Файл для восстановления скрытых файлов. Восстановление папок на флешке после вируса

В сети появилась новая разновидность вируса, который заражает флешки и внешние накопители. С подобным вирусом, я впервые столкнулся около полугода назад, когда у одного из моих клиентов, подобный вирус скрыл все папки на флешки, а на их месте создал ярлыки. Так как случай был единичный, подумал, что не стоит волноваться и описывать эту проблему. Но совсем скоро посыпались призывы о помощи «помогите восстановить данные с флешки» и причиной всему оказался именно этот вирус!

Если вы заметили, что папки на флешке стали ярлыками

Предположим, что вы заметили, что при открытии папок на флешки «вылетает» системная ошибка и лишь потом открывается папка. Посмотрите имеют ли папки значок ярлыка – это маленькая стрелка на значке папки в левом нижнем уголке.

Если подобных папок-ярлыков много или даже все – то вероятно, система заражена вирусом, а его распространителем служит ваша флешка.

Чистим флешку от вирусов

1. Для поиска и удаления подобного вируса рекомендую использовать несколько антивирусов: сначала сделайте полную проверку компьютера, установленным антивирусом. В моем случае это Аваст (см. рис. 2). Просканируйте системный диск C: и съемный носитель, т.е. вставленную флешку.

Если вирусы найдены, то удалите их. Разумеется, с зараженными файлами из системной папки Windows нужно обходиться аккуратно: полечить его сперва или поместит в карантин. Все остальные – можно смело удалять.

2. Вне зависимости был найден или нет вирус - проверьте систему любой другой антивирусной утилитой. Я рекомендую использовать CureIt. (http://www.freedrweb.com/download+cureit+free/).

Просканируйте этой утилитой системный диск C и флешку. Другие логические диски можно просканировать в другой раз, иначе удаление простого вируса может занять много времени.

3. После того, как систему проанализировали несколько антивирусных программ и возможно что-то было найдено, а может и нет, пора переходить к восстановлению скрытых папок на флешке, а заодно и почистить флешку от вирусов, которые могли не заметить сканеры антивирусов.

Как отобразить скрытые файлы и папки на флешке

Два слова скажу в чем тут дело и почему папки становятся скрытыми и невидимыми, а их место занимают ярлыки.

Логика подобного вируса проста, но в тоже время и неординарна. Попав на флешку через зараженный компьютер, он прописывает себя в скрытой папке RECYCLER , которую скрывает с помощью системного атрибута «Скрыть». В нее помещает экземпляр вредоносного кода (вирус) под любым названием. Таким образом он маскируется. Всем файлам и папкам, которые есть на флешке вирус задает атрибут «скрытый и системный» в результате чего они становятся невидимыми, т.е. скрытыми.

Потом, вирус создает ярлыки ко всем скрытым файлам и папкам и делает их видимыми, подставляя их вместо оригиналов. Неплохо задумано, правда?

Как только такую зараженную флешку вы вставите в компьютер, откроите ее и кликните по папке-ярлыку, сработает системная команда на запуск вируса из папки RECYCLER , а затем на открытие скрытой папки-оригинала. Если антивирус не среагирует на вирус, ваш компьютер будет заражен и последствия могут быть разные: от кражи паролей и до установки бэкдора для управления вашим компьютером.

Есть несколько вариантов как можно удалить вирус с флешки, а скрытые файлы сделать видимыми:

• С помощью командной строки
• С помощью загрузочного диска Live DVD (или загрузочной флешки)
• С помощью файловых менеджеров (Total Commander, Far и др.)

Лично я использую в работе загрузочный диск и флешку. Но так как этот способ требует наличие специального диска или специальной флешки, которые нужно смонтировать, для простого пользователя - это трудновато.

Поэтому я покажу вам другой более простой способ - с помощью файлового менеджера Total Commander .

Восстановление прежнего вида папок на флешке

1. Зайдите на сайт http://www.ghisler.com/850_b15.php и скачайте версию программы 32+64-bit (Combined installer Windows 95 up to Windows 8, 32-bit AND 64-bit!).

