Вирус на флешке, удаление и защита
Adguard

Вирус на флешке, удаление и защита

13.02.2014
ПлохоТак себеНормальноХорошоСупер! 4,83 (18)

На флешку вирус попадает с зараженного компьютера, к которому вы подключали флешку. Работа вируса проявляется достаточно отчетливо — файлы, которые были на флешке исчезли, а папки превратились в ярлыки. Есть модификации вирусов, которые блокируют доступ к флешке.

Не стоит паниковать! Файлы и папки все еще находятся на флешке, просто вирус установил им атрибуты «скрытый» и «системный», далее вирус создал ярлыки с названиями ваших папок и прописал в них путь к своему запуску. Иными словами, если вы попытаетесь открыть такой ярлык на флешке, то ваш компьютер будет заражен этим вирусом, что приведет к заражению любых флешек и карт-памяти, которые вы подключите к компьютеру.

Вирус создает ярлыки на флешке

В зависимости от версии Windows, у вас, при открытии флешки, конечно же, если она открылась, будет такая картина:

Ярлыки вместо папок на флешке из-за вируса

Ярлыки вместо папок на флешке из-за вируса

Дальнейшие действия для очистки флешки от вируса:

Как проверить флешку на вирусы

Все предельно просто. Достаточно иметь на своем компьютере хорошую антивирусную программу последней версии с обновленной антивирусной базой. Открываем антивирус и выбираем сканирование съемных дисков или выборочное сканирование (в разных антивирусах по-разному, но смысл один).

Если у вас нет антивируса, то рекомендуем скачать антивирусную утилиту Dr.Web CureIt!, которую не нужно устанавливать на компьютер и она может справиться с очень большим количеством угроз.

Запустите утилиту Dr.Web CureIt!, после того, как вы ее скачали. После запуска, в первом окне программы, установите галочку, что вы согласны участвовать в программе улучшения качества и отправки статистики в лабораторию Доктор Веб, потом жмем кнопку «Продолжить».

Теперь кликните зеленую ссылку «Выбрать объекты для проверки», она находится под кнопкой «Начать проверку». Перед вами появится окно с выбором объектов для сканирования – ставим галочки напротив каждого элемента и потом жмем на зеленую ссылку «Щелкните для выбора файлов и папок». Здесь нужно отметить вашу флешку (в этот момент она должна быть подключена к компьютеру и во время проверки ее нельзя извлекать), плюс, вы можете отметить для проверки на вирусы ваши локальные диски. Далее жмем кнопку «ОК», а потом большую кнопку «Запустить проверку».

Выбор флешки для проверки на вирусы

Выбор флешки для проверки на вирусы

Проверка на вирусы может занять какое-то время, следует набраться терпения и подождать.

Как удалить вирус с флешки

После окончания процедуры сканирования утилитой Dr.Web CureIt!, перед вами будет окно со списком найденных вирусов и других угроз на флешке, жмем на кнопку «Обезвредить», которая находится справа вверху.

Удаление вирусов утилитой Dr.Web CureIt!

Удаление вирусов утилитой Dr.Web CureIt!

Так же есть другой способ, ручной, для удаления вируса с флешки. Данный способ рассчитан на более-менее опытных пользователей. Если вы себя таковым не считаете, то воспользуйтесь утилитой Dr.Web CureIt!

Итак, для начала нужно открыть «Параметры папок» в «Панели управления» и на вкладке «Вид» установить галочку на пункте «Показывать скрытые файлы и папки» и снять галочку на пункте «Скрывать защищенные системные файлы (рекомендуется)». Теперь вы можете видеть скрытые и системные файлы и папки.

Теперь открываем зараженную флешку. Кликаем правой кнопкой по любому ярлыку папки и в появившемся контекстном меню выбираем пункт «Свойства». Нам нужно значение поля Target (Объект).

Свойства ярлыка папки

Свойства ярлыка папки

В поле Target (Объект) будет записано длинное значение, примерно, такого содержания:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e3180321.exe &&%windir%\explorer.exe %cd%backup
Из приведенного выше значения, понятно, что файл вируса e3180321.exe находится в папке RECYCLER. Удаляем папку RECYCLER полностью.

Так же рекомендуем просмотреть системные папки на предмет остатков от вируса, которые могут возобновить свою деятельность. Для этого нужно удалить все программные файлы (расширение *.exe) по следующим адресам:

  • C:\users\имя_пользователя\appdata\roaming\ — для Windows Vista и 7
  • C:\Documents and Settings\имя_пользователя\Local Settings\Application Data\ — для Windows XP

Теперь вирусы с флешки удалены, но после их работы, файлы и папки на флешки остались скрытыми.

Как восстановить флешку после вируса

Что бы восстановить папки на флешки нужно изменить их атрибуты, но сделать это обычными способами проблематично, т.к. вирус присвоил им не только атрибут «скрытый», но и атрибут «системны». Из-за этого операционная система пытается защитить их от действий пользователя. Но для нас это не проблема! Мы подготовили несколько способов для восстановления папок и файлов на флешке.

Первый способ, самый простой. Запустите этот файл (размер 295 байт) на своем компьютере, к которому подключена флешка. После запуска, откроется черное окно, в котором вам нужно написать букву вашей флешки, например F или I после чего нажать кнопку ENTER.

Данная мини-программа, автоматически, выполнит поиск и удаление ярлыков на папки, файлов авто-запуска (autorun.*), удалит папку RECYCLER в которой прятался вирус и восстановить видимость и доступность к папкам и файлам.

Мини-программа, которую вы запустите, представляет из себя командный скрипт Windows и содержит такой код:

:lbl
cls
set /p disk_flash="Enter flash drive: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lbl
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Второй способ. Менее рекомендуемый, т.к. восстановятся только значения атрибутов папок и файлов.

  1. Открываем командную строку. Для этого нажимаем сочетание клавиш Win+R (на кнопке Win обычно нарисован логотип Windows), в открывшемся окне «Выпонить» пишем команду CMD и жмем ENTER.
  2. В появившемся черном окне, пишем такую команду — cd /d f:\ и жмем ENTER, где f:\ – это буква вашей флешки, ее можно посмотреть в проводнике или в окне «Мой компьютер».
  3. Далее, не закрывая окно, пишем следующую команду — attrib -s -h /d /s и жмем ENTER.
Командная строка

Командная строка

Все. Атрибуты папок и файлов восстановлены и вы можете просмотреть содержимое флешки в нормальном режиме.

Как защитить флешку от вирусов

Следуя простым правилам, описанным ниже, увеличите шансы не заразить флешку вирусами.

  1. Подключайте флешку только к тем компьютерам и устройствам, на которых стоит надежный антивирус с обновленной антивирусной базой.
  2. Если на вашем компьютере нет антивируса, то мы рекомендуем установить бесплатный антивирус Avast! Free Antivirus, он справится с вирусами на флешках и надежно защитит ваш компьютер от проникновения угроз.
  3. Для простейшей защиты флешки от вирусов можно создать подменный файл автозапуска. Для этого скачайте этот файл (размер 333 байта), и разархивируйте его содержимое на флешку. Далее зайдите на флешку и запустите файл flashdriveprotect.bat. Это мини-программа, которая создаст подменный файл автозапуска на флешке и защитит его от записи и удаления, следовательно вирусы не смогут прописаться на вашей флешке.
  4. Так же можно использоваться специальные программы для защиты флешки от вирусов. Например, бесплатный антивирус для флешки USB Disk Security прекрасно справится с защитой флешек, к тому же данная программа снабжена рядом дополнительных и полезных функций — автоматическое сканирование подключенных флешек, отключение автозапуска со сменных устройств, подключаемых к компьютеру, блокировка несанкционированной записи на флешку и пр.

Если у вас возникли проблемы с удалением вирусов с флешки или вы хотите дополнить данную статью своим советом, то просим оставить свой комментарий ниже.

