Vbs вирус что это такое

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

вирус Win32: RmnDrp и VBS: Агент-КЗ [Trj]
Вообщем проблема в том что подхватил данные вирус или вируса случайно при выключеном авасте.

Удалить вирус VBS.Worm.37 с флешки и ноутбука
ОС XP, даже после удаления/лечения флешка заражена. Все документы word обозначены ярлыками.Что.

Подозрение на вирус и ошибка c:\ProgramData\indus\start.vbs
Добрый день. Очень прошу помощи. Зависал компьютер и браузер, начал копаться, просканировал комп.

Вирус создает на флешках файлы с названиями папок и расширением .vbs
Здравствуйте, с недавнего времени на нескольких компьютерах локальной сети появился вирус, который.

VBS:Malware-gen это имя, которым Аваст, AVG и другие антивирусы называют признаки заражения компьютера ранее неизвестной вредоносной программой или трояном. Эти зловреды обычно поражают установленные веб-браузеры и могут изменять их настройки и ярлыки. Подобные вирусы чаще всего проникают на компьютер в составе бесплатных программ или при скачивании и запуске поддельных обновлений Флеш плеера или Java. Сразу после запуска, VBS:Malware-gen вирус добавляет себя в автозагрузку, чтобы запускаться при каждом включении компьютера автоматически. Все время, пока этот вирус активен, он может показывать большое количество рекламы в браузерах, изменять настройки всех установленных в системе веб-браузеров и таким образом перенаправлять пользователя на разные рекламные или вводящие в заблуждение веб сайты.

Если вы заметили, что ваш антивирус стал обнаруживать VBS:Malware-gen вирус, то не нужно ждать, нужно как можно быстрее выполнить инструкцию, которая приведена ниже.

Часто встречающиеся симптомы заражения VBS:Malware-gen вирусом

Как удалить VBS:Malware-gen (пошаговая инструкция)

AdwCleaner это небольшая программа, которая не требует установки на компьютер и создана специально для того, чтобы находить и удалять рекламные и потенциально ненужные программы. Эта утилита не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу AdwCleaner кликнув по следующей ссылке.

После окончания загрузки программы, запустите её. Откроется главное окно AdwCleaner.

Кликните по кнопке Сканировать. Программа начнёт проверять ваш компьютер. Когда проверка будет завершена, перед вами откроется список найденных компонентов вредоносных программ.

Кликните по кнопке Очистка. AdwCleaner приступ к лечению вашего компьютера и удалит все найденные компоненты зловредов. По-окончании лечения, перезагрузите свой компьютер.

Malwarebytes Anti-malware это широко известная программа, созданная для борьбы с разнообразными рекламными и вредоносными программами. Она не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу Malwarebytes Anti-malware используя следующую ссылку.

Когда программа загрузится, запустите её. Перед вами откроется окно Мастера установки программы. Следуйте его указаниям.

Когда инсталляция будет завершена, вы увидите главное окно программы.

Автоматически запуститься процедура обновления программы. Когда она будет завершена, кликните по кнопке Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Когда проверка компьютера закончится, Malwarebytes Anti-malware покажет вам список найденных частей вредоносных и рекламных программ, включая компоненты VBS:Malware-gen вируса.

Для продолжения лечения и удаления зловредов вам достаточно нажать кнопку Удалить выбранное. Этим вы запустите процедуру удаления рекламных и вредоносных программ.

Скачайте программу используя следующую ссылку.

После окончания загрузки запустите скачанный файл.

Кликните по кнопке Начать проверку для запуска сканирования вашего компьютера на наличие VBS:Malware-gen вируса.

Дождитесь окончания этого процесса и удалите найденных зловредов.

Chrome

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). Появится меню как на нижеследующей картинке.

Выберите пункт Настройки. Открывшуюся страницу прокрутите вниз и найдите ссылку Показать дополнительные настройки. Кликните по ней. Ниже откроется список дополнительных настроек. Тут вам нужно найти кнопку Сброс настроек и кликнуть по ней. Гугл Хром попросит вас подтвердить свои действия.

Нажмите кнопку Сбросить. После этого, настройки браузера будут сброшены к первоначальным и восстановится ваша домашняя страница и поисковик.

Firefox

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). В появившемся меню кликните по иконке в виде знака вопроса (
). Это вызовет меню Справка, как показано на рисунке ниже.

