Daca ai comenzi rapide pe o unitate flash în loc de foldere, știi - ai prins un virus. Nu trebuie să vă faceți griji, toate fișierele dvs. sunt la locul lor și încă ocupă aceeași dimensiune, virusul le ascunde pur și simplu folosind caractere nevalide în numele folderului, împiedicând afișarea acestuia. Un astfel de folder nu este vizibil în Total Commander și cu atât mai mult în Windows Explorer standard. Există mai multe metode de vindecare a acestei afecțiuni, dar vom folosi cele mai simple dintre ele, care nu necesită abilități speciale. Pentru acțiuni suplimentare, avem nevoie de managerul de fișiere Total Commander, îl puteți descărca.
Instalați comandantul, ne va ajuta să vindecăm unitatea în câteva clicuri.
Acțiunile noastre se vor desfășura în 2 etape:
- Găsiți fișierele noastre pe un stick USB;
- Faceți fișierele vizibile.
Etapa 1:
Gata? Merge! Introducem unitatea flash în portul USB al computerului. Pornim managerul de fișiere, în fereastra care apare, selectăm unitatea noastră flash USB (1), în panoul de meniu, selectați elementul „Configurare” (2), în lista derulantă, faceți clic pe „Conținutul panoului”. " element de meniu (3):
În fața noastră apare o fereastră care este responsabilă pentru acest conținut. În acesta, trebuie să selectați elementul „Conținutul panourilor” (4) și să bifați în fața sub-elementului „Afișați fișierele ascunse / de sistem” (5) și faceți clic pe butonul „OK”:
Dacă ați făcut totul corect, atunci toate fișierele de pe unitatea flash USB vor apărea în fața dvs. (6):
Felicitări! Etapa 1 a trecut, comenzile rapide de pe unitatea flash în loc de foldere au dispărut și vă puteți vedea folderele cu fișierele atașate. Este timpul să trecem la Etapa 2.
Etapa 2:
Pentru a vă face fișierele disponibile pe media, trebuie să eliminați atributele pe care virusul le-a atribuit folderelor. Selectați foldere / fișiere cu semne de exclamare (apăsați butonul „Ctrl” și faceți clic pe ele). Selectați elementul „Fișiere” (7) din meniul principal, în lista care se deschide, faceți clic pe elementul „Schimbați atributele” (8):
În fereastra care apare, debifați toate casetele (9):
După aceea, veți vedea că semnele de exclamare din fața folderelor au dispărut, iar folderele sunt afișate liber (10):
Felicitări, comenzile rapide de pe unitatea flash în loc de foldere nu vă vor mai deranja!
Situația arată așa: pe unitatea flash erau foldere, dar s-au transformat ca prin minune în comenzi rapide, adică. la fișierele cu extensia lnk. Când încercați să deschideți un astfel de fișier, apare un mesaj:
În acest caz, „Q” este numele discului amovibil (unitatea flash), este posibil să îl aveți diferit. Comanda rapidă ne direcționează către folderul cu fișierul executabil (extension exe), care este un virus.
Ce s-a întâmplat exact: ca urmare a acțiunii virusului, atributele „sistem” și „ascuns” au fost atribuite tuturor folderelor, adică. au rămas pe unitatea flash, dar nu le putem vedea folosind interfața grafică Windows. În loc de foldere, au apărut comenzi rapide cu aceleași nume care duceau la fișierul cu virusul.
Ce se întâmplă dacă folderele s-ar transforma în comenzi rapide? Instrucțiuni pas cu pas.
Pe Internet, am găsit o soluție la problemă prin modificarea atributelor folderelor (de fapt, un folder este un fișier) folosind linia de comandă. Pentru acei utilizatori care nu sunt prietenoși cu linia de comandă, propun o modalitate alternativă - am folosit managerul de fișiere FAR Manager în acest scop. Acest manager este întotdeauna convenabil să-l aveți la îndemână și l-am folosit deja la editarea fișierului hosts (Video nu pot merge la colegii de clasă. Rezolvarea problemei).
