vírus: Worm VBSJenxcus
amit látunk:
Eltűnnek fájlok (vagy akár az összes), helyükre parancsikonok kerülnek
amit csinál: az USB-s eszközök egy jó részét megfertőzi.
A fertőzés alatt elrejti a fájlokat, ami miatt azt csak akkor érjük el ha a rejtet fájlok mutatása be van kapcsolva.
A fájlok nevével parancsikonokat hoz létre. Ezek mind a vírus fájlját indítják el.
Felmásol továbbá egy 'ylmxjfhjix.vbs' nevű fájlt. Erre nem szabad rákattintani, és a parancsikonokra se, ezek mind ezt indítják. Ha még is sikerült, alább lesz a törlési megoldás.
Ez a furanevű fájl felelős egyébként azért hogy ez a jóság terjedhessen.
hogyan szabaduljunk meg tőle?
Az alább leírtak nekem eddig 100%-os hatékonysággal váltak be két gépen, de felelősséget nem vállalok ha valaki valamit elszúrna. A leírást lépésről lépésre figyelmesen elolvasva kövessétek, ha valami nem egyértelmű akkor kérdezzetek kommentben!
automatizált megoldás:
Egy valamire való vírusírtó elháríthatja a problémákat, de ezt nem próbáltam ki.
kézi megoldás Windows 7:
Na ezt csináltam:)
A vírus törlése a gépről:
Ez mehet akkor is ha nem biztos hogy a gépet megfertőzte, a lépések nem ártalmasak.
1.
Átállítjuk a mappa beállításokban a nézet lapon az alábbiakat:
(vezérlőpult, mappabeállítások)
név-érték
Ismert fájltípusok kiterjesztéseinek elrejtése-OFF
(mutatja a fájlkiterjesztéseket)
Rejtett fájlok, mappák és meghajtók megjelenítése-ON
(rejtett fájlok, és mappák mutatása, hogy ráleljünk a fájl mappájára)
Az operációs rendszer védett fájljainak elrejtése (ajánlott)-ON
Igen gomb, biztosan megjelenítjük
(rejtett titkos fájlok mutatása, a vírus is ilyen, továbbá sok desktop.ini-t fogunk látni, ehhez nem szabad hozzányúlni)
2.
Feladatkezelő (CTRL+SHIFT+ESC) megnyitása
folyamatok lap, majd az ''
wscript.exe
folyamatot zárjuk be.
3.
most megnyitjuk a futtatásból (Win+R) msconfig a rendszerkonfigurációt
automatikus indítás lapon, a Microsoft Windows Script Host mellől pipát kivesszük, oké, kilépés újraindítás nélkül
4.
Ezután megnyitjuk az alábbi könyvtárat:
C:\Users\neved\appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
és töröljük:
ylmxjfhjix.vbs
nevű fájlt
5.
Most belépünk a temp könyvtárunkba:
C:\neved\AppData\Local\Temp
Innen is töröljük ezt az elmés
ylmxjfhjix.vbs
nevű mocskot
Gép kész. Jöhet a drive!
a pendrive fertőtlenítése
töröljük le róla az
ylmxjfhjix.vbs
fájlt.
Utána Win+R beütése, cmd beírása, és bemásoljuk ezt:
attrib -h -r -s /s /d E:\*.*
Másolás előtt az E-t írjuk át a meghajtónk jelére. Ezt legkönnyebben a számítógépből tudhatjuk meg, ami a startmenüben honol.
Ha átírtuk, enter
Kicsit mókol, ilyenkor a pendrive-t nem kéne megnyitni, máramennyiben nem akarunk fagyást. Amikor felirat jelenik meg a cmd-ben, akkor készen van.
Valami ilyesmi fog megjelenni ha kész:
C:\Users\neved>
Kiírhatja hogy a hozzáférés megtagadva a 'System Volume Information' könyvtárhoz. Ez nem probléma, a művelet attól még végbement!
Kész! Sikeresen megszabadultál a vírustól.
A fenntebb írt helyen mehetnek vissza a mappabeállítások.
és akkor egy kis extra:
Soha ne tartsuk mindenünket egy helyen, különösképp ne pendrive-on. Biztonságimentésed mindig legyen a fontos fájljaidról. Rengeteg jó online tárolási megoldás van, ide titkosított állományokban fel lehet pakolászni, de a külső merevlemezek ára sem olyan vészesen magas...
A pendrive-ot soha ne dugjuk bele olyan gépbe, amiben nem bízunk. Ez fordítva is igaz. Megbízhatatlan drive-ot ne dugjunk gépünkbe. A rosszak közül a jobb hogy így járunk amiről ez a leírás is szól, de a mégrosszabb akár a gépünk alaplapának halála is lehet, vannak USB-s céleszközök direkt ilyen jellegű rongálásra.
leírást készítette:
adns
adns.cu.cc
[email protected]