Вирус создал ярлык флешки на флешке

Вирус создал ярлык флешки на флешке

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли. 

Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.

По запросу «ярлык флешки на флешке» поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

cd /d X: (вместо Х  вы вводите букву каталога вашей флешки)

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.

Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Скачать лекарство от ярлыка флешки на флешке

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

Process Explorer v16.20

Process Explorer v16.20

Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L  и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe.

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf.

Во временной папке Temp  ( C:\users\%username%\AppData\Local\Temp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Дополнение:

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:\Users\{Имя пользователя}\AppData\Roaming\ скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

Сохранить

Сохранить

Сохранить

Сохранить

Сохранить

53 комментария

  1. У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

    1. Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

  2. Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

  3. Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:\Users\Дмитрий\AppData\Roaming\Winset\ Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.

    1. Когда я словил вирус, Касперский его еще не обнаруживал.

  4. Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

    1. Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

  5. Добрый день. У меня такая проблема : Не могу найти файл autorun.inf Но вирус в моем компе, могу удалять все файлы с флешки а потом когда обратно ставлю флэшку в ПК то опять создается ярлык. Делаю все с точностю как написанно однако autorun не создается и все. прошу о помощи.

    1. У вас нет процесса autorun.inf или одноименного файла не флешке?

    2. Добрый день. Периодически сталкиваюсь с этой проблемой, с той же периодичностью с которой в дом попадает флешка, побывавшая в хронически зараженном и не леченного ноутбука, стоящего в одной из организаций на работе у одного из членов семьи. Домашний ноутбук защищен подписным антивирусом, который, тем не менее, пропускает эту заразу, и даже, надо отдать должное, специалист поддержки антивируса на удаленном доступе (была такая возможность, пока я был в отпуске) в несколько длительных приемов почистила наш ноутбук, но пояснила, что для исключения повторного заражения надо произвести такую же тщательную чистку того ноутбука, с которого, предположительно, исходит заражение, конечно , при условии, что тот ноутбук будет подлежать обслуживанию т.е. если на нем будет работать тот же антивирус. Но организовать это не удалось, и вот, опять 25, за рыбу деньги, пришла в дом флешка с того рассадника, и домашний ноутбук снова заражен, но, уже на этот раз мне не удается найти процесс autorun.inf, и файл .pif, и папку winset тоже, хотя последовательность действий все та же, что и в предыдущих случаях. Сделанные мной проверки в NIS, по восходящей, и до N. Power Eraser — ничего не находят, проверки (при отключеннном антивирусе) другими средствами например, свежими DrWeb CureIt и пробным IObit’ом, и пр., и пр. — увы, тоже. Повторный чат с т.п. N, предпринятый уже после 18-00, для выяснения того, как им отправить лог и подозрительные файлы для анализа, дал мне только то, что после стандартного опроса, спец с индийской обходительностью переадресовал меня на нашу службу поддержки, но вот незадача, наши рабочие часы совпадают и до следующего отпуска я вряд ли смогу уделить этому увлекательному общению столько времени. Вопрос «Кто виноват?» отпадает, и я его не задаю, мы не были достаточно аккуратны, но вот вопрос «Что делать», заданный в том смысле, что можно еще попытаться сделать самостоятельно, до того, как отвезти ноутбук в мастерскую на переустановку системы, для меня остается невыясненным. Если кто-либо знает, как самостоятельно и без переустановки системы избавиться от проблемы повторного заражения, которое проявляется в виде переписывания файлов на флешках, вставленных в зараженный ноутбук, в невидимую папку _, и образованием невидимых папок WindowsServices, ярлыка с копируемым с флешки ее наименованием (label) — большая просьба отозваться. Спасибо.

  6. Добрый день. Не могу найти ПРОЦЕСС autorun.inf Но вирус в моем компе, могу удалять все файлы с флешки а потом когда обратно ставлю флэшку в ПК то опять создается ярлык. Делаю все с точностю как написанно однако autorun не вижу

  7. Добрый вечер, столкнулся с данной проблемой, все делаю по порядку но файл autorun.info ненаходит, и постоянно( несмотря на все попытки остановить) при включении флешки работает Device Config Manager. vbs, который по всей видимости и запускает этот процесс, файл *.pif также не находит, изначально источником заражения был не мой компьютер, уже мучаюсь 1.5 часа, не могу решить проблему

    1. Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:\Users\{Имя пользователя}\AppData\Roaming\ скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

  8. у меня не исчез ярлык папк, т.е когда захожу в мой комп там ярлык папки а не флешки

  9. Здравствуйте на флэшке папка Winset, но найти не могу wscript.exe, подскажите, что делать

  10. Добрый день, не могу ничего сделать, не нахожу файл wscript.exe, на флэшке папка Winset. Подскажите, что делать

  11. Нет не autofun, не Winset ни на флешке, ни в процессах 🙁 В чем ещё может быть проблема?

  12. У меня нет ни папки winset нигде, ни процессов wscript.exe, autorun вообще ничего. А всё проблема есть. И на флешках этот ярлык и комп все флешки заражает

  13. Ребят вопрос, У меня на флэшке засел вирус, ни как вывести не могу, все папки и файлы превращает не в ярлыки, а в маленькие файлы(12.0-16.0 КБ), хотя они занимают столько сколько папки раньше, помогите пожалуйста!

  14. В моем варианте вируса была папка не Winset, а WindowsServices, и в ней файлы с разрешением .vbs, а не .vbr
    Починилось так же, удалением ветки процессов wscript.exe и папки из аппдаты. (название папки было другое, совпадало с папкой, что на флешке была создавалась, возможно, WindowsServices, я не запомнил название)

    Надеюсь, кому-то помог.

