Учілкіна скарбничка

Вірус приховав папки на флешці? Що робити і як відновити дані?

У мережі з'явився новий різновид вірусу, який заражає флешки і зовнішні накопичувачі. З подібним вірусом, я вперше зіткнувся близько півроку тому, коли у одного з моїх клієнтів, подібний вірус приховав всі папки на флешки, а на їх місці створив ярлики. Так як випадок був одиничний, подумав, що не варто хвилюватися і описувати цю проблему. Але зовсім скоро посипалися заклики про допомогу «допоможіть відновити дані з флешки» і причиною всьому виявився саме цей вірус!

е] Якщо ви помітили, що папки на флешці стали ярликами

Припустимо, що ви помітили, що при відкритті папок на флешки «вилітає» системна помилка і лише потім відкривається папка. Подивіться чи мають папки значок ярлика - це маленька стрілка на значку папки в лівому нижньому кутку.

Якщо подібних папок-ярликів багато або навіть усі - то ймовірно, система заражена вірусом, а його розповсюджувачем служить ваша флешка.

Чистимо флешку від вірусів

1. Для пошуку і видалення подібного вірусу рекомендую використовувати кілька антивірусів: спочатку зробіть повну перевірку комп'ютера, встановленим антивірусом. У моєму випадку це Аваст (див. Рис. 2). Проскануйте системний диск C: і знімний носій, тобто вставлену флешку.

Якщо віруси знайдені, то видаліть їх. Зрозуміло, з зараженими файлами з системної папки Windows потрібно обходитися акуратно: полікувати його спершу або помістить в карантин. Все решта - можна сміливо видаляти.

Проскануйте цією програмою системний диск C і флешку. Інші логічні диски можна просканувати іншим разом, інакше видалення простого вірусу може зайняти багато часу.

3. Після того, як систему проаналізували декілька антивірусних програм і можливо щось було знайдено, а може і ні, пора переходити до відновлення прихованих папок на флешці, а заодно і почистити флешку від вірусів, які могли не помітити сканери антивірусів.

Як відобразити приховані файли і папки на флешці

Два слова скажу в чому тут справа і чому папки стають прихованими і невидимими, а їх місце займають ярлики.

Логіка подібного вірусу проста, але в той же час і неординарна. Потрапивши на флешку через заражений комп'ютер, він прописує себе в прихованій папці RECYCLER. яку приховує за допомогою системного атрибута «Приховати». У неї поміщає екземпляр шкідливого коду (вірус) під будь-якою назвою. Таким чином він маскується. Всіх файлів і папок, які є на флешці вірус задає атрибут «прихований і системний» в результаті чого вони стають невидимими, тобто прихованими.

Потім, вірус створює ярлики до всіх прихованих файлів і папок і робить їх видимими, підставляючи їх замість оригіналів. Непогано задумано, правда?

Як тільки таку заражену флешку ви вставите в комп'ютер, откроите її і клацніть по папці-ярлику, спрацює системна команда на запуск вірусу з папки RECYCLER. а потім на відкриття прихованої папки-оригіналу. Якщо антивірус не зреагує на вірус, ваш комп'ютер буде заражений і наслідки можуть бути різні: від крадіжки паролів і до установки бекдор для управління вашим комп'ютером.

Є кілька варіантів як можна видалити вірус з флешки, а приховані файли зробити видимими:

За допомогою командного рядка
За допомогою завантажувального диска Live DVD (або завантажувальної флешки)
За допомогою файлових менеджерів (Total Commander, Far і ін.)

Особисто я використовую в роботі завантажувальний диск і флешку. Але так як цей спосіб вимагає наявність спеціального диска або спеціальної флешки, які потрібно змонтувати, для простого користувача - це важкувато.

Тому я покажу вам інший простіший спосіб - за допомогою файлового менеджера Total Commander.

Відновлення колишнього вигляду папок на флешці

2. Встановіть її. Навіть якщо у вас вже встановлена подібна програма, поновіть її. На робочому столі з'явиться її значок (в деяких випадках аж два).

3. Відкрийте програму, клікнувши по її значку. У вікні програми натисніть на кнопку запуску по потрібним номером (1, 2 або 3). Це невелика незручність дозволяє нам безкоштовно користуватися цією програмою.

4. У лівому вікні програми зі списку виберіть вашу флешку.

5. На перший погляд з флешкою все в порядку, папки на місці, файлів тільки немає, але це тільки так здається. Якщо подивитися уважно, то можна помітити, що папки - це ярлики так як у них розширення .Ink, а насправді у папок розширення немає.

Відкрийте розділ Конфігурація - Налаштування ... У вікні налаштувань виберіть розділ Вміст панелей і правій частині поставте галочки навпроти наступних параметрів:

Показувати приховані файли
Показувати системні файли

Далі кнопка Застосувати - Ок.

Тепер картина змінилася. У нас відобразилися приховані, системні файли (при цьому вони можуть бути і не системними, адже їм просто поставили таке атрибут).

6. Видаліть всі папки-ярлики з розширенням Ink. Для цього утримуйте CTRL. а мишкою виділяйте потрібні файли. Натисніть клавішу DELETE на клавіатурі. Погодьтеся на видалення.

7. Залишилося відновити колишній вигляд папок. Для цього досить зняти з них атрибути «прихований, системний та ін.». Стандартними засобами операційної системи Windows XP, 7 або 8 цього не зробити, а за допомогою файлового менеджера Total Commander - легко.

Вкажіть (одноразовий клік по файлу лівою кнопкою миші) на будь-який файл і виділіть всі папки та файли за допомогою комбінації клавіш на клавіатурі CTRL + A.

Відкрийте розділ Файли - Змінити атрибути. Зніміть всі крапки навпроти значень:

8. Ще одна маленька деталь. Залишається видалити папку RECYCLER. в якій можливо знаходиться вірус. Виділіть папку RECYCLER за допомогою правої кнопки миші і натисніть на клавіатурі кнопку DELETE. Погодьтеся на видалення всіх файлів в цій папці. Якщо при видаленні з'явиться попередження, що файл так просто не видалити, тоді виберіть кнопку «з правами адміністратора».

От і все! Вірус буде видалений, а файли благополучно відновлені.

На завершення цього огляду, заздалегідь хочу вас попередити, якщо ви раптом помітите, що на флешці пропали файли або, як в даному прикладі, з'явилися ярлики замість папок і файлів, Не поспішайте форматувати свою флешку! Спробуйте за допомогою даного способу повернути все на своє місце.