Отзывы на запись: Вирус на флешке, удаление и защита

Всего оставлено 22 отзывов. Мы будем признательны, если и вы напишете свой отзыв.
  1. спасибооо! с помошью программы все восстановилось, оч важные файлы были, еще раз СПАСИБО)

  2. Огромное спасибо) Скачал файл, и все востановилось

  3. Огромное спасибо!программа все восстановила!!!спасибо большое

  4. Интересная информация, но за такое «короткое» время работы, при подключеной флешке вирус. который в даное время научился менять имя, легко осядет во многих папках диска С. Самое простое — почистить флешку, но в конечном этоге придется лечить комп. Наиболее легким вариантом есть переустановка Windows, но чтобы обойтись без этого, нужно очень постараться… Советов дать не могу, но со своим компьютером справился без переустановки Windows.

  5. спасибо огромное

  6. Ничего программа не удалила, делал все в ручную

  7. %ALLUSERSPROFILE%\..\..\windows\system32\cmd.exe /c «start %cd%DSC_1552.JPG & attrib -s -h %cd%DDzBUKo.exe & xcopy /F /S /Q /H /R /Y %cd%DDzBUKo.exe %temp%\fmter\ & attrib +s +h %cd%DDzBUKo.exe & start %temp%\fmter\DDzBUKo.exe & exit» — у меня папка называется так…
    Тут я не могу найти название, которое нужно удалить…

    • Судя по всему вам нужно удалить папку fmter, которая находится в системной папке, предназначенной для временных файлов. Что бы открыть системную папку временных файлов — нажмите пуск, далее «Выполнить», там напишите команду %temp% и нажмите ENTER. В этой папке удалите папку fmter. Так же проведите поиск файла вируса DDzBUKo.exe по всему компьютеру с дальнейшей его очисткой.

  8. подскажите, папки на флешке .exe но нет графы «Объект», как узнать где вирус ?

    • Сам вирус хранится у вас на флешке в скрытой папке, в зачастую эта папка называется $Recycle.Bin или Recycler. Он самокопируется к вам на компьютер после попытки открыть какой-либо зараженный файл на флешке. Вам нужно провести полное сканирование компьютера на вирусы обновленным антивирусом, удалить вирус с компьютера и с флешки. Далее для восстановления отображения файлов следуйте инструкциям из статьи.

  9. Спасибо. Помогли!

  10. Спасибо вам огромное, очень помогли!!!

  11. Спасибо огромное! С первым вариантом все получилось,причем минуты за 2!

  12. Как были папки ярлыками,так они и остались ими. Не помогает Ваша программа.

  13. Долго искал решение вируса-плодителя (Microsoft Excel.WsF). Никакие антивирусы не берут. Ни DrWeb CureIt, ни Касперский, ни Eset. Пробовал вручную удалять — без толку. Вирус и в реестре прописан. Помогла программа UsbFix (http://www.en.usbfix.net/download/usbfix/) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Вычищает всё из автозагрузки.

  14. Не могу удалить, пишет занято другим процесом

  15. %ALLUSERSPROFILE%\..\..\windows\system32\cmd.exe /c «%SystemRoot%\explorer.exe %cd%.estrongs & start %cd%efWqfrrMrVmeCdr.exe & exit»

    У меня вот такая стока, что делать не пойму, уже много чего перепробовал, ничего пока не помогло, подскажите где находится папка с вирусом?

    • Добрый день!
      Вам нужно искать папку estrongs в системной папке.
      Что бы открыть системную папку временных файлов — нажмите пуск, далее «Выполнить», там напишите команду %SystemRoot% и нажмите ENTER. В этой папке удалите папку estrongs. Так же проведите поиск файла вируса efWqfrrMrVmeCdr.exe по всему компьютеру с дальнейшей его очисткой.

  16. Спасибо огромное! Действительно помогло)

  17. %WINDIR%\system32\cmd.exe /c»start % CD% snkb0ptz\snkb0ptz.exe && % WINDIR %\explorer.exe % CD% Новая папка»

    внешний диск был отформатирован, но видимо, снова заражен. Теперь на нем ярлык, свойства которого показывают, что вышенаписанный Объект находится в System32. Что делать?

    • Вам нужно найти файл snkb0ptz.exe и удалить его. Для этого вы можете воспользоваться поиском файлов по компьютеру, предварительно указав критерии поиска — искать в системных папках, искать скрытые файлы.

Оставить отзыв