2. Установите ее. Даже если у вас уже установлена подобная программа, обновите ее. На рабочем столе появится ее значок (в некоторых случаях аж два).

3. Откройте программу, кликнув по ее значку. В окне программы нажмите на кнопку запуска по нужным номером (1, 2 или 3). Это небольшое неудобство позволяет нам бесплатно пользоваться этой программой.

4. В левом окне программы из выпадающего списка выберите вашу флешку.

5. На первый взгляд с флешкой все в порядке, папки на месте, файлов только нет, но это только так кажется. Если посмотреть внимательно, то можно заметить, что папки – это ярлыки так как у них расширение.Ink, а на самом деле у папок расширения нет.

Откройте раздел В окне настроек выберите раздел Содержимое панелей и правой части поставьте галочки напротив следующих параметров:

1. Показывать системные файлы

Теперь картина изменилась. У нас отобразились скрытые, системные файлы (при этом они могут быть и не системными, ведь им просто задали такой атрибут).

6. Удалите все папки-ярлыки с расширением Ink . Для этого удерживайте клавишу CTRL , а мышкой выделяйте нужные файлы. Нажмите клавишу DELETE на клавиатуре. Согласитесь на удаление.

7. Осталось восстановить прежний вид папок. Для этого достаточно снять с них атрибуты «скрытый, системный и др.». Стандартными средствами операционной системы Windows XP, 7 или 8 этого не сделать, а с помощью файлового менеджера Total Commander - легко.

Укажите (одноразовый клик по файлу левой кнопкой мыши) на любой файл и выделите все папки и файлы с помощью комбинации клавиш на клавиатуре CTRL+A .

Откройте раздел . Снимите все точки напротив значений:

• Архивный
• Только для чтения
• Скрытый
• Системный

И нажмите на кнопку ОК. Теперь файлы на флешке можно просмотреть с помощью простого Проводника.

8. Еще одна маленькая деталь. Остается удалить папку RECYCLER , в которой возможно находится вирус. Выделите папку RECYCLER с помощью правой кнопки мыши и нажмите на клавиатуре кнопку DELETE . Согласитесь на удаление всех файлов в этой папке. Если при удалении появится предупреждение, что файл так просто не удалить, тогда выберите кнопку «с правами администратора».

Вот и все! Вирус будет удален, а файлы благополучно восстановлены.

В завершении этого обзора, заранее хочу вас предупредить, если вы вдруг заметите, что на флешке пропали файлы или, как в данном примере, появились ярлыки вместо папок и файлов, НЕ СПЕШИТЕ ФОРМАТИРОВАТЬ свою флешку! Попробуйте с помощью данного способа вернуть все на свое место.

После использования на незнакомом компьютере любимой флешки многие пользователи с ужасом обнаруживают, что все хранившиеся на ней материалы каким-то странным образом улетучиваются, превращаясь в ярлыки, хотя объем занятого пространство при этом не меняется. В принципе удивляться здесь нечему. Виной всему вирус на флешке в виде Trojan.Radmin.13 или autorun , который попросту перенес все данные в невидимую для Windows папку. Можно ли от него избавиться? Конечно! Причем сделать это так же просто, как и восстановить на флешке после этого вируса всю исчезнувшую информацию.

Шаг № 1: Настройка отображения данных в Windows

Прежде чем восстановить после вирусной атаки данные на внешнем накопителе, может потребоваться установить новые параметры отображения скрытых папок и файлов на компьютере. В этом случае для начала нужно зайти в меню «Пуск», открыть раздел «Панель управления» и выбрать в нем «Параметры папок». После этого в появившемся окошке кликнуть вкладку «Вид», найти в контекстном меню параметры для скрытых каталогов и файлов и установить флажок напротив пункта «Показывать…». Далее снять галочку напротив строчки «Скрывать защищенные…» и щелкнуть мышкой кнопку «Применить»:

Завершив включение отображения скрытых папок и файлов, можно смело двигаться дальше.