Здесь вам нужно найти пункт Информация для решения проблем. Кликните по нему. В открывшейся странице, в разделе Наладка Firefox нажмите кнопку Очистить Firefox. Программа попросит вас подтвердить свои действия.

Нажмите кнопку Очистить Firefox. В результате этих действий, настройки браузера будут сброшены к первоначальным. Этим вы сможете восстановить вашу домашнюю страницу и поисковую машину.

Откройте главное браузера, кликнув по кнопке в виде шестерёнки ( ). В появившемся меню выберите пункт Свойства браузера.

Когда процесс сброса настроек завершиться, нажмите кнопку Закрыть. Чтобы изменения вступили в силу вам нужно перезагрузить компьютер. Таким образом вы сможете избавиться от использования рекламного сайта в качестве вашей домашней страницы и поисковика.

При проникновении на компьютер VBS:Malware-gen может изменить не только настройки ваших браузеров, но и их ярлыки. Благодаря чему, при каждом запуске браузера будет открываться рекламный сайт.

Для очистки ярлыка браузера, кликните по нему правой клавишей и выберите пункт Свойства.

На вкладке Ярлык найдите поле Объект. Щелкните внутри него левой клавишей мыши, появится вертикальная линия — указатель курсора, клавишами перемещения курсора (стрелка -> на клавиатуре) переместите его максимально вправо. Вы увидите там добавлен текст, его и нужно удалить.

Удалив этот текст нажмите кнопку OK. Таким образом очистите ярлыки всех ваших браузеров, так как все они могут быть заражены.

Мы рекомендуем, на последнем этапе очистки компьютера, проверить Библиотеку планировщика заданий и удалить все задания, которые были созданы вредоносными программами, так как именно они могут являться причиной автоматического открытия рекламного сайта при включении компьютера или через равные промежутки времени.

Определившись с заданием, которое нужно удалить, кликните по нему правой клавишей мыши и выберите пункт Удалить. Этот шаг выполните несколько раз, если вы нашли несколько заданий, которые были созданы вредоносными программами. Пример удаления задания, созданого рекламным вирусом показан на рисунке ниже.

Удалив все задания, закройте окно Планировщика заданий.

Чтобы повысить защиту своего компьютера, кроме антивирусной и антиспайварной программы, нужно использовать приложение блокирующее доступ к разннобразным опасным и вводящим в заблуждение веб-сайтам. Кроме этого, такое приложение может блокировать показ навязчивой рекламы, что так же приведёт к ускорению загрузки веб-сайтов и уменьшению потребления веб траффика.

Скачайте программу AdGuard используя следующую ссылку.

После окончания загрузки запустите скачанный файл. Перед вами откроется окно Мастера установки программы.

Кликните по кнопке Я принимаю условия и и следуйте указаниям программы. После окончания установки вы увидите окно, как показано на рисунке ниже.

Вы можете нажать Пропустить, чтобы закрыть программу установки и использовать стандартные настройки, или кнопку Начать, чтобы ознакомиться с возможностями программы AdGuard и внести изменения в настройки, принятые по-умолчанию.

В большинстве случаев стандартных настроек достаточно и менять ничего не нужно. При каждом запуске компьютера AdGuard будет стартовать автоматически и блокировать всплывающую рекламу,а так же другие вредоносные или вводящие в заблуждения веб странички. Для ознакомления со всеми возможностями программы или чтобы изменить её настройки вам достаточно дважды кликнуть по иконке AdGuard, которая находиться на вашем рабочем столе.

Выполнив эту инструкцию, VBS:Malware-gen будет удален. Восстановятся нормальные настройки вашего компьютера. К сожалению, авторы подобных приложений постоянно их обновляют, затрудняя лечение компьютера. Поэтому, в случае если эта инструкция вам не помогла, значит вы заразились новой версией вредоносной программы и тогда лучший вариант — обратиться на наш форум.

• При установке новых программ на свой компьютер, всегда читайте правила их использования, а так же все сообщения, которые программа будет вам показывать. Старайтесь не производить инсталляцию с настройками по-умолчанию!
• Держите антивирусные и антиспайварные программы обновлёнными до последних версий. Так же обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows.
• Если вы используете Java, Adobe Acrobat Reader, Adobe Flash Player, то обязательно их обновляйте вовремя.

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

Оставить комментарий Отменить ввод комментария

Добро пожаловать

На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.

