helper.vbs , movemenoreg.vbs, что это за файлы на флешке?

Столкнулся сегодня с такой проблемой. У пользователя файлы с флешки переместились в скрытую папку, а антивирус нашел файлы helper.vbs, monemenoreg.vbs, installer.vbs. Это вирус при запуске которого заражается в том числе и компьютер (и прописывается в отдельную папку, который потом достаточно сложно удалить с компьютера)

Раширение vbs – это скрипт, при запуске которого будет выполняться код заложенный внутри. Такой скрипт – это обычно встроенная функция системы, но айтишники с низкой социальной ответственностью часто создают подобные скрипты для своих низменных целей.

  1. Задача подобного скрипта – скрытие содержимого всей флешки, затем создание ярлыка с названием вашей флешки с целью запуска вашими же руками этих скриптов.
  2. При этом если зайти в свойства этого ярлыка, то происходит запуск скрипта из файла movemenoreg.vbs поэтому запускать этот ярлык – не стоит.
  3. Ваши файлы с флешки никуда не пропали, просто им присвоен аттрибут – скрытый и системный

На флешке ярлык может выгладить и без названия.

Вы запустили исполняемый файл, и теперь компьютер заражен, так как же удалить скрипт ? – ниже инструкция

  1. Запускаем командную строку от администратора (нажатием клавиш Win+R) затем в строке выполнить пишем – cmd.
  2. Прописать команду которая снимет атрибут скрытого/системного с папки в которой находится исполняемый скрипт helper.vbs
  3. Удаление файлов и папок скрипта.

USER_NAME – имя вашей учетной записи

После открытия командной строки выполняйте по очереди следующие команды:

attrib -s -h -a -r /d /s c:\Users\USER_NAME\Appdata\Roaming\WindowsServices

attrib -s -h -a -r /d /s c:\Users\USER_NAME\Appdata\Roaming\WindowsServices\installer.vbs

attrib -s -h -a -r /d /s c:\Users\USER_NAME\Appdata\Roaming\WindowsServices\helper.vbs

attrib -s -h -a -r /d /s c:\Users\USER_NAME\Appdata\Roaming\WindowsServices\movemenoreg.vbs

После выполнения данных команд – все файлы и папка WindowServices станет видна, и можно будет ее удалить. Найти ее можно по следующему адресу: Заходим на диск С, затем папка users (или Пользователи) – папка с именем вашей учетной записи – Appdata – Roaming – и вот тут вы увидите папку WindowsServices, которую можно смело удалять

После выполнения вышеуказанных действий настоятельно рекомендую проверить компьютер антивирусными программами.

Рейтинг
( Пока оценок нет )
Загрузка ...
Блог системного администратора