Шаг № 2: Удаление вирусов с внешнего накопителя

После того как Windows окажется настроен для работы, нужно поработать над тем, как удалить вирус с флешки. В этом случае вылечить внешний накопитель от autorun можно при помощи любого установленного на компьютере антивируса. Это может быть:

• Avira;
• Norton Antivirus;
• NOD32;
• Антивирус Касперского;
• Dr.Web;
• Avast;
• Панда Антивирус и пр.

Базы сигнатур у этих программ сегодня практически одинаковые, поэтому каждой из них можно доверить распознать и удалить трояны, autorun и прочие вирусы на флешке. При этом процедура работы с этими антивирусами стандартна. Все, что потребуется – это установить на ПК антивирусную программу, настроить в ней автоматическую проверку внешних накопителей и уже после подключения флешки дождаться удаления с нее всех вирусов.

Также вылечить USB-носитель можно также с помощью специальных утилит. Например, убрать с флешки вирусы могут помочь такие программки со встроенным антивирусом, как AVZ , Virus Removal Tool от Лаборатории Касперского или Dr.Web CureIt :

При этом качественную защиту флешки от autorun обеспечат Antiautorun , FlashControl , Зоркий Глаз , . Последний антивирус, в частности, распаковывается на USB-носитель, что позволяет использовать для обеспечения безопасности при подключении к другим компьютерам:

Просканировать и вылечить внешний накопитель от вирусов можно и через интернет. В этом случае поиск autorun и прочих вирусов на флешке помогут выполнить такие онлайн-антивирусы, как Online Scanner от ESET, Security Scan от Kaspersky, Panda ActiveScan .

Вместе с тем если доступ к интернету органичен, внешний накопитель можно попытаться почистить и вручную. Для этого придется отыскать и удалить с флешки все ярлыки с разрешением (.lnk), неизвестные файлы в формате (.exe), autorun.inf и RECYCLER:

Шаг № 3: Восстановление материалов на внешнем накопителе

Подлечив флешку антивирусом или очистив его вручную от autorun, можно смело приступать к восстановлению скрытых на ней данных. В этом случае получить вместо ярлыков полноценные папки с «утерянной» информацией можно несколькими способами.

Вариант № 1: Отладка через командную строку.

Для того чтобы восстановить на внешнем накопителе данные, переходим в меню «Пуск», вбиваем в поисковую панель запрос cmd и нажимаем Enter. После этого в открывшуюся командную строку вводим значение cd /d A:\ (А – обозначение буквы нашей флешки), жмем Enter и выполняем либо команду dir /x /ad , а затем ren E2E2~1 NEWF , либо только команду attrib -s -h /d /s:

В любом случае в результате таких действий атрибуты для скрытых папок аннулируются, преобразовав в итоге ярлыки в действующие каталоги с данными.

Вариант № 2: Настройка через Total Commander

Одна из причин установить на своем компьютере – это возможность получить с помощью этого файлового редактора «утерянные» каталоги с файлами вместо пустых ярлыков. Так, для того чтобы восстановить данные на флешке, нажимаем в программке кнопку «Скрытые элементы», а затем открываем накопитель, который требуется привести в норму. Далее находим папку с красным восклицательным знаком, клацаем по ней правой кнопочкой мыши и выбираем вариант «Свойства» в появившемся контекстном меню:

Теперь в разделе «Атрибуты» снимаем галочку с пункта «Скрытый», жмем «Применить» и подтверждаем применение действия для всех внутренних файлов и папок:

В итоге вместо пустых ярлычков на флешке получаем потерянные нами каталоги. При этом несложно заметить, что исходя из этих функций, Total Commander можно использовать и для поиска скрытых вирусов, например, RECYCLER или autorun, заменяя таким образом антивирус.

