Компьютерный вирус (червь). Лечение

Сейчас по МИРЭА странствует один псевдо червь, на первый взгляд он не опасен (не сильно вникал в код). Пока он просто распространяется. Файлы с нагрузкой пусты, но возможно это не надолго.

Лечение нужно начинать с компьютера.

Как определить наличие данного вируса на компьютере:
На диске C лежит папка SystemPC. Полный пусть: “C:\SystemPC

Лечение зараженного компьютера:

  1. Удалить папку “C:\SystemPC”
  2. Открыть реестр (regedit.exe)
    2.1 Отрыть пусть “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”
    2.2 Удалить 2 записи “prog” и “onFlash”

Как определить наличие данного вируса на флэшке:
На флэшке пропали все файлы, но появилась одна папка(ярлык) с названием “Document”.

Лечение зараженной флэшки:

  1. НЕ ОТРЫВАЯ ПАПКУ НА ФЛЕШКЕ перейти в директорию “X:\Document” (X - буква флэшки)
    1.1 Если есть папка SystemPC, то удалить.
  2. Выделить все файлы
  3. Вырезать
  4. Вставить все файлы в корень флэшки
  5. удалить ярлык Document

Чуть позже напишу скрипт по удалению данного червя и скину сюда и к себе в группу.

Файлы “вируса”.

Пароль

4221

SystemPC.7z (1.9 КБ)

UPD: Описанный выше способ не удаляет на флэшке скрытые папки “X:\Document” и “X:\Document\SystemPC”. У нас нет возможности написать максимально простой способ удаления данных скрытых папок.

Но скрипт по очистке написан и он решает данную проблему. За основу был взят скрипт заражения и переписан на уничтожение себе подобных.
Использование:

  1. Скачать архив Clean.7z (1.3 КБ)
  2. Разархивировать скрипт Clean.js. (пароль: SyntOwl)
  3. Запустить как обычную программу.
7 Likes

Линуксогосподин вкатывается в тред, попутно хихикая над майкрософтодетишками)

Была сейм хуйня в школе, учители флешки боялись в пк воткнуть. Информатик сказал, что panda av позволяет блочить AUTORUN.EXE на флешке, так что вирус не пройдет

1 Like

Гений компьютерной криминалистики

1 Like

Вот так и появится новый конкурент Касперскому и другим антивирусам :slight_smile:

5 Likes

Очень полезная статья. Взял флешку, которая втыкалась только у меня и в типографии, так там он и засел. Я сам не использую антивирусы, т.к. обычно такие угрозы из интернета исходят, а я просто сайты пробиваю по базам или сижу на проверенных, так что не стал заморачиватся. Но вот забыл про старейший способ и поплатился.
Благо вы помогли, огромное вам спасибо!

Есть какое-то понимание того, в каких аудиториях уже был замечен вирус?

В аудиториях где я на него натыкался - уже вычистил скриптом, что лежит в топике.

1 Like