Компьютерный вирус (червь). Лечение

Сейчас по МИРЭА странствует один псевдо червь, на первый взгляд он не опасен (не сильно вникал в код). Пока он просто распространяется. Файлы с нагрузкой пусты, но возможно это не надолго.

Лечение нужно начинать с компьютера.

Как определить наличие данного вируса на компьютере:
На диске C лежит папка SystemPC. Полный пусть: “C:\SystemPC

Лечение зараженного компьютера:

  1. Удалить папку “C:\SystemPC”
  2. Открыть реестр (regedit.exe)
    2.1 Отрыть пусть “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”
    2.2 Удалить 2 записи “prog” и “onFlash”

Как определить наличие данного вируса на флэшке:
На флэшке пропали все файлы, но появилась одна папка(ярлык) с названием “Document”.

Лечение зараженной флэшки:

  1. НЕ ОТРЫВАЯ ПАПКУ НА ФЛЕШКЕ перейти в директорию “X:\Document” (X - буква флэшки)
    1.1 Если есть папка SystemPC, то удалить.
  2. Выделить все файлы
  3. Вырезать
  4. Вставить все файлы в корень флэшки
  5. удалить ярлык Document

Чуть позже напишу скрипт по удалению данного червя и скину сюда и к себе в группу.

Файлы “вируса”.

Пароль

4221

SystemPC.7z (1.9 КБ)

UPD: Описанный выше способ не удаляет на флэшке скрытые папки “X:\Document” и “X:\Document\SystemPC”. У нас нет возможности написать максимально простой способ удаления данных скрытых папок.

Но скрипт по очистке написан и он решает данную проблему. За основу был взят скрипт заражения и переписан на уничтожение себе подобных.
Использование:

  1. Скачать архив Clean.7z (1.3 КБ)
  2. Разархивировать скрипт Clean.js. (пароль: SyntOwl)
  3. Запустить как обычную программу.
9 Likes

Линуксогосподин вкатывается в тред, попутно хихикая над майкрософтодетишками)

Была сейм хуйня в школе, учители флешки боялись в пк воткнуть. Информатик сказал, что panda av позволяет блочить AUTORUN.EXE на флешке, так что вирус не пройдет

2 Likes

Гений компьютерной криминалистики

2 Likes

Вот так и появится новый конкурент Касперскому и другим антивирусам :slight_smile:

6 Likes

Очень полезная статья. Взял флешку, которая втыкалась только у меня и в типографии, так там он и засел. Я сам не использую антивирусы, т.к. обычно такие угрозы из интернета исходят, а я просто сайты пробиваю по базам или сижу на проверенных, так что не стал заморачиватся. Но вот забыл про старейший способ и поплатился.
Благо вы помогли, огромное вам спасибо!

Есть какое-то понимание того, в каких аудиториях уже был замечен вирус?

В аудиториях где я на него натыкался - уже вычистил скриптом, что лежит в топике.

1 Like

Тоже заразился этим вирусом, но у меня всё не так радужно. Удалил всё по инструкции, но проблемы остались, а именно: компьютер перестал переходить в сон, вместо этого по нажатию кнопки переходит в режим нет на месте; иногда при поиске в браузере через пару секунд вкладка дублируется; стала выскакивать ошибка “windows не удаётся получить доступ к указанному устройству пути или файлу” на ровном месте.
Пытался исправить при помощи интернета, но пока безуспешно. Помогите, пожалуйста, если знаете, как решить.

Вряд ли это конкретно этот вирус. По этому сразу предложу с подобным вопросом лучше обратиться на специализированный форум. Там достаточно оперативно решают подобные вопросы. Главное изначально прочитать правила оформления запроса и сделать всё что там требуется.

1 Like

Не так давно (в декабре) джавист просил всех скинуть свои отчеты на флешку, где именно мной был найден вирус. Как? Я linux-user, так что все скрытые папки для винды я вижу. Починил флешку путем бекапа на основной диск ноута и формата флешки. Так что флешку вылечить вообще не проблема, шинду как лечить вам виднее. Знаю, что если отключить автозапуск прог с флешки, то вирус не сможет попасть.

1 Like

Ура асам линукса

1 Like

Благодарю ><

в МИРЭА я конечно не учусь, обожаю регистрироваться на форумах для всех случаев жизни. Поймал этот вирус, когда взял у трудовика флешку, который попросил меня ему фильм нарезать (что-то по истории, Рюриковичи). Вставил флешку в комп и вижу папку Documents. В итоге у меня было заражено 4 флешки и ноутбук с компьютером.

Вывод: червь не опасен, но у меня очень назойливый с ошибкой “не удалось открыть сценарий onFlash.js”

3 Likes

На фрунзе в А 401 точно
Там и подхватил
И, возможно, в А 63

Страшнее Ковида, ёмоё

1 Like

Для сохранения прогресса на компах в унике и для деплоя своих проектов на компах в аудитории юзал файлопомойку на своем серве с одноразовым входом по аутентификатору. Nextcloud эти вещи умеет. Если есть возможность — охотно рекомендую.

Почитав пост, удивлен, что такие штуки не пресекаются со стороны системных администраторов. Удивительно, что пейлоада никакого прикольного нет, ибо приколистов у нас в унике не мало. А так, мне бы, как безопаснику в первую очередь, было бы интересно посмотреть на масштабы заражения.

1 Like

Ну, с учётом того, что сделали его явно на вернадке, а подхватить его можно на фрунзе(видимо через копирку у метро) и на Стромынке( слухи доходили) то очень даже неплохо.

Подхватил этот вирус в корпусе на пироговке. Либо в кабинете А-401, либо в А-331. Первый раз подцепил и появились все симптомы, которые тут описаны. Флешку вылечил, думал все збс. Но попутал бес (в аудитории не работал инет, а работу надо было скинуть) через две недели опять подцепил. Уже стопроцентно в А-331. Только симптомы немного другие. Создался ярлык с названием USB-накопитель. И не лечится способом, который тут описан.

Нужна вакцина - вирус, который действует так же, но безвредный

Цепанул в А-337