VBS:Malware-gen это вирус который способен изменять системные настройки для вредоносных целей

VBS: Malware-gen — это общее имя, используемое для различных троянских коней. Угроза может варьироваться от показа безобидной рекламы до прямой кражи данных, удаленного доступа к компьютеру и других злонамеренных действий. Кроме того, вредоносное ПО может служить бэкдором для других вредоносных программ, таких как самораспространяющиеся черви. VBS:Malware-gen троян обычно входит в компьютеры без уведомления пользователей, и хакеры используют такие методы распространения, как наборы эксплойтов, слабые пароли, открытые RDP, электронные письма со спамом и другие приемы, часто включая методы социальной инженерии. Хотя большинство обнаружений антивирусными механизмами являются законными, пользователи сообщают, что некоторые антивирусные инструменты обнаруживают обычные системные файлы как ложные срабатывания.

Поскольку VBS:Malware-gen представляет собой множество различных компьютерных вирусов, трудно говорить о его особенностях. Тем не менее, мы попытаемся описать типичное поведение троянского коня, которое поможет вам обнаружить и удалить VBS: Malware-gen с вашей машины.

Как только VBS:Malware-gen входит в целевой компьютер, он выполняет ряд изменений, которые могут варьироваться от:

• Изменений в настройках браузера
• Планирования новых задач
• Закрытия и спама процессов Windows
• Изменения реестров Windows
• Установки дополнительных приложений без разрешения и т.д.

Вредоносные программы выполняют эти изменения для достижения поставленной цели: кражи данных, превращения компьютер в спам-компьютер, перенаправления на спонсируемые веб-сайты и т.п. Мошенники, стоящие за вредоносными программами, всегда стремятся к личной выгоде, и им все равно, через что должен пройти пользователь. VBS:Malware-gen может инициировать постоянную потерю данных, если он впустит вирус-вымогателя.

Кроме того, украденные личные данные, такие как банковские реквизиты и другие учетные данные, могут быть проданы на черном рынке с целью получения прибыли. Само собой разумеется, что наличие VBS:Malware-gen может поставить под угрозу вашу безопасность в интернете, а также безопасность компьютера.

К сожалению, троянские кони редко вызывают какие-либо симптомы. Это усложняет процедуру удаления VBS:Malware-gen, особенно для тех, кто не использует комплексное программное обеспечение безопасности. Таким образом, эксперты настоятельно рекомендуют загрузить и установить антивирусное программное обеспечение, такое как Reimage Reimage Cleaner Intego или SpyHunter 5 Combo Cleaner , которое предотвратит проникновение большинства вредоносных приложений на ПК.

Как мы уже упоминали, форумы по программному обеспечению безопасности заполнены сообщениями о том, что антивирусные движки распознают несколько законных процессов как VBS:Malware-gen. В таком случае это ложное срабатывание и его следует игнорировать. Если пользователи продолжат удаление определенного файла, они могут повредить систему или помешать ее правильной работе.

VBS:Malware-gen - это троянский конь, способный проникать на компьютеры без предупреждения пользователей и красть личные данные или внедрять дополнительные вредоносные программы.

Троянов нужно избегать любой ценой

Хотя ни один из методов не защитит вашу машину от заражения полностью, есть несколько способов повысить ее безопасность и снизить вероятность проникновения вируса. Если вы думаете, что у вас иммунитет к инфекциям, вы ошибаетесь, и даже те, кто никогда не подвергался воздействию вредоносных программ, все-равно сталкиваются с ними впервые в какой-то момент.

Таким образом, мы предлагаем вам следовать этим советам по безопасности:

• Обратите внимание на спам. Фишинговые письма — это хорошо известный метод, используемый злоумышленниками для установки вредоносных программ. Поэтому не открывайте вложения и не нажимайте на гиперссылки, вложенные в электронное письмо из неизвестного источника. Перед открытием сканируйте URL или файл с помощью таких инструментов, как Virus Total;
• Используйте безопасные пароли. Предсказуемые пароли являются одной из основных причин проникновения вредоносных программ. Например, протокол удаленного рабочего стола должен быть защищен не только надежным паролем, но должен использоваться только при включенном VPN;
• Своевременно обновляйте установленные программы. Программные уязвимости часто обнаруживаются и исправляются очень скоро после этого. Это необходимо для исправления программного обеспечения немедленно, так как JavaScript может внедрить вредоносное ПО без вашего ведома;
• Остерегайтесь небезопасных сайтов. Хакеры часто размещают вредоносные программы на скомпрометированных сайтах. Кроме того, они могут создавать свои собственные, которые обычно делятся файлами, такими как кряки, кейгены и другое нелегальное программное обеспечение.

