Я устал уже с ним бороться. Вроде снёс на всех машинах в школе, а через некоторое время он опять размножается. Размножается, потому что его опять приносят в школу. Кто приносит? Учителя конечно.
Знакомьтесь, это вирус из семейства FUST. Ну как он на самом деле называется я не знаю, просто его приносят на флешке и на заражённой флешке же и находиться такой архив FUST.zip, а также скрытая папочка ShellNew. Да вот сами посмотрите:
Я не успел заскринить всю флешку с заражёнными файликами, точнее не файликами, а подменёнными этим вирусом папками.
Ведь обычно, обычно, по умолчанию в системах Windows отключено отображение скрытых папок и файлов, вот так выглядит заражённая флешка в Ubuntu:
Вот эти самые VBS-ы имеют точно такое же имя как и папки на вашей флешке, и выглядят в точности как папки, и человек думая что щёлкает мышкой по папке на самом деле запускает вирусный скрипт.
Вот как это вирусная флешка выглядит в Windows:
Для того чтобы просто удалить вирус на флешке достаточно удалить все эти vbs-ы, архив fust.zip и папку ShellNew. И флешка будет чиста.
Но если пользователь на своём компьютере сам же и запустил на выполнение этот вирус, думая что открыл какую то папку, то будет немного сложнее, включаю Касперского:
Как узнать что ваш компьютер заражён каким то вирусом вообще? Для этого достаточно посмотреть программы которые загружаются при включении компьютера, проще всего это сделать какой либо утилитой, например бесплатной Glary Utilites.
Качаем тут:
Запускаем на установку, далее далее, но вот на этом экране прошу убрать галочку где отметил, установится мусорный софт
Запускаете менеджер автозапуска и смотрите что находится в автозагрузке:
И смотрите какие программы запущены, и какие библиотеки (файлы dll загружаются).
Если запущена какая нибудь программа типа wqertzhf.exe или файлик типа dfgrtmxp2.dll это наш "клиент". Отключаете его переключателем:
После этого перезагружаете компьютер, всё. Теперь вирус обезврежен, но не уничтожен для уничтожения идём в скрытую папку AppData своего пользователя, предварительно включив отображение скрытых и зашифрованных папок и файлов, ну и на всякий пожарный чтобы отображались расширения файлов:
Всё и идём в диск C в папку Пользователи выбираем имя пользователя, потом идём в папку AppData, а потом в папку Roaming:
Так вот в этой папке не должно быть никаких посторонних файлов ,если есть какой либо файл, удаляйте его.
Если будет какой либо файл с расширением dll убейте его удалив.
Собственно всё. Вирус уничтожен.
Ни Касперский, ни Dr.Web, ни любой другой антивирус не выведет его на заражённом компьютере, пока вы сами пальчиками его не удалите, вирус конечно же появится вновь, если его опять запустят с заражённой флешки, щёлкнув на папку, которая не является папкой.
Что находится в архиве FUST.zip, и в папке ShellNew? Там несколько папок с теми самыми VBS и видимо распаковывающийся файл, вот они:
Да я забыл сказать что в папке Windows тоже появляется, а может и бывает с самого начала эта самая папка ShellNew, вот её содержание:
Я её тоже обычно удаляю, или её содержимое, на всякий случай.
Не знаю, сегодня опять обнаружил этот вирус на школьном компьютере, точнее флешке учительницы, чисто случайно, компьютер чист, видимо на домашнем подцепила, в понедельник принесут и посмотрю, что да как там. Если что дополню публикацию.
Долгожданное продолжение!
Сегодня был свидетелем того как учительница пыталась отправить по почте папку с файлами, прикрепив её к письму!!!
Но браузер в майле упорно показывал прикреплённые файлы типа xxx.vbs yyy.vbs.
Я нашёл человека, который вероятно и заражал школу, вот на компьютере у него эта dll-ка:
Просто так его не удалить надо исключить его из автозагрузки, а потом перезагрузив компьютер просто удалить.
Вот в автозагрузке:
Спасибо за внимание.
Всем ни вируса и ни антивируса (чтоб не засорять память компьютера).
Не болейте короче.
