Мы уже знаем, что существует семейство вирусов, которые специализируются по проникновению на переносные флеш устройства. , тогда мы восстанавливали скрытые папки и замещённые файлы.
В данном материале речь пойдёт об ещё одной разновидности вирусов, которые более серьёзно скрывают Ваши данные в частности папки. Вирус не изменяет атрибутов директории, а переименовывает папку запрещёнными символами от чего каталог становится невидимым системой…
Если Вы тоже попали в подобную ситуацию, то вполне может быть, что над содержимым Вашей флешки поработал вирус Trojan.Radmin.13 (по классификации ), который запаковал Ваши папки и файлы в невидимую операционной системой папку с оригинальным названием, состоящим из двух точек - «.. ». Другими словами, вирус запаковал Ваши данные в папку с названием, состоящим из символов, запрещенных в Windows.
Как восстановить пропавшие папки на флешки?
Во первых уточним сразу, что не во всех случаях папка может существовать в таком виде, возможно, что вирус мог удалить содержимое флешки полностью. В нашем случае папки можно восстановить и об этом свидетельствует отображаемый объём занятой памяти на устройстве.
Теперь по порядку:
- Войдите в консоль командной строки. Для этого откройте окно «Выполнить» сочетанием клавиш Win+R
Введите в строку – CMD и нажмите клавишу Enter - В появившемся окне командной строки введите:
Букву вашей флешки, как она отображается в компьютере и двоеточие, например, F:
- Далее там же введём команду:
dir /x /ad- dir – команда, которая выводит все файлы и папки с подкаталогами
- / x – параметр который выводит короткие имена для файлов, чьи имена не соответствуют стандарту 8.3
- /ad — параметр, отображающий только список папок
- После запуска команды у Вас должна появится папка с названием «E2E2~1
», которая и свидетельствует о том что именно благодаря вирусу ваши папки невидны!
- набираем следующую команду:
ren E2E2~1 NEWF- ren (rename) - команда, которая позволяет переименовывать как файлы так и каталоги
- E2E2~1 - исходный каталог
- NEWF - конечный каталог
- запускаем выполнение клавишей Enter и закрываем окно командной строки.
- Теперь останется проверить результат изменений путём открытия флешки через проводник или любой другой файловый менеджер.
Вместо послесловия
В большинстве случаев подобные манипуляции помогают разрешить проблему с пропавшими папками на флешке. Но как я уже упомянул выше, вирусы никогда не повторяются в своих действиях, поэтому не факт, что Вам поможет именно этот алгоритм действий.
Некоторые пользователи сталкиваются с неприятной ситуацией: файлы, которые были на флешке, после подключения к компьютеру пропадают. Если пользователь их не стирал самостоятельно, то вывод один – на флешке есть вирус, который не удалил, а только скрыл данные. Информацию можно восстановить несколькими способами.
Отображение скрытых файлов
После обнаружения пропажи информации первым делом нужно настроить в системе отображение скрытых файлов.
Откройте съемный диск и посмотрите, какие данные теперь отображаются на флешке. Вероятнее всего вы увидите ярлыки и неизвестные исполнительные файлы вируса.
Удаление вируса
После настройки отображения необходимо удалить с флешки вирус, который скрывает данные. Для проверки накопителя используйте установленный антивирус или лечащие утилиты типа Dr. Web CureIT и Kaspersky Virus Removal Tool.
Провести чистку флешки можно и вручную, удалив с носителя неизвестные файлы с расширением *.exe и ярлыки.
Восстановление информации
После настройки системы и удаления вируса можно приступать к восстановлению утраченных данных. Обычно вирус просто меняет атрибуты файлов, делая их скрытыми. Ваша задача – восстановить атрибуты к исходному состоянию или вовсе их сбросить, чтобы данные отображались в проводнике Windows. Попробуем восстановить атрибуты через командную строку:
Процесс можно автоматизировать, создав BAT-файл. Скопируйте в блокнот текст такого вида:
echo Please wait…
attrib -s -h -r -a /s /d
Назовите текстовый документ view и сохраните его с расширением *.bat – получится view.bat. Перенесите полученный файл на съемный диск, с которого пропали данные. Запустите Bat-файл. После изменения атрибутов данные, которые якобы удалил вирус, будут возвращены на съемный диск.
Работа с FAT32
Если у флешки установлена файловая система FAT32, то вирус мог пойти дальше и не просто спрятать данные, а переместить их в скрытый каталог E2E2~1. В таком случае порядок восстановления информации после её потери немного поменяется:
После выполнения этих действий на флешке появится папка Folder; в ней будут файлы, которые вам удалось восстановить.
Восстановление через файловые менеджеры
Если после работы с командной строкой данные на флешке восстановить не удалось, то попробуйте найти их через файловые менеджеры. Сначала используйте Total Commander:
Если Total Commander не помогает, используйте для изменения атрибутов программу Far Manager. У неё не такой удобный интерфейс, но свои функции она выполняет исправно:
После отключения лишних атрибутов данные в окне файлового менеджера поменяют цвет с темно-синего на белый. Это значит, что файлы больше не скрыты, и вы можете открыть их на флешке.