Вариант № 3: Восстановление специальными утилитами

Для возобновления данных на флеш-накопителе вместо Total Commander можно установить на ноутбуке одну из утилит-реаниматоров, например, USB Hidden Recovery / Folder Fix , . Так, в первых двух программках достаточно выбрать флешку, которая нуждается в «реанимации», а затем запустить восстановление, нажав соответствующую клавишу:

Практически также просто исправить обнаружение скрытых материалов на накопителе и через утилиту . Процесс выполнения этой задачи с ее помощью будет выглядеть так:

Вариант № 4: Использование лечащего файла

После проверки флешки антивирусом и удаления autorun и прочих вирусов для восстановления скрытых документов можно воспользоваться лечащим bat-файлом, который содержит набор кодов для настройки параметров отображения скрытых каталогов:

Его можно либо скачать , либо создать вручную, сохранив указанный перечень команд в текстовом документе, а затем изменив его формат с (.txt) на (.bat). Так или иначе, чтобы способ заработал, необходимо переместить bat-файл на флешку.

Мы уже знаем, что существует семейство вирусов, которые специализируются по проникновению на переносные флеш устройства. , тогда мы восстанавливали скрытые папки и замещённые файлы.

В данном материале речь пойдёт об ещё одной разновидности вирусов, которые более серьёзно скрывают Ваши данные в частности папки. Вирус не изменяет атрибутов директории, а переименовывает папку запрещёнными символами от чего каталог становится невидимым системой…

Если Вы тоже попали в подобную ситуацию, то вполне может быть, что над содержимым Вашей флешки поработал вирус Trojan.Radmin.13 (по классификации ), который запаковал Ваши папки и файлы в невидимую операционной системой папку с оригинальным названием, состоящим из двух точек - «.. ». Другими словами, вирус запаковал Ваши данные в папку с названием, состоящим из символов, запрещенных в Windows.

Как восстановить пропавшие папки на флешки?

Во первых уточним сразу, что не во всех случаях папка может существовать в таком виде, возможно, что вирус мог удалить содержимое флешки полностью. В нашем случае папки можно восстановить и об этом свидетельствует отображаемый объём занятой памяти на устройстве.

Теперь по порядку:

1. Войдите в консоль командной строки. Для этого откройте окно «Выполнить» сочетанием клавиш Win+R
   Введите в строку – CMD и нажмите клавишу Enter
2. В появившемся окне командной строки введите:
   Букву вашей флешки, как она отображается в компьютере и двоеточие, например, F:
   
   
   
3. Далее там же введём команду:
   dir /x /ad
   
   • dir – команда, которая выводит все файлы и папки с подкаталогами
   • / x – параметр который выводит короткие имена для файлов, чьи имена не соответствуют стандарту 8.3
   • /ad — параметр, отображающий только список папок
4. После запуска команды у Вас должна появится папка с названием «E2E2~1 », которая и свидетельствует о том что именно благодаря вирусу ваши папки невидны!
   
   
   
   
5. набираем следующую команду:
   ren E2E2~1 NEWF
   • ren (rename) - команда, которая позволяет переименовывать как файлы так и каталоги
   • E2E2~1 - исходный каталог
   • NEWF - конечный каталог
6. запускаем выполнение клавишей Enter и закрываем окно командной строки.
7. Теперь останется проверить результат изменений путём открытия флешки через проводник или любой другой файловый менеджер.

Вместо послесловия

В большинстве случаев подобные манипуляции помогают разрешить проблему с пропавшими папками на флешке. Но как я уже упомянул выше, вирусы никогда не повторяются в своих действиях, поэтому не факт, что Вам поможет именно этот алгоритм действий.

После проверки USB флешки Антивирусом на ней пропали документы, файлы, папки
И как можно попытаться восстановить все это?

Порой, когда кто то из нас, обычных пользователей компьютера, запускает Антивирус и начинает проверять свою USB флешку, в конечном результате обнаруживает,что часть, или абсолютно все,что было на его драгоценнейшей флешке - просто куда то пропало!
Для многих это как минимум расстерянность, для некоторых это сущая беда, ведь все мы храним на наших карманных носителях абсолютно разную информацию, у кого то это игры, у кого то фото, которое в принципе можно найти заново, а у кого то бухгалтерские отчеты или другие не менее важные документы. В любом случае, для начала, я советую вам не впадать в панику и не усугублять случившееся лишними движениями, да-да - отложите на пару минут эту покореженную вирусом флешку для того чтобы узнать из этой статьи,как можно ее вылечить. Мне нужно Ваше внимание, читаем и повторяем как это написано ниже!