Удалите VBS:Malware-gen вирус, используя надежное программное обеспечение

Троянская инфекция представляет собой серьезный риск, и о ней следует позаботиться как можно скорее. Конечно, чтобы удалить VBS:Malware-gen вирус, вам придется использовать надежное программное обеспечение безопасности. Мы предлагаем вам загрузить и установить такие инструменты, как Reimage Reimage Cleaner Intego , SpyHunter 5 Combo Cleaner или Malwarebytes и запустить полное сканирование системы. Помните, что некоторые вредоносные программы могут помешать правильной работе ПО. В этом случае перезагрузите компьютер и войдите в безопасный режим с сетевым подключением — он временно отключит вирус.

Даже не пытайтесь выполнять ручное удаление VBS:Malware-gen. Вредоносное программное обеспечение встроено глубоко в систему, и для обычного пользователя восстановление компьютера в прежнее состояние является задачей, невозможной. Поэтому просто доверьтесь эту работу программному обеспечению безопасности.

Некоторые определения, встречающиеся в описании.
VBS - Visual Basic Script. Язык программирования, используемый в Windows-системах. На данном языке пишутся системные скрипт-приложения, а также вспомогательные подпрограммы для Интернет-сайтов.

Апплет - дополнительная скрипт-программа, использующая т.н. "активные системные сценарии". Обычно написана на VBS или JV (Java Script). Такие программы используются для спец. вставок при оформлении Интернет-страниц (например, движущиеся картинки, страничка со звуковым оформлением и т.п.).

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками.

Корень диска/папки - для диска: все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым; для папки: все файлы непосредственно в папке, исключая все находящиеся в ней подкаталоги со всем их содержимым.

Подробное описание вируса VBS.Folder.

1. Описание некоторых особенностей Windows-систем для разъяснения принципа действия вируса.
Во всех Windows-системах есть такие файлы: desktop.ini и folder.htt. Данные файлы являются "скрытыми" (имеют атрибут "hidden"), как и многие др. служебные файлы и подкаталоги системы. По умолчанию ОС Windows не показывают пользователям, использующим Проводник, скрытые файлы и папки, т.к. они используются, как правило, непосредственно только системой для служебных целей и хранения технической информации. Поэтому рядовому пользователю, казалось бы, абсолютно нет необходимости видеть их да и вообще знать о существовании таковых. Однако именно это свойство и играет "наруку" вирусу.
Файлы desktop.ini являются файлами инициализации каталогов спец. назначения, а folder.htt - т.н. шаблонами гипертекста. И те, и другие используются системой для хранения и вызова настроек вида каждой из папок (размера иконок, шрифта надписей, раскраски значков файлов, порядка их расположения внутри папок в зависимости от типа последних и т.п.) - как системных, так и пользовательских (для последних - только при собственных настройках пользователя) при работе с ними через Проводник. Учитывая, что пользователи, как правило, довольствуются настройками вида папок, используемыми в системе по умолчанию, количество системных файлов desktop.ini обычно составляет не более 15-20 шт., а folder.htt - 5-7 шт. (в зависимости от версии ОС Windows) и при этом только в служебных подкаталогах WINDOWS, Program Files и Мои документы (My Documents).

2. Инсталляция вируса.
Вирус Folder представляет собой VBS-программу, работающую под управлением всех существующих на сегодняшний день ОС Windows. Для своей деятельности использует некоторые специфические особенности поддержания графического интерфейса системы служебным приложением и компонентом ядра ОС Windows - EXPLORER. Также вирус использует встроенный в ОС Windows декриптор для апплет-программ, выполненных на VBS ("MS ObjectLib"), что дает ему (вирусу) возможность скрывать свой код от визуального просмотра путем полиморфного шифрования основной части своей программы на время бездействия и последующей расшифровки последней прямо в системную память при ее выполнении.
Код вируса состоит из 3-х логических частей, порядок расположения, язык, на котором написан соответствующий код, и размер которых показаны на нижеприведенной схеме:

dropper-код - используется для вызова системной поддержки для языка VBS, а также расшифровщика основного кода вируса;

main-код - основная программа вируса, управляющая всеми процессами последнего, а также инсталлируемая в систему в качестве служебного скрипт-приложения.

