990x.top

Простой компьютерный блог для души)

movemenoreg.vbs, helper.vbs, installer.vbs — что это за файлы на флешке?

Приветствую. Я постараюсь написать простую инструкцию о том как удалить вирус, который создает ярлык на флешке.

movemenoreg.vbs, helper.vbs, installer.vbs — что это такое?

Файлы вируса, который создает на флешке ярлык (название может быть как у самой флешки), при запуске которого вы можете заразить ПК вирусом. Содержимое флешки при этом скрыто, иногда к нему можно получить доступ если вы запустите вирусный ярлык.

Расширение файла vbs это скрипт (Visual Basic Script), при запуске которого будет выполняться то, что прописано внутри файла. Такие скрипты VBS — встроенная функция Windows, но вирусописатели иногда используют такие скрипты и для своих нехороших целей.

Важно понимать

1. Часто схема таких вирусов — скрытие содержимого флешки и создание ярлыка с таким названием, чтобы вы по нему нажали.
2. При этом, если зайти в свойства ярлыка, то можно увидеть — происходит запуск некого скрипта, часто это именно movemenoreg.vbs. Поэтому запускать ярлык ни в коем случае нельзя.
3. На самом деле кроме ярлыка на флешке также могут присутствовать файлы/папки, но вы их не видите, так как им присвоен атрибут скрытый и системный. Увидеть их можно только если на ПК включен показ скрытых файлов/папок.

На флешке ярлык может быть вообще без названия:

Может показаться что какая-то системная ошибка и нужно просто еще раз зайти на флешку. На это и рассчитано, если так сделаете, то ПК будет заражен вирусом.

Удаляем вирус с ПК

Может у вас и не будет вируса на компе. Но лучше проверить и если обнаружите — то сперва удалите вирус с компа, а потом уже заняться флешкой.

1. Запускаем командную строку от администратора. В Windows 10 просто нажмите правой кнопкой по пуску и там будет пункт Командная строка (администратор).
2. Прописываем команды, которые снимут атрибуты с папки вируса — WindowsServices.
3. Удаляем файлы и папку вируса.

Важно: USER_NAME — имя вашей учетной записи.

В командной строке выполните такие команды (выполняйте по очереди):

attrib -s -h -a -r /d C:\Users\USER_NAME\AppData\Roaming\WindowsServices

attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\installer.vbs

attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\helper.vbs

attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\movemenoreg.vbs

Когда все атрибуты сняты — вирусные файлы и папка станут видны и их можно будет удалить. Советую сразу удалять папку WindowsServices. При проблемах с удалением используйте утилиту Unlocker (при установке снимите галочку чтобы не поставился Delta Toolbar).

После всех действий настоятельно рекомендую проверить ПК антивирусными утилитами AdwCleaner, HitmanPro, Dr.Web CureIt!.

Получаем доступ к файлам флешки

1. Открываем флешку.
2. Рядом с ярлыком создайте текстовый документ с любым названием. В конце названия должно быть .txt, если этого нет — включите отображение расширений файлов (в интернете море инструкций как это сделать). Ваша задача — создать текстовый документ и чтобы было видно разрешение файла, например test.txt (test — просто название файла).
3. Теперь откройте текстовый документ и пропишите внутри команду: attrib «*» -s -h -a -r /s /d , потом закройте документ и сохраните изменения.
4. Теперь у текстового документа смените окончание .txt на .bat, например у вас был файл test.txt, а вы переименуйте его в test.bat.
5. Запустите переименованный файл (должно появиться черное окошко). После — все файлы/папки на флешке должны стать видимыми.
6. Теперь на флешке найдите папку с вашими файлами. Скопируйте их всех на ПК в какую-то отдельную папку. Саму флешку — форматируйте (правой кнопкой по флешке > пункт Форматировать). Форматировать советую используя кластер 4К и файловую систему NTFS.

Когда все файлы на флешке покажутся видимыми, то вы можете увидеть папку с названием WindowsServices — ее нужно удалить:

Здесь видим, что ярлык и правда имеет название самой флешки. В папке с названием — (тире или нижний пробел) скорее всего содержатся все ваши файлы, которые были на флешке. Ну а папка System Volume Information — служебная, ее можно тоже удалить.

Windows services movemenoreg vbs

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду.

Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени.

Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка

Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт:

Сохраняем его как run.bat и держим под рукой.

Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр:

1. «Пуск» — «Выполнить» и пишем «regedit»;
2. Открываем путь
3. Заходим в раздел Explorer, а если его нет — создаём новый раздел и переименовываем в «Explorer»;
4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

1. скопировать run.bat в корень флешки и запустить;
2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
4. теперь осталось удалить с корня все файлы, кроме этой папки.
5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Помогла программа UsbFix (ССЫЛКА_УДАЛЕНА) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Осторожно, вычищает всё ненужное из автозагрузки.

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей!

Прим. от 02 октября 2015 года: ссылку на программу удалил. Сейчас там нельзя её скачать, а идёт вечное перенаправление с одного сайта на другой.

Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства — отказались их брать. И так победили эту заразу.

Вирус создает на флешках ярлык %COMSPEC% /C .\WindowsServices\movemenoreg.vbs

Вложения

CollectionLog-2019.05.29-11.51.zip (54.8 Кб, 12 просмотров)

Вирус создает на флешках файлы с названиями папок и расширением .vbs
Здравствуйте, с недавнего времени на нескольких компьютерах локальной сети появился вирус, который.

Вирус создает в каждой папке ярлык MyMusic и ярлык папки в которой находиться
Вирус создает в каждой папке ярлык MyMusic и ярлык папки в которой находиться. Оба ярлыка ссылаются.

Вирус создает ярлык на флешке
После подключения флешек к моему компьютеру, в корне флешки создается ярлык на скрытую папку, в.

Внимание! Рекомендации написаны специально для пользователя AlexOTT. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

После перезагрузки, выполните такой скрипт:

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите «ОК», удерживая нажатой клавишу «Shift».

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Вирус создает ярлык на флешке
После подключения флешек к моему компьютеру, в корне флешки создается ярлык на скрытую папку, в.

Читайте также:  Synology drive client linux

Вирус создает ярлык на флешке
В универе сунул флешку в компьютер. Там увидел, что создался ярлык, я непонял что за косяк. Пришел.

На каждой флэшке создаётся ярлык (вирус). Файлы на флэшке переместились в папку «_». Появилась папка WindowsServices
Добрый день, уважаемые программисты и сисадмины. Вот уже более года мучаюсь от коварного.

Вирус создаёт ярлык флешки на флешке
Здравствуйте, на компьютере завёлся вирус, который создаёт ярлык флешки на флешке. Помогите.

Вирус создает на флешке ярлык на скрытую папку на флешке

3 месяца). Сегодня, когда активировал пробную версию антивируса и обновив его, провел проверку ноутбука и флешки на наличие вирусов. Антивирус удалил с флешки следующие файлы «helper.vbs», «installer.vbs», «movemenoreg.vbs». С ноута антивирус тоже вроде эти файлы удалил, я закрыл лог сканирования ноута в антивирусе, поэтому точно не помню. После удаления антивирусом этих файлов, ярлык в корне флешки не открывает скрытую папку. Пробовал скопировать файлы с флешки и отформатировать флешку. После форматирования ярлык не создается, но если вытащить и вставить флешку обратно, то ярлык создается, но не открывает скрытую папку с файлами.

Вложения

CollectionLog-2019.10.01-21.14.zip (81.5 Кб, 8 просмотров)

Вирус создает на флешке ярлык на скрытую папку на флешке
Доброго времени суток. Словил вирус на флэшку,который создает скрытую папку на флешке с названием.

Вирус, который создает на флешке скрытую папку под названием 5f5f5
Появился у меня вирус, который создает на флешке скрытую папку под названием 5f5f5. Кто знает, что.

Вирус создаёт ярлык на флешке на невидимую системную папку где находятся все файлы
Я пытался сам от него избавиться. удалял все системные файлы в флешке, надеясь что один из них.

Вирус создает ярлык на флешке
После подключения флешек к моему компьютеру, в корне флешки создается ярлык на скрытую папку, в.

Решение

Внимание! Рекомендации написаны специально для пользователя Михаил О. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Вложения

	Addition.rar (25.0 Кб, 1 просмотров)
	FRST.rar (13.8 Кб, 1 просмотров)

Решение

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

Вложения

Fixlog.txt (2.8 Кб, 1 просмотров)

Решение

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.