Pasul 1. Verificăm unitatea flash pentru viruși. Am verificat cu antivirusul AVAST 4.8 Professionl. El a eliminat toate comenzile rapide „stânga”, spunând că este un troian LNK.
Avast a eliminat toate comenzile rapide „stânga”.
Dacă antivirusul dvs. lasă la locul comenzilor rapide ale folderului, eliminați-le singur, nu sunt necesare.
Pasul 2.Încărcați FAR Manager, despachetați arhiva și rulați fișierul Far.exe;
Pasul 3. Accesați un disc amovibil (unitate flash USB). Pentru a selecta o unitate, utilizați tastele Alt + F1;
Toate fișierele de sistem ascunse (panoul din stânga) sunt evidențiate cu albastru închis - acestea sunt folderele noastre „dispărute”.
Toate fișierele de sistem ascunse (panoul din stânga) sunt evidențiate cu albastru închis - acestea sunt folderele noastre „pierdute”.
Pasul 4. Pentru a nu modifica atributele fiecărui folder separat, ordonați-le pe toate odată: mai întâi selectați primul fișier din listă, apoi apăsați tasta Introduce pe tastatură și țineți apăsat până când numele tuturor fișierelor care ne interesează sunt evidențiate cu galben.
Selectarea unui grup de fișiere în FAR Manager
Pasul 5. Apăsați tasta F4 de pe tastatură (sau butonul Editare în FAR). În meniul care se deschide, eliminați semnele (semn de întrebare, cruce) din articole:
Dacă ați făcut totul corect, culoarea numelor fișierelor se va schimba de la albastru închis la alb.
După modificarea atributelor, culoarea numelor folderelor a devenit albă
Acum puteți accesa unitatea flash USB de sub Windows și vă asigurați că totul este afișat fără probleme.
După modificarea atributelor, toate folderele au devenit din nou disponibile.
Vă sfătuiesc să țineți întotdeauna la îndemână managerul de fișiere FAR Manager, astfel încât acesta va permite, dacă este necesar, să ocoliți restricțiile Windows privind schimbarea fișierelor.
După cum vă puteți imagina, folosind FAR Manager, puteți face procedura inversă, adică. ascunde fișierele de pe o unitate flash de utilizatorii fără experiență.
În încheiere, vreau să-i mulțumesc programatorului Eugene Roshal, care a creat Managerul FAR și cunoscutii arhive RAR și WinRAR.
Evgheni Mukhutdinov
Salutări, dragi cititori. Sunt sigur că majoritatea utilizatorilor a căror muncă sau hobby este legat de un computer au întâlnit un virus foarte dăunător care a creat comenzi rapide în loc de fișiere de pe o unitate flash USB. Ei bine, fișierele în sine nu au fost șterse, ceea ce este foarte plăcut, ci pur și simplu au devenit invizibile, accesul la care a putut fi doar obținut. Apropo, am descris cum să readuceți unitatea flash USB la starea anterioară.
De obicei, utilizatorii cu o unitate flash au venit la mine și au întrebat simplu. Dar, recent, am dat peste un computer în care acest virus special - Microsoft Excel.WsF - s-a blocat și la conectarea oricărei unități flash, a ascuns toate fișierele posibile de pe el. Sincer să fiu, este prima dată când dau peste un astfel de virus direct, pe computer în sine.
Când o unitate flash a fost conectată, a fost imediat clar că computerul era infectat cu malware, deoarece într-o clipă, pe orice dispozitiv conectat, toate documentele și folderele s-au transformat în comenzi rapide. Mi-am scos unitatea flash, am început. Ea a găsit mai multe fișiere infectate, dar totul a fost greșit ( în mare parte, fișiere bat cu etichete cu reclame pentru diferite browsere), bineînțeles, le-am șters și am pornit din nou antivirusul cu o scanare completă. Dar, spre surprinderea mea, Cureit nu a găsit nimic altceva și a sesizat că nu au fost găsite amenințări pe computer, deși problema nu a fost rezolvată și virusul (Microsoft Excel.WsF) ascunde în continuare fișiere.
