Главная Мероприятия Фотоотчеты Место проведения Спикеры Контакты Регистрация участников

Вирус скрыл папки на флешке? Что делать?

Опубликовано: 18.04.2017

видео Вирус скрыл папки на флешке? Что делать?

УДАЛИТЬ ВИРУС С КОМПЬЮТЕРА, ☣ 100% РАБОЧИЙ СПОСОБ!

Всем доброе время суток! Сейчас желал бы побеседовать о вирусе который распространяется через Веб, локальную сеть, flash-носители. Данный вирус обладает чертами руткита, трояна, сетевого червяка. Определяется данный вирус как:
Trojan.Siggen2.28594 в drWEB Antivirus.
W32/Dx.VUM!tr в Fortinet Antivirus.
Worm.Win32.AutoRun.hdf в Kaspersky Lab.
Данный вирус был разработан Русскими программерами и предназначен для 32-битной платформы ОС Windows с микропроцессором x86 (файл типа – Portable Executable,PE).
Данный вирус содержит внутри себя несколько главных файлов.



Как  сделать видимыми сокрытые вирусом файлы и папки смотрите в статье =>> Отображаем сокрытые вирусом файлы и папки <<=

mdhevw.exe (необязательный, может быть хоть какой *.exe файл) атрибуты у данного файла:

Сокрытый,

Системный,

Только чтение.


Убираем ярлыки с флэшки [лаг]

Производит импорт системной библиотеки kernel32.dll (LoadLibraryA, GetProcAddress);

sdata.dll (в главном неизменный файл при всех модификациях). Упакован UPX. Атрибуты у данного файла:

-Скрытый,

-Системный,

-Только чтение.


Вирус зашифровал файлы? Как расшифровать файлы

Производит импорт системных библиотек: KERNEL32.DLL(LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree),

advapi32.dll(RegCloseKey), ntdll.dll (ZwOpenProcess), oleaut32.dll (SysFreeString), user32.dll(CharNextA);

aUtoRuN.iNF (неотклонимый файл, является главным для распространения). Атрибуты у данного файла:

Сокрытый,

Только чтение.

Содержимое файла aUtoRuN.iNF:

[AutoRun]

Open=mdhevw.exe -flash

UseAutoPlay=1

Action=Открыть папку для просмотра файлов

shell\open\Command=mdhevw.exe -flash

shell\open\Default=1

shell\explore\Command=mdhevw.exe –flash

 

где находить?

вирус внедряется в \Documents and Settings\All Users\Application Data\ (Windows XP) либо \Users\All Users\ (Windows Vista и Windows 7) делает каталог srtserv;

– в srtserv создаются файлы mdhevw.exe и sdata.dll;

mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех локальных и съемных дисков;

mdhevw.exe и aUtoRuN.iNF так же копируются в корень вновь присоединенных съемных дисков.

– так же в реестре данный вирус делает для себя почву для последующих действий.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

создается параметр srtserv со значением

C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exeWindows Vista и Windows 7C:\Users\All Users\srtserv\mdhevw.exe);

– так же вирус перекрывает загрузку ОС Windows в Неопасном режиме, удаляя надлежащие ключи Реестра;

вирус так же препятствует отключению съемных дисков (при помощи значка Неопасное извлечение устройства );

Вообще очень не неплохой вирус и очень назойливый и повсевременно припоминает о для себя во время подключения сменных носителей. В вузе в каком я работаю на момент написания данной статьи он всюду и везде, потому что господа студенты являются “разнощиками” этой заразы… Но на данный момент не об этом.

При помощи чего найти вирус sdata.dll/srtserv?

Данный вирус можно найти с помощью AutoRuns. Данная утилита указывает все процессы которые запускаются вместе с системой, более тщательно можно поглядеть в статье Autoruns-Функции либо как отыскать вирус в ручную.

AutoRuns находит наличие подозрительного файла в автозагрузке.