  15. В файлах флешки в папке «_» также может находится exe файл, название запамятовал, что-то вроде devicemanager.exe. С этой вариацией вируса достаточно запустить команду на чистку атрибутов со всех папок на флешке (attrib….) и затем просто удалить этот exe-шник и autorun.inf. этого было достаточно, чтобы остановить вирус от распространения по другим флешкам.
    Не знаю, правда, как, в таком случае, вирус заразил мою флешку, т.к. на самом ПК он никаких данных у меня не изменил и не внёс, а значит, и при подключении других флешек ничего с ними сделать не смог бы (хотя я и не программист, так что, могу и ошибаться)

    1. У меня на флешке как раз этот самый devicemanager.exe был вместе с файлом autorun.inf. А вот в ProcessExplorer этот autorun.inf не обнаруживался. А в ProcessExplorer надо было удалять файлы WINSVCS.EXE или все подобные — я смотрела на те файлы, у которых не была прописана компания в колонке Company Name.
      пы.сы. Прежде всего спасибо огромное автору статьи — реально помог! А ведь у нас на компах лицензионный Доктор Веб стоит.

  16. Доброго времени суток, все попробовал как написано, не помогла. Подскажите пожалуйста как вернуть файлы с флешки. Заранее спасибо

  17. А это нормально, что у меня на флэшке не удаляется папка System Volume Information? Файлов не нашла никаких, процессов тоже, на компе папок нет. Но вот папка не удаляется.

  18. Здравствуйте, сделала всё, как здесь написано. И вводила вручную в командную строку, и скачивала файл, однако в корневом каталоге не появились скрытые файлы и папки. Что делать?

  19. Здравствуйте! Сделал всё как вы и написали, всё отлично и казалось бы помогло, но как только я подключаю тот же или другой носитель, этот же вирус появляется заново. Я уже устал проводить этот процесс, как день сурка, честное слово. Но как я понял дело в том, что у меня в компе по вами указанному пути, нет того файла с форматом «pif» (поисковик не находит) и нет «Winset», и на носителе и по указанному пути. Я не пойму, что мне делать, чтобы удалить этот вирус с компа… Видно, что он все еще себе обитает преспокойно, ничем не страшны ему мои процессы и карантин.) Что делать?

  20. Помогите пожалуйста, нет ни файла autorun ни скрытой папки winset сделал всё как в рекомендации, что мне делать?

  21. А что делать, если я ввела в командной строке все верно, но пишет «Нет доступа: G:\System Volume Information»? Как получить доступ к этой папке? Удалось лишь настроить видимость скрытых папок (у меня виндовс 10)

  22. Здравствуйте! Та же ситуевина: «Сделал всё как вы и написали, всё отлично и казалось бы помогло, но как только я подключаю тот же или другой носитель, этот же вирус появляется заново. Я уже устал проводить этот процесс, как день сурка, честное слово. Но как я понял дело в том, что у меня в компе по вами указанному пути, нет того файла с форматом «pif» (поисковик не находит) и нет «Winset», и на носителе и по указанному пути. Я не пойму, что мне делать, чтобы удалить этот вирус с компа… Видно, что он все еще себе обитает преспокойно, ничем не страшны ему мои процессы и карантин.) »
    скажите пож-та, не появилось ли новой понацеи?

  23. Боже. Спасибо тебе, святой человек!!!
    Небольшая предыстория: пишу диплом(!), пару дней назад закончила диплом, на ПК отредактированный не сохранила, поехала в колледж сдавать его на проверку, чтоб разрешили печатать, там с руководителем его немого еще доделала, скидывая на флешку руководителю (сидели с общего ПК на кафедре), я заметила, что на флешке ярлык самой флешки (и у меня и у руководителя), я не придала значения, т.к. самb ярлыкb на том ПК еще спокойно открывался и я спокойно скинула свой готовый диплом, и мне нужно быдло уходить срочно, зная, что у них ПК древний, решила, что дома разберусь.
    И в общем сам случай: спустя два дня, сажусь печатать диплом, а диплома НЕТ!!! он просто не открывает ярлык и что происходит я не понимала. Боже как я перепугалась.
    Ну, теперь всё в порядке, благодаря этой статье. Спасибо огромное ещё раз!!

  24. Спасибо огромное! Сработало! Флешка открылась, Винсет убрал с нее, а на компе его нет. остальное доделал Аваст премиум

  25. Грохнул каспером с флешки сначала три *.vbr файла, проверил комп, на компе подобного не было, в процессах тоже. Вытащил скриптом файлы, скопировал на комп, форматнул флешку и вернул все назад) Спасибо!

  26. Всем спасибо! Все проще простого! Что бы удалить вирус! «Вирус создал ярлык флешки на флешке» зашел в папку C:\Users\{Имя пользователя}\AppData\Roaming\ (удалил оттуда все папки лень было искать) И единственную не смог удалить WindowsServices где нашел 3 файла helper.vbs installer.vbs movemenoreg.vbs
    Добавьте в шапку! Этот вирус поменял название папки!

  27. UPD. В папке c:\Users\(имя пользователя)\AppData\Roaming\ при включенной видимости системных файлов, а лучше — в TotalCommander (даже в пробной версии), отыскивается WindowsServices\ с вредоносными скриптами helper.vbs, installer.vbs и movemenoreg.vbs, далее командой TC папка выделяется и с помощью «файлы»-«изменить атрибуты» с чекином «обрабатывать содержимое каталогов» или иным способом, если без TC, снимаются атрибуты на нейтральные, после чего видимую уже скрипты из папки можно удалить, хотя папку удалить не получается, и приступить к поиску процессов , как советуют авторы выше

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *