movemenoreg.vbs, helper.vbs, installer.vbs — что это за файлы на флешке?

Приветствую. Я постараюсь написать простую инструкцию о том как удалить вирус, который создает ярлык на флешке.

movemenoreg.vbs, helper.vbs, installer.vbs — что это такое?

Файлы вируса, который создает на флешке ярлык (название может быть как у самой флешки), при запуске которого вы можете заразить ПК вирусом. Содержимое флешки при этом скрыто, иногда к нему можно получить доступ если вы запустите вирусный ярлык.

Расширение файла vbs это скрипт (Visual Basic Script), при запуске которого будет выполняться то, что прописано внутри файла. Такие скрипты VBS — встроенная функция Windows, но вирусописатели иногда используют такие скрипты и для своих нехороших целей.

Важно понимать

  1. Часто схема таких вирусов — скрытие содержимого флешки и создание ярлыка с таким названием, чтобы вы по нему нажали.
  2. При этом, если зайти в свойства ярлыка, то можно увидеть — происходит запуск некого скрипта, часто это именно movemenoreg.vbs. Поэтому запускать ярлык ни в коем случае нельзя.
  3. На самом деле кроме ярлыка на флешке также могут присутствовать файлы/папки, но вы их не видите, так как им присвоен атрибут скрытый и системный. Увидеть их можно только если на ПК включен показ скрытых файлов/папок.

На флешке ярлык может быть вообще без названия:

Может показаться что какая-то системная ошибка и нужно просто еще раз зайти на флешку. На это и рассчитано, если так сделаете, то ПК будет заражен вирусом.

Удаляем вирус с ПК

Может у вас и не будет вируса на компе. Но лучше проверить и если обнаружите — то сперва удалите вирус с компа, а потом уже заняться флешкой.

  1. Запускаем командную строку от администратора. В Windows 10 просто нажмите правой кнопкой по пуску и там будет пункт Командная строка (администратор).
  2. Прописываем команды, которые снимут атрибуты с папки вируса — WindowsServices.
  3. Удаляем файлы и папку вируса.

Важно: USER_NAME — имя вашей учетной записи.

В командной строке выполните такие команды (выполняйте по очереди):

attrib -s -h -a -r /d C:\Users\USER_NAME\AppData\Roaming\WindowsServices

attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\installer.vbs

attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\helper.vbs

attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\movemenoreg.vbs

Когда все атрибуты сняты — вирусные файлы и папка станут видны и их можно будет удалить. Советую сразу удалять папку WindowsServices. При проблемах с удалением используйте утилиту Unlocker (при установке снимите галочку чтобы не поставился Delta Toolbar).

После всех действий настоятельно рекомендую проверить ПК антивирусными утилитами AdwCleaner, HitmanPro, Dr.Web CureIt!.

Получаем доступ к файлам флешки

  1. Открываем флешку.
  2. Рядом с ярлыком создайте текстовый документ с любым названием. В конце названия должно быть .txt, если этого нет — включите отображение расширений файлов (в интернете море инструкций как это сделать). Ваша задача — создать текстовый документ и чтобы было видно разрешение файла, например test.txt (test — просто название файла).
  3. Теперь откройте текстовый документ и пропишите внутри команду: attrib "*" -s -h -a -r /s /d, потом закройте документ и сохраните изменения.
  4. Теперь у текстового документа смените окончание .txt на .bat, например у вас был файл test.txt, а вы переименуйте его в test.bat.
  5. Запустите переименованный файл (должно появиться черное окошко). После — все файлы/папки на флешке должны стать видимыми.
  6. Теперь на флешке найдите папку с вашими файлами. Скопируйте их всех на ПК в какую-то отдельную папку. Саму флешку — форматируйте (правой кнопкой по флешке > пункт Форматировать). Форматировать советую используя кластер 4К и файловую систему NTFS.

Когда все файлы на флешке покажутся видимыми, то вы можете увидеть папку с названием WindowsServices — ее нужно удалить:

Здесь видим, что ярлык и правда имеет название самой флешки. В папке с названием — (тире или нижний пробел) скорее всего содержатся все ваши файлы, которые были на флешке. Ну а папка System Volume Information — служебная, ее можно тоже удалить.

Заключение

  1. movemenoreg.vbs, helper.vbs, installer.vbs — файлы вируса, который скрывает содержимое флешки и создает ярлык, часто с названием самой флешки.
  2. Самое главное — не запускать ярлык, иначе произойдет заражение компьютера.
  3. Вирус можно удалить вручную. Главное сделать все содержимое флешки — видимым. После чего можно скопировать все ваши данные.

Удачи.




Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *