Вставил флешку — а там один ярлык с её именем. Папки исчезли. Ты кликаешь на ярлык, файлы как будто открываются — и думаешь: «Ну ладно, наверное, так и надо». Нет. Твою флешку только что заразили, и в этот момент вирус уже прописался в автозагрузку и начал майнить Monero на твоём процессоре.
Я разобрал этот вирус по частям и написал скрипт, который удаляет его полностью — включая майнер, скрытые файлы и всё, что осело в системе. Ниже — как это работает и как очистить.
Что тебе нужно:
- Хочу удалить вирус прямо сейчас → Скрипт-чистильщик
- Файлы на флешке исчезли, хочу вернуть → Как вернуть файлы
- Хочу понять, что вирус делает внутри → Анатомия вируса
- Хочу почистить вручную без скрипта → Ручная очистка
- Как не заразиться снова → Профилактика
Что именно происходит — разбор изнутри
Вирус называется Winset. Он распространяется через флешки и состоит из четырёх файлов, спрятанных в скрытой папке Winset\ на USB-диске.
Когда ты вставляешь заражённую флешку и кликаешь на ярлык — запускается цепочка из трёх скриптов:
- move.vbs — копирует вирус с флешки в папку %AppData%\Winset\ и запускает его на компьютере
- help.vbs — главный «сторож». Работает в бесконечном цикле: каждые 5 секунд проверяет, не убили ли остальные скрипты. Если убили — перезапускает. Прописывает себя в автозагрузку Windows через ярлык help.lnk
- install.vbs — «заражатель». Следит за подключением новых флешек через WMI и автоматически заражает каждую новую
А Winset.exe — это майнер XMRig. Он тихо добывает Monero в 2 потока. Именно поэтому компьютер чуть притормаживает, но не критично — специально, чтобы не заметили.
Адрес кошелька вшит прямо в код: 486tiedNcUd..., пул pool.minexmr.com:5555 (сейчас defunct, но кошелёк идентифицируется).
Важно: файлы с флешки никуда не удаляются. Вирус перемещает их в скрытую папку _\ — чтобы ты не паниковал и не начал разбираться. Файлы живы и восстанавливаются полностью.
Как вернуть файлы с флешки
Если нужно только достать файлы — без полной очистки системы — делаешь так:
Шаг 1. Открой Проводник → Вид → Параметры → Вид → поставь «Показывать скрытые файлы, папки и диски» и сними галочку «Скрывать защищённые системные файлы».
Шаг 2. На флешке появятся: ярлык, папка Winset\ и папка _\. Открой _\ — там все твои файлы.
Шаг 3. Перенеси файлы из _\ в корень флешки, удали папку Winset\ и вирусный ярлык.
Результат: все файлы возвращены. Но сам вирус на компьютере ещё жив — если подключишь другую флешку, она заразится снова. Нужна полная очистка ниже.
Скрипт-чистильщик — удаляет всё за 60 секунд
Я написал скрипт USB_Cleaner v10, который делает всё автоматически. Он работает в 6 этапов.
Что он делает по порядку:
- Завершает все вредоносные процессы одновременно — через WMI находит wscript.exe с help.vbs, install.vbs, move.vbs и отдельно убивает Winset.exe. Это важно: если убивать по одному, help.vbs успеет перезапустить убитый за 5 секунд
- Удаляет папку %AppData%\Winset\, ярлык help.lnk из автозагрузки, чистит ключи реестра HKCU\...\Run и HKLM\...\Run
- Рекурсивно обходит %TEMP%, %AppData%, рабочий стол, загрузки, документы — удаляет все копии help.vbs, install.vbs, move.vbs, Winset.exe
- Для каждой подключённой флешки: восстанавливает файлы из _\ в корень, удаляет папку Winset\ и вирусный ярлык, сбрасывает атрибуты скрытости командой attrib -h -s -r /s /d
- 20 секунд дежурит после очистки — если вставишь флешку в этот момент, она тоже автоматически очистится
- Всё найденное не удаляется, а перемещается в карантин C:\USB_Cleaner_Quarantine\ с датой и мета-файлом. Через 30 дней карантин самоочищается
Как запустить:
- Правой кнопкой → «Запуск от имени администратора»
- Подожди 30–60 секунд, скрипт выдает этапы , что делает.
- Вставь заражённые флешки — скрипт их подхватит и очистит
Обязательно от администратора. Без этого скрипт не сможет завершить процессы и почистить реестр — очистка будет неполной.
