дмитрием и поддержанный Benja. Только одна из папок (название состоит из произвольного ряда цифр) в паке Windows не хотела удаляться, пришлось lj elfktybz ее разблокировать через скаченную программу DeadLock, которая в свою очередь для работы запросила дополнительные скачивания с сайта Microsoft (NET.Framework). После удаления все заработало: ярлык после удаления более не восстанавливался. Предваритилено восстановленные файлы были перещенны в “корень” флешки (до этого вирус не позволял). Все удачи!!!

  41. Добрый день, у меня вопрос. Можно ли удалять этот ярлык флешки?
    Скажу сразу, я считала это чем то нормальным, если в флешке есть её ерлык, однако это связано с тем, что она у меня одна единственная, пользоваться которой я стала недавно, но лежит она со мной очень давно, 5 лет и около того. Не обращалась никуда потому что она у меня прекрасна функционирует, и папочка “_” уже была. Нету подозрительный расширений, autoran отсутствует, winset нету, но есть папки winsetupui.dll и другие, но находятся они не в папке temp, которая присутствует. скажу сразу, что в этой папке нету pif, только папки и txt файлы в них. От моей флешки никто не заражался и компьютер явно не болен вирусом. Есть в колледже компьютер, который заражен этим, но моя флешка никогда не страдала от него и я задаюсь вопросом “как?”. Моей флешкай могли пользоваться другие люди, однако если это вирус может возобновляться, ТО ПОЧЕМУ ОНА ЕЩЁ РАБОТАЕТ!??!?!?!?…
    Чисто любопытство…

  42. Как я вам Благодарен за статью, так все написано грамотно!Я смог найти все файлы!

  43. Кстати, файл вируса не обязательно будет называться autorun, у меня он назывался какой-то там Manager, а в процессах я его спалил по ярлыку, он был не в корне хоста,а в самом низу списка

  44. Доброго времени суток! Столкнулся с такой же проблемой (Нет никаких признаков вируса, winset, и прочего), мучался несколько часов, уже думал рвать волосы, но решение неожиданно нашлось, причем элементарное.

    1. Когда в панели управления ставим пункт показывать скрытые файлы, необходимо также снять галочку – Скрывать защищенные системные файлы –

    Так же после этого я заходил на флешку и обнаружил там скрытый файл DeviceMgr. exe, который при удалении на вирусном компе восстанавливался. Если кликнуть на него правой кнопкой мыши – свойства, можно увидеть дату создания и изменения файла. Дата изменения этого exe-шника будет совпадать с датой изменения основного вирусного файла на компе.

    Далее как и описал Дмитрий, заходим на диск С и ищем все папки подписанные цифрами, и удаляем их. Если не удаляются заходим в папку, смотрим название файла (в моём случае svpsrv.exe) и убиваем процесс с помощью processExplorer. И наконец-то удаляем вредоносную папку.

    Дата изменения вируса 08.04.2021

  45. Делал всё согласно инструкции, но файла «autorun.inf» не нашлось. Удалял ярлык и он сам восстанавливался. Включил показ скрытых папок и файлов и увидел приложение на флэшке Device Manager, кликнул правой кнопкой, посмотрел свойства. Там видим путь где лежит сам процесс, у меня это был explorer.exe процесс winsrvc.exe. Процесс убил, ярлык удалил, флэшка чиста как слеза младенца)) Другой комп, ругавшийся брэндмауэром на флэшку и находивший там троян теперь пропускает её и ничего не находит.

  46. У меня экзешник с вирусом назывался sysmrhr.exe, ищите его в ProcessExplorer, скрытый, в папке C:\Windows\

  47. Самый адекватный и понятный ответ на вопрос. Спасибо огромное!!!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *