Приветствую. Я постараюсь написать простую инструкцию о том как удалить вирус, который создает ярлык на флешке.
movemenoreg.vbs, helper.vbs, installer.vbs — что это такое?
Файлы вируса, который создает на флешке ярлык (название может быть как у самой флешки), при запуске которого вы можете заразить ПК вирусом. Содержимое флешки при этом скрыто, иногда к нему можно получить доступ если вы запустите вирусный ярлык.
Расширение файла vbs это скрипт (Visual Basic Script), при запуске которого будет выполняться то, что прописано внутри файла. Такие скрипты VBS — встроенная функция Windows, но вирусописатели иногда используют такие скрипты и для своих нехороших целей.
Важно понимать
- Часто схема таких вирусов — скрытие содержимого флешки и создание ярлыка с таким названием, чтобы вы по нему нажали.
- При этом, если зайти в свойства ярлыка, то можно увидеть — происходит запуск некого скрипта, часто это именно movemenoreg.vbs. Поэтому запускать ярлык ни в коем случае нельзя.
- На самом деле кроме ярлыка на флешке также могут присутствовать файлы/папки, но вы их не видите, так как им присвоен атрибут скрытый и системный. Увидеть их можно только если на ПК включен показ скрытых файлов/папок.
На флешке ярлык может быть вообще без названия:
Удаляем вирус с ПК
Может у вас и не будет вируса на компе. Но лучше проверить и если обнаружите — то сперва удалите вирус с компа, а потом уже заняться флешкой.
- Запускаем командную строку от администратора. В Windows 10 просто нажмите правой кнопкой по пуску и там будет пункт Командная строка (администратор).
- Прописываем команды, которые снимут атрибуты с папки вируса — WindowsServices.
- Удаляем файлы и папку вируса.
Важно: USER_NAME — имя вашей учетной записи.
В командной строке выполните такие команды (выполняйте по очереди):
attrib -s -h -a -r /d C:\Users\USER_NAME\AppData\Roaming\WindowsServices
attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\installer.vbs
attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\helper.vbs
attrib -s -h -a -r /s C:\Users\USER_NAME\AppData\Roaming\WindowsServices\movemenoreg.vbs
Когда все атрибуты сняты — вирусные файлы и папка станут видны и их можно будет удалить. Советую сразу удалять папку WindowsServices. При проблемах с удалением используйте утилиту Unlocker (при установке снимите галочку чтобы не поставился Delta Toolbar).
После всех действий настоятельно рекомендую проверить ПК антивирусными утилитами AdwCleaner, HitmanPro, Dr.Web CureIt!.
Получаем доступ к файлам флешки
- Открываем флешку.
- Рядом с ярлыком создайте текстовый документ с любым названием. В конце названия должно быть .txt, если этого нет — включите отображение расширений файлов (в интернете море инструкций как это сделать). Ваша задача — создать текстовый документ и чтобы было видно разрешение файла, например test.txt (test — просто название файла).
- Теперь откройте текстовый документ и пропишите внутри команду:
attrib "*" -s -h -a -r /s /d
, потом закройте документ и сохраните изменения. - Теперь у текстового документа смените окончание .txt на .bat, например у вас был файл test.txt, а вы переименуйте его в test.bat.
- Запустите переименованный файл (должно появиться черное окошко). После — все файлы/папки на флешке должны стать видимыми.
- Теперь на флешке найдите папку с вашими файлами. Скопируйте их всех на ПК в какую-то отдельную папку. Саму флешку — форматируйте (правой кнопкой по флешке > пункт Форматировать). Форматировать советую используя кластер 4К и файловую систему NTFS.
Когда все файлы на флешке покажутся видимыми, то вы можете увидеть папку с названием WindowsServices — ее нужно удалить:
Заключение
- movemenoreg.vbs, helper.vbs, installer.vbs — файлы вируса, который скрывает содержимое флешки и создает ярлык, часто с названием самой флешки.
- Самое главное — не запускать ярлык, иначе произойдет заражение компьютера.
- Вирус можно удалить вручную. Главное сделать все содержимое флешки — видимым. После чего можно скопировать все ваши данные.
Удачи.