Первоисточником вируса являются зараженные Интернет-страницы. При запуске зараженного HTM- или HTML-файла вирус записывает на диск свои компоненты:

- в системной поддиректории WINDOWS\SYSTEM (в Windows 9X/ME) или WINDOWS\SYSTEM32 (в Windows 2K/2K Server/XP) файл Kernel.dll размером 11160 байт, которому присваивает атрибут "Архивный" ("archive");

- в скрытой системной поддиректории WINDOWS\WEB файл kjwall.gif размером 23142 байта, которому присваивает атрибуты "Архивный" и "Скрытый" ("archive" и "hidden");

- в системной поддиректории WINDOWS\SYSTEM32 (в Windows 9X/ME) или WINDOWS\SYSTEM (в Windows 2K/2K Server/XP) файл kjwall.gif размером 266 байт , которому присваивает атрибут "Скрытый" ("hidden").

Название 1-го файла - Kernel.dll, автор вируса, очевидно, специально выбрал сходным с названием основного компонента ядра всех ОС Windows - файлом Kernel32.dll, чтобы не привлекать к нему (своему компоненту) особого внимания и сбить пользователя с толку. Данный компонент вируса является программой, управляющей всеми процессами последнего. Запускается при каждом старте системы при помощи созданного вирусом ключа под именем "Kernel32" в разделе автозапуска системного реестра:

для Windows 9X/ME:

для Windows 2K/2K Server/XP:

, где %windir% - имя каталога, в который установлена ОС Windows.
Вирусный код, запускаемый из данного файла, обрабатывается системным процессом обмена данными "система - Explorer - система", благодаря чему не фигурирует ни в одном из системных списков активных приложений. При этом вирус не проявляет резидентности, а активизируется самой системой по мере обращения пользователя к Проводнику (т.е. работает в т.н. "фоновом" режиме).
2-й файл - kjwall.gif (размер 23142 байта) представляет собой зараженный вирусом системный файл folder.htt (принцип заражения см. на схеме в п.3), которому для маскировки присвоено GIF-расширение, как у графических файлов.
3-й файл - также kjwall.gif (размер 266 байт), которому опять же для маскировки присваивается GIF-расширение, представляет собой модифицированную вирусом копию системного файла desktop.ini, также находящегося в указанном каталоге. Folder добавляет к оригинальному содержимому данного файла дополнительную строку

PersistMoniker=file://Folder.htt
, благодаря которой вызывается на выполнение содержимое зараженного файла folder.htt в текущем каталоге.
Для страховки Folder копирует содержимое двух своих файлов kjwall.gif в системный подкаталог

. \All Users\Главное меню\Программы\Автозагрузка\ , местоположение которого зависит от версии ОС Windows, под видом системных файлов desktop.ini и folder.htt соответственно, а также создает дополнительный пункт в разделе "Автозагрузка" системы под именем "Desktop" в виде активной ссылки

. \All Users\Главное меню\Программы\Автозагрузка\desktop.ini
Крайне редко вирус может менять тактику заражения, что заключается в следующем:

- в поддиректории временных файлов создается TMP-файл:

для Windows 9X/ME:

для Windows 2K/2K Server/XP:

Documents and Settings\%user%\Local Settings\TEMP\Klr*.TMP

, где "*" в имени данного файла - 3-4 символа, которые выбираются случайным образом из заглавных букв латинского алфавита, а также цифр от 0 до 9 (например, KlrA3B7.TMP).
В этот файл вирус сохраняет из машинной памяти свой код и текущие данные, связанные с поточными процессами обращений "система - Explorer - система". Видимый размер TMP-файла - 0 байт, т.к. последний отображает процесс обработки временных данных в памяти компьютера, но при этом не хранит в себе конкретной программной информации; реальный объем соответствующих данных, обрабатываемых в машинной памяти, составляет порядка 300 кб.

- создает следующий файл без расширения:

Program Files\Common Files\Microsoft Shared\Stationery

, которому присваивает атрибуты "Скрытый" и "Системный" ("hidden" и "system"). В этот файл вирус записывает содержимое, полностью совпадающее с инфицированным файлом шаблона гипертекста folder.htt. Размер данного файла 23142 байта.

3. Заражение каталогов и файлов.
Вирус сканирует каталоги, в которые были установлены его компоненты Kernel.dll и kjwall.gif, перезаписывает оригинальное содержимое файлов folder.htt и desktop.ini в этих каталогах на содержимое из своих файлов kjwall.gif соответственно [далее по тексту процедура перезаписи указанных системных файлов вирусными будет называться просто терминами "заражение папки" или "заражение каталога"], затем выявляет все файлы с расширениями "htm", "html" (Интернет-странички), "vbs" (скрипт-приложения) [далее по тексту - просто "файлы"] и заражает их точно так же, как и шаблон folder.htt. Также Folder приступает к глобальному заражению машины. Происходит это следующим образом:

1. вирус ищет скрытые системные каталоги RECYCLED ("Корзина") на всех логических дисках машины и заражает их корень;

2. также ищет на каждом логическом диске каталог, идущий 1-м по латинскому алфавиту, и заражает его корень; потом ищет в этом каталоге тот, который идет последним по латинскому алфавиту, и заражает его корень, после чего ищет в этом каталоге 2 других, идущих первыми по латинскому алфавиту, и заражает последние вместе со всеми вложенными в них подкаталогами и файлами до самого нижнего уровня включительно.

Далее каталоги заражаются только по мере обращения к ним через Проводник.
Принцип заражения файлов показан на нижеприведенной схеме (положения 1 и 2):

- открытие папок через Проводник;

- открытие уже зараженных файлов.

Общий принцип запуска инфицированного вирусом файла схематически выглядит следующим образом:

4. Размножение вируса через дискеты, флэшки (USB Flash Memory Storage) и самопальные CD-диски.
Заражение машин, связанных между собой локальной (офисной) сетью.
Размножение через дискеты и флэшки. При просмотре/копировании файлов с дискеты (флэшки)/на дискету (флэшку) [далее по тексту просто "носители"] при помощи Проводника вирус тут же заражает все запрашиваемые на них подкаталоги, включая и корневой каталог. При этом заражения последних не происходит в том случае, если:

- для копирования и просмотра файлов/папок используются редакторы-менеджеры Windows Commander или FAR Manager;

- при копировании файлов/папок с носителей на машину через Проводник запись на последние блокирована специальным джампером, находящимся на корпусе носителей.

Каждый зараженный носитель является потенциальным источником заражения др. компьютеров, т.к. примерно 90% юзеров пользуются Проводником и при этом минимум половина из них не пользуется антивирусными программами. К тому же практически никто из пользователей не подключает в настройках вида папок системы опцию показа скрытых каталогов и файлов при работе с Проводником, так что заметить появление на носителе подозрительных файлов desktop.ini и folder.htt при просмотре его содержимого не представляется возможным.
При открытии зараженного каталога на носителе через Проводник чистая машина будет инфицирована, как и в ранее рассмотренном случае открытия зараженной Интернет-странички.
Также невозможно через Проводник осуществить на машине, зараженной Folder'ом, форматирование носителя - система будет выдавать сообщение о невозможности выполнения данного действия, т.к. съемный носитель занят "другим приложением" (т.е. вирусом).

Размножение через CD-диски. Если на зараженной машине записываются CD-диски, то они также становятся потенциальным источником заражения др. компьютеров, поскольку содержат инфицированные каталоги и файлы. Впоследствии такие диски, если это тип "CD-R" (диски одноразовой записи), подлежат уничтожению.

Размножение через локальную (офисную) сеть. Заражение происходит при обращении зараженной машины к общим папкам на др. компьютерах локальной сети через Проводник в том случае, если диски последних, к которым обращается зараженная машина, открыты для записи данных на них.

5. Лечение машины от вируса.
С января 2005 года номенклатурные названия вируса некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus:
в зараженных файлах: Virus.VBS.Redlof.a;
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: Virus.VBS.Redlof.l;
основной компонент Kernel.dll: Virus.VBS.Confi.
Лечит зараженные файлы, но имеется побочный эффект (см. п.6).

Антивирус Trend PC-cillin:
в зараженных файлах: VBS_REDLOF.A-2;
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: неизвестно;
основной компонент Kernel.dll: VBS_REDLOF.A.GEN.
Не может лечить зараженные файлы, а только удалять.

Антивирус BitDefender Professional:
в зараженных файлах: VBS.Redlof.A (HTT);
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: VBS.Redlof.A.dr;
основной компонент Kernel.dll: VBS.Redlof.A.
Лечит зараженные файлы без каких-либо побочных эффектов.