Как вернуть файлы обратно?

Давайте попытаемся вернуть пропавшую информацию. Обычно в таких случаях, папки и файлы остаются на месте, просто вы их не видите , так как вирусы подменяют их формат, изменяют статус на «скрытый ».

Есть два способа увидеть скрытые файлы. Как это делается, вы можете прочитать в другой моей статье: .

После того как отобразилась информация которая была скрыта, вам нужно будет изменить атрибуты, что бы все файлы были видны вам в обычном режиме.

Для этого выделите все видимые на флешке папки и другую информацию, нажмите правой клавишей мышки и выберите «свойства » .

Способ №2 - через Total Comander

Если делаете через Total Comander то: выбираете ваш USB носитель, далее «Выделение » затем «Выделить все », а затем «Изменить атрибуты ».

Убираете галочки с «Архивный », «Только для чтения », «Скрытый » и «Системный ».
Теперь информация должна отображаться как обычно.

Вариант для продвинутых пользователей:

Запускаем коммандную строку от имени Администратора, далее,

В ней пишем: «attrib -h -r -s /d /s #:\*.* », вместо # — ставите букву, которая обозначает вашу флешку. После этого вся информация будет видимой для вас.
Вы можете скачать уже готовый файл . Если скачали, распакуйте его (извлеките) на вашу флешку, а дальше дважды клацаем по нему мышкой и ждем окончания процесса.

Если первый вариант не подошел

Бывает и другой вариант, вирус переместил вашу информацию в папку с измененным именем. Это может выглядеть так «.. » или так «. ». Не суть важно, наша задача переименовать и все вернуть по местам.
Для этого понадобится командная строка, в которой мы пишем h: , вместо h вставляем букву которой у вас обозначена флешка

Вирус на флешке, ни для кого не сюрприз. Но вот остаться без важной информации, которая храниться на этой самой флешке, это тот еще казус. Мои знакомые, не однократно форматировали флешки после вирусов, не найдя там ни одного файла. А они могут быть просто скрыты вирусом... Как говориться в нашем деле лучше перебдеть чем недобдеть. И так... Вирус на флешке вылечили, либо удалили. Входим в корневой каталог, а там пусто. Как быть? Я не встречал вирусов, которые бы нахально стирали информацию с накопителей. Так что скорее всего ваши файлы скрыты. А значит надо их показать.

Показываем скрытые файлы и папки.
Для того чтобы показать скрытые файлы. В любом окне нажимаем кнопку Сервис

Затем выбераем Свойства папки...

Вкладка Вид

И нажимаем ОК

После этого все скрытые файлы и папки будут отображаться. И если вам повезет, то вы можете просто снять атрибут скрытый в свойствах папки или документа. Для этого, жмем правой кнопкой на нужный документ или папку и выбираем Свойства . Затем снимаем галочку возле атрибута Скрытый .

Но может быть так что данный атрибут файла убать будет невозможно или что еще хуже, Файлы и папки на флешке вовсе не будут отображаться. Тогда, прибегнем к помощи командной строки.

Открываем командную строку.

Для этого нажимаем сочетание клавиш Win+R . Получаем окно с названием Выполнить .

В поле для ввода пишем cmd

и нажимаем ОК

В командной строке переходим на нашу флешку.

Вводим X: (Где Х буква вашей флешки или диска) и нажимаем Enter
После этого вводим attrib -s -h -r -a /s /d , снова жмем Enter

Вот и все. Теперь атрибут Скрытый будет удален со всех файлов и папок на вашей флешке. Соответственно и все данные будут отображаться как положено. Если конечно они там есть.