Următorul pas a fost curățarea folderului cu fișiere temporare, atât manual, cât și folosind utilitarul CCleaner. Vă recomand să vă familiarizați cu manualul: cu ajutorul diferitelor utilități. Și, de asemenea, cu continuarea sa, unde este descris în detaliu ce se poate face dacă. După ce a curățat toate folderele posibile din fișierele TEMP, virusul (Microsoft Excel.WsF) a continuat să strice fișierele de pe unitatea flash, nefiind atent la mine și la toate acțiunile mele.
Cum să elimin un virus care transformă fișierele în comenzi rapide, această întrebare nu mi-a părăsit niciodată capul. Dar, intrând în pornirea computerului, mi-am dat seama că totul este, de fapt, foarte simplu.
Îndepărtăm virusul care transformă fișierele în comenzi rapide
Așadar, după ce am șters toate fișierele temporare din utilitarul meu favorit CCleaner, m-am dus la fila „”. După cum s-a dovedit, în lista autoruna au existat o mulțime de programe diferite, de la actualizări ale aplicațiilor Google până la browserul Amigo și MailUpdate. În general, din toată această listă, am găsit un proces foarte suspect numit „ wscript.exe". Am fost surprins că Microsoft Office a fost specificat în descrierea programului producătorului. M-a surprins că nu mai văzusem niciodată un astfel de proces asociat cu Office. Dar, după ce ați analizat locația fișierului, a devenit clar că aceasta este comanda care lansează scriptul de virus „ Microsoft Excel.WsF", care transformă fișierele în comenzi rapide.
Ce trebuie să facem pentru a elimina acest virus. Mai întâi, deschideți „” și găsiți un proces numit wscript.exe, după ce îl vedeți, faceți clic pe butonul „Terminare proces”.
Apoi, lansați CCleaner și. Și ne uităm la calea către fișierul nostru. am avut asa: C: \ Documents & Settings \ User \ Local Settings \ Application Data \ Microsoft Office \\ Microsoft Excel.WsF. Pentru Windows 7 și 8 acesta este:C: \ Utilizatori \ Nume utilizator \ AppData \ Roaming \ Microsoft Office \\ Microsoft Excel.WsF.
Intrând în acest folder, ștergeți fișierul care a fost specificat în cale, de exemplu, în cazul meu este: Microsoft Excel.WsF. Nu uitați să deschideți accesul la afișarea fișierelor de sistem ascunse, altfel nu îl veți vedea.
Deci, primul pas pentru a elimina virusul care transformă fișierele în comenzi rapide a fost făcut. Acum, revenim la încărcarea automată, unde, făcând clic dreapta pe virus, selectați „ Deschide în Regedit...". Ca urmare, avem în fața noastră cu selecția liniei de care avem nevoie. Aici, de asemenea, ștergem pur și simplu toate înregistrările în care se găsesc cuvintele Microsoft Excel.WsF. Repetăm această acțiune până când registrul este șters de toate intrările în care este menționat numele fișierului virus. L-am gasit in doua locuri:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run;
Revenind din nou la încărcarea automată SSleanera, marcați elementul cu procesul wscript.exe și făcând clic pe butonul " Șterge»Eliminați-l complet de la pornire.
Acum, după ce ați închis utilitarul, mergeți la folderul cu fișierele temporare ale utilizatorului și ștergeți complet tot conținutul acestuia.
Windows 7 și Windows 8: C: \ Utilizatori \ Igor \ AppData \ Local \ Temp
Windows XP: C: \ Documente și setări \ Utilizator \ Setări locale \ Temp
În cele din urmă, nu uitați să goliți coșul de gunoi din acele fișiere pe care le-am șters. După aceea, asigurați-vă că reporniți computerul și verificați rezultatul.