Нет пункта «Запуск от имени администратора» — что делать
Это частый вопрос. У файлов .vbs этот пункт в контекстном меню часто отсутствует — Windows его не показывает по умолчанию. Есть четыре способа, я рекомендую второй.
Способ 1. Через командную строку
- Нажми Win+S, введи cmd
- Правой кнопкой → «Запуск от имени администратора»
- В открывшемся окне введи: cscript "C:\путь\до\USB_Cleaner_v10.vbs"
Способ 2. Ярлык с правами администратора — один раз настроить, потом двойной клик:
- Правой кнопкой на рабочем столе → «Создать → Ярлык»
- В поле расположения напиши: cscript.exe "C:\путь\до\USB_Cleaner_v10.vbs"
- Дай имя: USB Cleaner (Admin)
- Правой кнопкой на созданном ярлыке → «Свойства»
- Вкладка «Ярлык» → кнопка «Дополнительно»
- Поставь галочку «Запустить от имени администратора» → ОК
Способ 3. Через PowerShell
- Win+S → PowerShell → правой кнопкой → «Запуск от имени администратора»
- Введи: cscript "C:\путь\до\USB_Cleaner_v10.vbs"
Способ 4. Вернуть пункт меню навсегда через реестр. В архиве со скриптом лежит готовый файл fix_vbs_runas.reg — запусти его двойным кликом и подтверди. После этого у любого .vbs файла появится нужный пункт в контекстном меню.
Результат: все процессы вируса завершены, файлы на флешках восстановлены, система очищена. Лог с подробным отчётом создаётся рядом со скриптом.
Ручная очистка — если не хочешь скрипт
Делать это надо быстро и все шаги сразу — иначе help.vbs будет перезапускать убитые процессы каждые 5 секунд.
Шаг 1. Открой Диспетчер задач (Ctrl+Shift+Esc). На вкладке «Подробности» найди и завершай: Winset.exe и все wscript.exe, у которых в пути есть help.vbs, install.vbs или move.vbs.
Шаг 2. Сразу после — пока вирус не перезапустился — открой Проводник и удали папку %AppData%\Winset\. Вставь этот путь прямо в адресную строку Проводника.
Шаг 3. Удали ярлык help.lnk из автозагрузки. Папка автозагрузки: %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
Шаг 4. Открой Редактор реестра (Win+R → regedit). Проверь два ключа на наличие записей Winset, help, install:
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Если есть — удали правой кнопкой.
Шаг 5. Очисти флешки по инструкции из раздела «Как вернуть файлы» выше.
Результат: вирус удалён. Проверь перезагрузкой — если Winset.exe снова появился в диспетчере задач после рестарта, значит пропустил один из файлов. Запусти скрипт — он найдёт остатки.
Как не заразиться снова
Этот вирус распространяется только через клик на ярлык с иконкой папки. Одно правило полностью убирает риск:
При подключении флешки — никогда не открывай её двойным кликом. Вместо этого: правая кнопка на флешке → «Открыть». Это обходит запуск ярлыков.
Ещё несколько вещей:
- Включи отображение расширений файлов: Вид → Параметры → Вид → снять галочку «Скрывать расширения для зарегистрированных типов файлов». После этого ярлык будет называться ФЛЕШКА.lnk — сразу видно, что это не папка
- Включи отображение скрытых файлов — тогда папка Winset\ будет видна сразу при открытии флешки
- Если флешка пришла от незнакомого человека или с работы — сначала проверь скрытые файлы, прежде чем кликать на что-либо
Итог: вирус не сложный, но хитрый в деталях. Он не ломает файлы, а прячет их, и перезапускает себя каждые 5 секунд. Именно поэтому ручная очистка часто не работает: убиваешь один процесс, через 5 секунд он снова жив. Скрипт убивает все сразу.
Что вирус делает — коротко
- Прячет файлы флешки в папку _\ — скрипт восстанавливает их обратно
- Копирует себя в %AppData%\Winset\ — скрипт удаляет эту папку
- Прописывается в автозагрузку через help.lnk — скрипт удаляет из автозагрузки
- Запускает майнер Winset.exe — скрипт завершает процесс
- Заражает каждую новую флешку — скрипт очищает все подключённые USB
- Перезапускает себя каждые 5 секунд — скрипт убивает все процессы одновременно
Сталкивался с этим вирусом? Напиши в комментариях — какие файлы были на флешке и удалось ли восстановить. Если скрипт не справился или нашёл что-то новое — тоже напиши, обновлю версию.
IT-специалист с 1996 года. Другие решения Windows-проблем — на kosovov.ru.