Как удалить вирус ярлыков с USB-накопителя

USB-накопители удобны для переноса документов и медиа. Но они часто заражаются разными вредоносными программами — один из наиболее распространённых и скрытных видов — «вирус ярлыков». Этот вирус прячет ваши файлы и заменяет их ярлыками (.lnk), которые при запуске могут запускать вредоносный код.

Короткое определение: вирус ярлыков — вредоносная программа, которая делает видимыми только ярлыки вместо оригинальных файлов и обычно внедряет autorun-инструкции или скрипты.

Что происходит при заражении

• Оригинальные файлы становятся скрытыми (атрибуты H, S, R).
• Появляются ярлыки (.lnk) с тем же именем, которые часто перенаправляют на вредоносный исполняемый файл.
• При подключении флешки к другим компьютерам вирус может распространяться дальше.

Важно: не открывайте ярлыки и не запускайте неизвестные EXE-файлы с заражённого носителя.

Как распространяется вирус ярлыков на USB

• Подключение флешки к заражённому компьютеру.
• Скачивание программ из ненадёжных источников, где вредонос включён в комплект.
• Клики по всплывающим окнам, баннерам и ссылкам в подозрительных письмах.
• Отключённый или неактивный антивирус повышает риск заражения.

Подготовка перед лечением

Important: прежде чем предпринимать действия, если на устройстве есть важные данные — сделайте побитовую копию (image) или простой копии видимых файлов на другой носитель. При форматировании все данные будут удалены.

Примечание: сохраняйте USB подключённым до завершения всех операций, если это указано в инструкции.

1. Форматирование USB (самый простой способ)

Форматирование полностью удаляет содержимое и любой сопутствующий вредоносный код. Используйте, если данные уже скопированы или не нужны.

Шаги:

1. Нажмите Windows + E, чтобы открыть Проводник.
2. Слева выберите «Этот компьютер», найдите ваш съёмный диск.
3. Правой кнопкой по накопителю → «Форматировать».

4. В открывшемся окне в поле «Файловая система» выберите NTFS (или FAT32/exFAT по вашей потребности). Отметьте «Быстрое форматирование», нажмите «Начать».

5. Подтвердите действие. После завершения выньте и вставьте флешку — вирус должен исчезнуть.

Когда форматирование не помогает: возможно, заражён сам компьютер — форматируйте только после проверки ПК антивирусом.

2. Устранение через CMD (сохранение файлов)

Этот метод часто восстанавливает видимые файлы, удаляя атрибуты и autorun-файлы.

Important: запускайте командную строку от имени администратора.

Шаги:

1. Нажмите Пуск, введите cmd, правой кнопкой → «Запуск от имени администратора».

2. На запрос контроля учётных записей нажмите «Да».
3. Переключитесь на букву флешки (замените H на букву вашей флешки):

H:

4. Удалите autorun-файл, если он есть:

del autorun.inf

5. Сбросьте скрытые и системные атрибуты у всех файлов на флешке:

attrib -h -r -s /s /d H:\*.*

Примечание: если команды не сработают, попробуйте заменить autorun.inf на маску имени, например:

del *.exe

или

del *.lnk

После успешного удаления запустите проверку антивирусом и затем, если осталось много скрытых объектов, выполните форматирование.

3. Остановка подозрительных процессов и удаление ключей реестра

3.1 Через Диспетчер задач

1. Правой кнопкой по панели задач → «Диспетчер задач».
2. В списке процессов найдите wscript.exe, wscript.vbs или незнакомые процессы с расширением .exe/.vbs. Правой кнопкой → «Снять задачу».

3. Переключитесь на вкладку «Автозагрузка» и отключите подозрительные элементы.

3.2 Редактирование реестра

NOTE: сделайте резервную копию реестра перед изменениями.

1. Нажмите Windows + R, введите:

regedit

2. Перейдите в адрес:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

3. Ищите подозрительные значения (например с произвольными именами вроде OUzzckky). Правой кнопкой → «Удалить».

4. Перезагрузите компьютер.

3.3 Удаление временных файлов

1. Windows + R → введите:

%temp%

2. Удалите всё из папки временных файлов (Ctrl+A → Delete).

Это уменьшит вероятность восстановления вредоносных скриптов и поможет очистить следы заражения.

4. Создание и запуск BAT-файла (удобно для дома)

BAT-файл выполняет те же команды быстрее и удобнее.

Шаги:

1. Правой кнопкой по рабочему столу → «Создать» → Текстовый документ.

2. Откройте файл и вставьте код, заменив G на букву вашей флешки:

@echo off

del *.lnk

attrib -s -r -h G:\*.* /s /d /l

@echo complete

3. «Файл» → «Сохранить как» → имя с расширением .bat, тип — «Все файлы».

4. Закройте блокнот и дважды кликните .bat для запуска.