Специальные утилиты
Так как проблема пропажи файлов после действия вируса достаточно распространена среди пользователей, есть специальный софт, позволяющий быстро восстановить информацию.
Обнаруженные на флешке ярлыки вместо папок и файлов лучше не нажимать так как это может задействовать очень серьёзный вирус. Восстановление данных с флешки возможно но для этого нужно сначала найти и уничтожить вредоносную утилиту и только потом приступать к восстановлению.
Как увидеть скрытые папки на флешке
Для начала нужно убедиться, что на вашем компьютере включён показ скрытых папок и файлов. Если не включён то нужно запустить и перейти в категорию «Оформление и персонализация».
В окне категории «Оформление и персонализация» нужно нажать на пункт «Показ скрытых файлов и папок». Откроется окно под названием «Параметры папок» в котором нужно найти пункт «Показывать скрытые файлы, папки и диски».
Скрытые папки и файлы разрешаем показывать
У этого пункта нужно поставить точку и нажать кнопку «Применить». После этого на флешке появятся папки и файлы но их трогать не надо.Сделав это вы теперь сможете найти и обезвредить вредоносный файл.
Как найти вирус на флешке
Обычно появившиеся вместо папок ярлыки запускают один и тот же вредоносный файл (вирус). Этот же вирус скрыл папки на флешке и сделал их ярлыками. Чтобы найти вирус из-за которого пропали файлы с флешки нужно навести курсор на любой ярлык на флешке и нажать правую кнопку мыши. В появившемся контекстном меню выбираем «Свойства». Откроется окно под названием «Свойства».
Из-за вируса папки стали ярлыками
В этом окне нужно перейти на вкладку «Ярлык». На этой вкладке в пункте «Объект» можно увидеть путь к вирусу и название самого вируса, обычно название файла состоит из беспорядочного набора цифр и букв например 879frtj.exe который находится в скрытой папке Recycler. Удалив эту папку вместе с файлом можно приступать к восстановлению папок и файлов в нормальный вид.
Как восстановить данные с флешки
Восстановить файлы с флешки можно сбросив атрибуты с помощью командной строки. Все папки на флешке имеют полупрозрачную иконку которая означает, что они стали скрытыми и системными. Сначала удаляем все ненужные ярлыки, а скрытые файлы на флешке не трогаем. Чтобы запустить нужно на клавиатуре нажать одновременно клавиши WIN+X. В появившемся контекстном меню нужно выбрать Командная строка (Администратор).
После сброса атрибутов произойдёт восстановление файлов с флешки
Откроется окно командной строки в которую нужно вписать поочерёдно следующие команды:
- cd /d e:\
- attrib -s -h /d /s
- Нажать на клавиатуре клавишу ENTER.
В первой команде e:\ означает букву вашей флешки которую нужно изменить на букву вашей флешки. После этого атрибуты сбросятся и ваши папки станут нормальными.
В сети появилась новая разновидность вируса, который заражает флешки и внешние накопители. С подобным вирусом, я впервые столкнулся около полугода назад, когда у одного из моих клиентов, подобный вирус скрыл все папки на флешки, а на их месте создал ярлыки. Так как случай был единичный, подумал, что не стоит волноваться и описывать эту проблему. Но совсем скоро посыпались призывы о помощи «помогите восстановить данные с флешки» и причиной всему оказался именно этот вирус!
Если вы заметили, что папки на флешке стали ярлыками
Предположим, что вы заметили, что при открытии папок на флешки «вылетает» системная ошибка и лишь потом открывается папка. Посмотрите имеют ли папки значок ярлыка - это маленькая стрелка на значке папки в левом нижнем уголке.
Если подобных папок-ярлыков много или даже все - то вероятно, система заражена вирусом, а его распространителем служит ваша флешка.
Чистим флешку от вирусов
1. Для поиска и удаления подобного вируса рекомендую использовать несколько антивирусов: сначала сделайте полную проверку компьютера, установленным антивирусом. В моем случае это Аваст (см. рис. 2). Просканируйте системный диск C: и съемный носитель, т.е. вставленную флешку.
Если вирусы найдены, то удалите их. Разумеется, с зараженными файлами из системной папки Windows нужно обходиться аккуратно: полечить его сперва или поместит в карантин. Все остальные - можно смело удалять.
2. Вне зависимости был найден или нет вирус — проверьте систему любой другой антивирусной утилитой. Я рекомендую использовать CureIt. ( http://www.freedrweb.com/download+cureit+free/).
Просканируйте этой утилитой системный диск C и флешку. Другие логические диски можно просканировать в другой раз, иначе удаление простого вируса может занять много времени.