Data viitoare când conectați unitatea flash, toate fișierele ar trebui să rămână la locul lor. Macar, M-a ajutat și până acum toate unitățile flash sunt hotărâte și funcționează fără probleme. Dar, dacă aveți întrebări sau aveți nevoie de ajutor, ca întotdeauna, lăsați comentarii și voi încerca să vă ajut. Încă o dată, permiteți-mi să vă reamintesc despre un abonament la site, care vă va permite să aveți la îndemână instrucțiuni gratuite pentru restabilirea stării de funcționare a computerului de la serviciu sau de acasă.
Ieri, în timpul cursului, am prins un virus pe o unitate flash USB, care a fost imediat detectat și eliminat de un antivirus de pe computerul meu de acasă. Cu toate acestea, s-a dovedit că toate folderele de pe unitatea flash au devenit comenzi rapide... Cu ceva timp în urmă m-am confruntat deja cu o astfel de problemă, așa că știu prima regulă pentru a preveni infectarea computerului dvs.: nu încercați să deschideți comenzi rapide către foldere! (chiar dacă datele de pe unitatea flash sunt de neprețuit și doriți să vă asigurați imediat că nu au ajuns nicăieri). De ce nu ar trebui să deschideți aceste comenzi rapide? Creatorii virusului au optat pentru următorul truc: două comenzi sunt scrise în proprietățile acestor comenzi rapide:
- Primul lansează și instalează un virus pe computer
- Al doilea deschide folderul care vă interesează.
Acestea. un utilizator care nu are un antivirus instalat pe computer, nefiind atent la faptul că toate directoarele de pe unitatea flash sunt acum afișate ca comenzi rapide, poate pur și simplu să nu știe că unitatea flash este infectată. toate folderele de pe unitatea flash sunt deschise și informațiile din ele sunt la locul lor. În unele modificări ale unui astfel de virus, folderele nu se mai deschid chiar dacă se face clic pe scurtătură. În orice caz, nu intrați în panică, nu vă grăbiți să formatați unitatea flash USB și citiți cu atenție instrucțiunile de mai jos. Înțelegeți, cataloagele nu au mers nicăieri, doar zac pe unitatea flash și încă mint. Doar că virusul a ascuns toate folderele de pe unitatea flash USB, adică. li s-au atribuit atributele corespunzatoare (ascunse + arhivate). Sarcina noastră este să distrugem virusul și să eliminăm aceste atribute.
Deci, mai jos voi da instrucțiuni care descriu ce trebuie să faceți dacă folderele de pe flash au devenit comenzi rapide
Ștergeți fișierele executabile ale virusului de pe o unitate flash USB
Primul pas este să scapi de fișierele executabile ale virusului. Acest lucru se poate face folosind orice antivirus (din fericire, există o grămadă de versiuni gratuite sau portabile, cum ar fi Dr.Web CureIt sau Kaspersky Virus Removal Tool), dar dacă nu există, puteți încerca să găsiți și să neutralizați virusul manual. . Cum să găsiți fișierele virusului care a infectat unitatea flash USB?
În acest exemplu, RECYCLER \ e3180321.exe este același virus. Acestea. un fișier de virus numit e3180321.exe se află în folderul RECYCLER. Ștergem acest fișier sau puteți șterge întregul folder (recomand să verificați prezența acestui folder atât pe unitatea flash USB infectată, cât și în directoarele de sistem C: \ windows, C: \ windows \ system32 și în profilul utilizatorului actual (mai multe despre ele mai jos)).
- v Windows 7, 8 și 10- C: \ utilizatori \ nume de utilizator \ appdata \ roaming \
- v Windows XP- C: \ Documente și setări \ nume utilizator \ Setări locale \ Date aplicație \
Dacă aceste directoare conțin fișiere cu extensia " .executabil„, Atunci cel mai probabil acesta este fișierul executabil al virusului și poate fi șters (pe un computer neinfectat, acest director nu ar trebui să conțină fișiere .exe).