После выполнения проверьте флешку: оригинальные файлы должны стать видимыми, а ярлыки удалены.

Что делать, если методы не сработали

• Проверьте сам компьютер антивирусом (обязательно полная проверка с обновлёнными базами).
• Подключите флешку к Linux (Live USB). Linux не запускает Windows-авторун, и часто позволяет увидеть и скопировать скрытые файлы.
• Попробуйте специализированные утилиты для восстановления файлов (только с чистого компьютера и после проверки антивирусом).

Когда не сработает CMD/BAT: это значит, что вирус имеет дополнительный загрузчик или скрыт в системных разделах — тогда форматирование или восстановление образа до чистого состояния будет безопаснее.

Альтернативные подходы и когда их применять

• Использовать надёжный антивирус с функцией «лечения» носителей — удобно для пользователей без технического опыта.
• Загрузиться с Live Linux и скопировать данные — безопаснее для извлечения важных файлов.
• Восстановление из резервной копии — если у вас есть свежая копия данных, проще вернуть файлы и отформатировать флешку.

Мини-методология (быстрый чек-лист)

1. Не запускайте ярлыки с флешки.
2. Скопируйте видимые файлы на чистый диск при возможности.
3. Просканируйте ПК на вирусы.
4. Попробуйте CMD/BAT для восстановления атрибутов.
5. Если не помогло — форматируйте.

Ролевые чек-листы

Для домашнего пользователя:

• Отключите интернет при работе с заражённой флешкой.
• Скопируйте файлы на другой носитель.
• Выполните BAT или CMD.
• Проверьте файлы на антивирусе.

Для IT-специалиста:

• Сделайте побитовую копию флешки.
• Проведите детальную проверку системы (антималвар, EDR).
• Исследуйте автозапуск и реестр.
• Обновите политики групповой безопасности, чтобы запретить автозапуск носителей.

Критерии приёмки (как понять, что проблема решена)

• Оригинальные файлы видимы и открываются.
• Флешка больше не создаёт новых .lnk или autorun-файлов после подключения.
• Антивирус не обнаруживает угроз при полном сканировании и при подключении флешки.

Тестовые сценарии и случаи приёма

1. Подключить заражённую флешку к чистой виртуальной машине, выполнить BAT → файлы должны стать видимыми.
2. Выполнить полное сканирование ПК после лечения — результат «нет угроз».
3. После форматирования подключить флешку — файлов нет, автоматически создаваемых .lnk нет.

Безопасность и профилактика

• Отключите автозапуск (autorun) в Windows через политику или реестр.
• Используйте современный антивирус с защитой в реальном времени и сканированием съёмных носителей.
• Не подключайте флешки к неизвестным или общественным ПК.
• Регулярно делайте резервные копии важных данных.

Примечания по конфиденциальности

Если на флешке есть личные данные, обрабатывайте их в соответствии с требованиями защиты персональных данных (GDPR и локальные правила). При передаче флешки в сервис для восстановления уточните условия обработки данных.

Дополнительные советы и рекомендации

• Если вы часто переносите конфиденциальные документы, шифруйте носители (BitLocker, VeraCrypt).
• Настройте контроль доступа на уровне ОС и используйте сложные пароли.
• Обучите пользователей не открывать неизвестные файлы с USB.

Факто-бокс

• Вирус ярлыков обычно меняет атрибуты файлов на скрытые/системные.
• BAT/CMD методы часто восстанавливают доступ без потери данных.
• Форматирование — надёжный, но радикальный способ.

Decision flow (микро-дерево действий)

flowchart TD
  A[Подключили флешку и увидели ярлыки] --> B{Есть ли резервная копия?}
  B -- Да --> C[Форматировать флешку]
  B -- Нет --> D[Скопировать видимые файлы]
  D --> E{Файлы скопированы?}
  E -- Да --> C
  E -- Нет --> F[Попробовать CMD/BAT]
  F --> G{Восстановились файлы?}
  G -- Да --> H[Проверить антивирусом и удалить автозапуск]
  G -- Нет --> C

Когда стоит обратиться за помощью

• Если не получается удалить вирус командой и ярлыки продолжают появляться.
• Если на флешке хранятся критичные данные и вы не уверены в самостоятельных действиях.

Если нужно — могу подготовить короткую инструкцию для раздачи пользователям в офисе (руководство в 1 странице) или шаблон политики по запрету автозапуска.

Читайте также:

• Как исправить ошибки, связанные с файлом LibGLESv2.dll
• Omen Gaming Hub падает на ПК: 6 способов исправить
• ERROR_CARDBUS_NOT_SUPPORTED: 6 лёгких способов исправить BSoD
• Как восстановить кнопку Omen Gaming Hub, если она не работает?

В случае дополнительных вопросов оставьте комментарий — поможем с диагностикой.