3. После того, как систему проанализировали несколько антивирусных программ и возможно что-то было найдено, а может и нет, пора переходить к восстановлению скрытых папок на флешке, а заодно и почистить флешку от вирусов, которые могли не заметить сканеры антивирусов.
Как отобразить скрытые файлы и папки на флешке
Два слова скажу в чем тут дело и почему папки становятся скрытыми и невидимыми, а их место занимают ярлыки.
Логика подобного вируса проста, но в тоже время и неординарна. Попав на флешку через зараженный компьютер, он прописывает себя в скрытой папке RECYCLER , которую скрывает с помощью системного атрибута «Скрыть». В нее помещает экземпляр вредоносного кода (вирус) под любым названием. Таким образом он маскируется. Всем файлам и папкам, которые есть на флешке вирус задает атрибут «скрытый и системный» в результате чего они становятся невидимыми, т.е. скрытыми.
Потом, вирус создает ярлыки ко всем скрытым файлам и папкам и делает их видимыми, подставляя их вместо оригиналов. Неплохо задумано, правда?
Как только такую зараженную флешку вы вставите в компьютер, откроите ее и кликните по папке-ярлыку, сработает системная команда на запуск вируса из папки RECYCLER , а затем на открытие скрытой папки-оригинала. Если антивирус не среагирует на вирус, ваш компьютер будет заражен и последствия могут быть разные: от кражи паролей и до установки бэкдора для управления вашим компьютером.
Есть несколько вариантов как можно удалить вирус с флешки, а скрытые файлы сделать видимыми:
- С помощью командной строки
- С помощью загрузочного диска Live DVD (или загрузочной флешки)
- С помощью файловых менеджеров (Total Commander, Far и др.)
Лично я использую в работе загрузочный диск и флешку. Но так как этот способ требует наличие специального диска или специальной флешки, которые нужно смонтировать, для простого пользователя — это трудновато.
Поэтому я покажу вам другой более простой способ — с помощью файлового менеджера Total Commander .
Восстановление прежнего вида папок на флешке
1. Зайдите на сайт http://www.ghisler.com/850_b15.php и скачайте версию программы 32+64-bit (Combined installer Windows 95 up to Windows 8, 32-bit AND 64-bit!).
2. Установите ее. Даже если у вас уже установлена подобная программа, обновите ее. На рабочем столе появится ее значок (в некоторых случаях аж два).
3. Откройте программу, кликнув по ее значку. В окне программы нажмите на кнопку запуска по нужным номером (1, 2 или 3). Это небольшое неудобство позволяет нам бесплатно пользоваться этой программой.
4. В левом окне программы из выпадающего списка выберите вашу флешку.
5. На первый взгляд с флешкой все в порядке, папки на месте, файлов только нет, но это только так кажется. Если посмотреть внимательно, то можно заметить, что папки - это ярлыки так как у них расширение.Ink, а на самом деле у папок расширения нет.
Откройте раздел Конфигурация — Настройка… В окне настроек выберите раздел Содержимое панелей и правой части поставьте галочки напротив следующих параметров:
- Показывать системные файлы
Теперь картина изменилась. У нас отобразились скрытые, системные файлы (при этом они могут быть и не системными, ведь им просто задали такой атрибут).
6. Удалите все папки-ярлыки с расширением Ink . Для этого удерживайте клавишу CTRL , а мышкой выделяйте нужные файлы. Нажмите клавишу DELETE на клавиатуре. Согласитесь на удаление.
7. Осталось восстановить прежний вид папок. Для этого достаточно снять с них атрибуты «скрытый, системный и др.». Стандартными средствами операционной системы Windows XP, 7 или 8 этого не сделать, а с помощью файлового менеджера Total Commander — легко.
Укажите (одноразовый клик по файлу левой кнопкой мыши) на любой файл и выделите все папки и файлы с помощью комбинации клавиш на клавиатуре CTRL+A .
Откройте раздел Файлы — Изменить атрибуты . Снимите все точки напротив значений:
- Архивный
- Только для чтения
- Скрытый
- Системный
И нажмите на кнопку ОК. Теперь файлы на флешке можно просмотреть с помощью простого Проводника.
8. Еще одна маленькая деталь. Остается удалить папку RECYCLER , в которой возможно находится вирус. Выделите папку RECYCLER с помощью правой кнопки мыши и нажмите на клавиатуре кнопку DELETE . Согласитесь на удаление всех файлов в этой папке. Если при удалении появится предупреждение, что файл так просто не удалить, тогда выберите кнопку «с правами администратора».
Вот и все! Вирус будет удален, а файлы благополучно восстановлены.
В завершении этого обзора, заранее хочу вас предупредить, если вы вдруг заметите, что на флешке пропали файлы или, как в данном примере, появились ярлыки вместо папок и файлов, НЕ СПЕШИТЕ ФОРМАТИРОВАТЬ свою флешку! Попробуйте с помощью данного способа вернуть все на свое место.