În unele cazuri, astfel de viruși nu sunt detectați de software-ul antivirus. acestea pot fi create ca fișiere script .bat / .cmd / .vbs care, în principiu, nu efectuează nicio acțiune distructivă asupra computerului. Vă recomandăm să verificați manual unitatea flash USB pentru fișiere cu astfel de permisiuni (puteți vizualiza codul acestora folosind orice editor de text).
Acum, să faceți clic pe scurtătură nu este periculos!
Verificarea sistemului pentru comenzi de rulare automată a virușilor
În unele cazuri, virușii se înregistrează la pornirea sistemului. Verificați cu mâinile următoarele ramuri de registry (regedit.exe) pentru intrări suspecte:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run- aceste programe sunt lansate la pornirea computerului
- HKEY_ ACTUAL_ UTILIZATOR\ Software\ Microsoft\ Windows\ Versiune curentă\ Alerga- programe care sunt lansate automat atunci când utilizatorul curent se conectează
Ștergeți toate intrările suspecte și programele nefamiliare (nu veți face nimic greșit și chiar dacă dezactivați pornirea unui program necesar, îl puteți porni oricând manual după autentificare).
Alte modalități de a rula automat programele din sistem sunt descrise în articol.
Restaurarea vizualizării directoarelor și accesul la foldere
După ce unitatea flash și computerul sunt curățate de viruși, trebuie să restabiliți vizualizarea normală a folderelor și fișierelor de pe unitatea flash. În funcție de modificarea virusului (și de imaginația „dezvoltatorilor”), folderelor originale li se pot atribui atributele de sistem „ascuns” și „sistem”, sau pot fi mutate într-un anumit folder ascuns special creat de virus. . Aceste atribute nu pot fi eliminate chiar așa, așa că va trebui să utilizați comenzile pentru resetarea atributelor prin linia de comandă. De asemenea, se poate face manual sau folosind un fișier batch. Apoi, comenzile rapide rămase către foldere pot fi eliminate - nu avem nevoie de ele
Mod manual de a restabili atributele folderelor ascunse de pe o unitate flash USB
- Deschideți linia de comandă cu drepturi de administrator
- În fereastra neagră care apare, introduceți comenzile, după ce ați tastat fiecare apăsați Enter
cd / d f: \
, unde f: \ este litera de unitate alocată unității flash (într-un caz specific, aceasta poate diferi)
atrib -s -h / d / s
, comanda resetează atributele S ("System"), H ("Hidden") pentru toate fișierele și folderele din directorul curent și din toate subfolderele.
Ca rezultat, toate datele de pe unitate devin vizibile.
Script pentru eliminarea automată a atributelor ascunse din folderele și fișierele sursă
Puteți utiliza scripturi gata făcute care efectuează toate operațiunile pentru a restaura atributele fișierelor automat.
Descărcați fișierul (263 octeți) de pe acest site (link direct) și rulați-l cu drepturi de administrator. Fișierul conține următorul cod:
: lbl
cls
set / p disk_flash = "Introduceți unitatea flash:"
cd / D% disk_flash%:
if% errorlevel% == 1 merge la lbl
cls
cd / D% disk_flash%:
del * .lnk / q / f
atrib -s -h -r autorun.*
del autorun.* / F
atrib -h -r -s -a / D / S
rd RECYCLER / q / s
explorer.exe% disk_flash%:
La pornire, programul vă cere să specificați numele unității flash (de exemplu, F:), și apoi însuși elimină toate comenzile rapide, fișierele autorun.*, elimină atributele de ascundere din directoare, șterge folderul cu virusul RECYCLER și în cele din urmă arată conținutul unității flash USB în explorator.
Sper că veți găsi această postare utilă. Dacă întâlniți alte modificări ale virusului care transformă folderele de pe o unitate flash USB în comenzi rapide - descrieți simptomele în comentarii, vom încerca să descoperim împreună problema!
