Вітаю, вас дорогі читачі. Упевнений, що більшість користувачів у яких робота або хобі пов'язано з комп'ютером, зустрічалися з одним дуже шкідливим вірусом, який замість файлів на флешці створював ярлики. Ну, а самі файли, які не віддалялися, що дуже радує, а просто ставали невидимими, доступ до яких можна було отримати тільки включивши відображення прихованих файлів . До речі, про те як повернути флешку до попереднього стану я описав тут .

Зазвичай до мене приходили користувачі з флешкою ​​і просили просто відновити файли . Але, недавно мені на очі потрапив комп'ютер, в якому засів саме цей вірус - Microsoft Excel.WsF і при підключення будь-якого флеш-накопичувача він приховував на ньому всі можливі файли. Якщо чесно, я перший раз зустрів такий вірус безпосередньо, на самому комп'ютері.

При підключення флешки відразу було зрозуміло, що ПК заражений шкідливою програмою, тому як через мить на будь-якому підключеному пристрої всі документи і папки перетворювалися в ярлики. Вийнявши flash-накопичувач, я почав перевірку комп'ютера на наявність вірусів програмою Dr. Cureit . Вона знайшла кілька заражених файлів, але це все було не те (в основному bat-файли ярликів з рекламою для різних браузерів), звичайно, я їх видалив і запустив антивірус заново з повною перевіркою. Але, на мій подив, Cureit більше нічого не знайшов і сповістив, що загроз на комп'ютері, не знайдено, хоча проблема не зважилася і вірус (Microsoft Excel.WsF) як і раніше приховував файли.

Наступним кроком, була чистка папки з тимчасовими файлами, як в ручну так і утилітою CСleaner. Рекомендую, ознайомитися з керівництвом того: як почистити комп'ютер за допомогою різних утиліт. А так же, з його продовженням, де докладно описано, що можна зробити якщо сильно гальмує комп'ютер . Почистивши всі можливі папки від TEMP-файлів, вірус (Microsoft Excel.WsF) продовжував псує файли на флешка не звертаючи увагу на мене і на всі мої дії.

Як видалити вірус, який перетворює файли в ярлики, це питання ніяк не виходив у мене з голови. Але, зайшовши в автозавантаження комп'ютера я зрозумів, що все, насправді, дуже просто.

Отже, видаливши всі тимчасові файли в моїй улюбленій утиліті ССleaner, я перейшов на вкладку «Автозавантаження». Як виявилося в списку autoruna було дуже багато різних програм, починаючи від оновлень Google додатків і закінчуючи браузером Amigo і MailUpdate. Загалом, з усього цього списку я знайшов один дуже підозрілий процес під назвою «wscript.exe». Здивувало те, що в опис програми виробника вказано Microsoft Office. Здивувало мене це тим, що раніше такого процесу пов'язаного з Office я не зустрічав. Але подивившись на розташування файлу стало зрозуміло, що це і є та команда запускає вірусний скрип «Microsoft Excel.WsF», який перетворює файли в ярлики.

Що ж нам потрібно зробити, для видалення цього вірусу. Спочатку відкриваємо « Диспетчер завдань »І знаходимо процес під назвою wscript.exe, бачив його натискаємо на кнопку« Завершити процес ».

Далі, запускаємо CCleaner і заходимо в автозавантаження . І дивимося шлях до нашого файлу. У мене він був таким: З: \ Documents & Settings \ User \ Local Settings \ Application Data \ Microsoft Office \\ Microsoft Excel.WsF. Для Windows 7 і 8 такого: C: \ Users \ UserName \ AppData \ Roaming \ Microsoft Office \\ Microsoft Excel.WsF.

Зайшовши в цю папку видаляємо файлик, який був зазначений в дорозі, наприклад в моєму випадку це: Microsoft Excel.WsF. Не забудьте, відкрити доступ до відображення прихованих системних файлів, інакше ви його не побачите.

Так, перший крок з видалення вірусу перетворює файли в ярлики, зроблений. Тепер, повертаємося назад до автозавантаженні, де натиснувши на вірус правою кнопкою миші вибираємо «Відкрити в Regedit ...». В наслідок чого, перед нами відкриється редактор реєстру з виділенням потрібної для нас рядки. Тут, також просто видаляємо всі записи в яких зустрічаються слова Microsoft Excel.WsF. Ця дія повторюємо до тих пір, поки до реєстру не буде очищений від всіх записів де згадується назва вірусного файлу. У мене найшло його в двох місцях:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run;

Знову повернувшись назад до автозавантаженні ССleanera, відзначаємо пункт з процесом wscript.exe, і натиснувши на кнопку «Видалити» прибираємо повністю його з автозавантаження.

Тепер, закривши утиліту йдемо до папки з тимчасовими файлами користувача і повністю видаляємо все її вміст.

Windows7 і Windows 8: C: \ Users \ Ігор \ AppData \ Local \ Temp

Windows XP: З: \ Documents & Settings \ User \ Local Settings \ Temp

Ну і нарешті, не забудьте очистити кошик від тих файлів, які ми видалили. Після цього обов'язково перезавантажте ПК, і перевіряйте результат.

При наступному підключення флешки, всі файли повинні залишитися на своїх місцях. По крайней мере, мені це допомогло і поки все флешки опредиляется і працюють без будь-яких проблем. Але, якщо з'являться питання або Вам потрібна буде допомога, як завжди залишайте коментарі і я постараюся Вам допомогти. Вкотре, нагадаю Вам про підписці на сайт , Яка дозволить вам мати під рукою безкоштовні руковоство по відновленню робочого стану робочого або домашнього комп'ютера.