Антивирус DrWeb:
в зараженных файлах: VBS.Redlof;
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: VBS.Redlof;
основной компонент Kernel.dll: VBS.Redlof.
Лечит зараженные файлы, но имеется побочный эффект (см. п.6).

Антивирусы Kaspersky AntiVirus и DrWeb не могут удалить dropper-код, повторно прописавшийся в некорректно зараженных файлах, выдавая сообщение, что лечение таких файлов невозможно. Поэтому дочистить эти файлы от остатков вредоносного кода можно пальчиками, просмотрев визуально их (файлов) последние строки.
Для рядового пользователя наиболее оптимальным способом для удаления вируса из машины является, на мой взгляд, антивирусная программа, которую необходимо прогнать в режиме лечения минимум 2 раза. При этом необходимо перезагружать компьютер перед каждым последующим прогоном антивируса. Прочие способы лечения машины от Folder'а я не включаю в данное описание.

6. Побочный эффект после лечения машины от вируса антивирусами Kaspersky AntiVirus и DrWeb.
Настройка исходного вида Рабочего стола и показа скрытых объектов системы.
Удаление файлового мусора, созданного вирусом, и устранение побочного эффекта.
После лечения системы антивирусами Kaspersky AntiVirus и DrWeb наблюдается следующий побочный эффект: при открытии любой из папок, которая была инфицирована вирусом, через Проводник, появляется системное сообщение

При обращении к такому файлу folder.htt jmp-код вируса пытается найти вирусный апплет в теле данного файла, однако ему это не удается, т.к. весь остальной вирусный код удален антивирусом. Поэтому и появляется предупреждение о том, что запрашиваемый скрипт не найден и "активный сценарий" не может быть выполнен.
Если же машину лечить от вируса при помощи антивируса BitDefender Professional, то последний перезаписывает строчку с jmp-кодом вируса строкой-комментарием

, благодаря чему вышеуказанный побочный эффект отсутствует.
В большинстве случаев после лечения машины антивирусами Kaspersky AntiVirus и DrWeb указанный побочный эффект никак не сказывается на открытии папок через Проводник, независимо от того, какую из опций - "Да" или "Нет" выберет пользователь при появлении иконки с вышеуказанным сообщением. Однако, иногда по каким-то неопределенным причинам, система блокирует после запроса содержимое папки, в результате чего все находящиеся в ней подкаталоги и файлы становятся недоступными для пользователей Проводника. Чтобы исправить это, советую проделать следующее:

1. Закройте все приложения, с которыми Вы работаете.

2. Наведите курсор мышки на Рабочий стол и нажмите 1 раз ее правую клавишу.

3. Выберите последовательно опции Свойства и Эффекты, после чего уберите "птичку" с опции Скрывать значки, если рабочий стол представлен как страница Web, а затем поочередно нажмите опции Применить и ОК.

Благодаря этому будет восстановлен нормальный вид Рабочего стола (фон и картинку выберите самостоятельно).

4. Для того, чтобы при дальнейшей работе с Проводником пользователи могли видеть скрытые папки и файлы, воспользуйтесь утилитой из набора спец. ПО от VirusHunter'а, который можно скачать здесь . Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.

5. Теперь наведите курсор на Рабочий стол, однако в стороне от находящихся на нем иконок, после чего нажмите клавишу F3 - появится меню поиска файлов.

6. В строках меню введите:

- в строке Имя: folder.htt

- в строке Где искать: выберите Локальные жесткие диски (C:, D:, . )

, после чего нажмите опцию Найти.

7. Все высвеченные в окне поиска файлы выделите при помощи комбинации двух клавиш Shift+PageUp (при движении по списку файлов снизу-вверх) и удалите их при помощи др. комбинации двух клавиш - Shift+Del ( полное удаление файлов, минуя "Корзину").
Сразу хочу сказать, что удаление файлов folder.htt не повлечет за собой никаких негативных последствий.

8. Аналогично можете выявить и удалить из машины файлы desktop.ini, однако НЕ рекомендую удалять те из них, которые находятся:

- в системной директории WINDOWS и ее подкаталогах;
- в системной директории Program Files и ее подкаталогах;
- в каталоге Мои документы (My Documents)

, т.к. удаление последних может негативно повлиять на работоспособность системы.

Таким образом Вы избавитесь от файлового мусора, сотворенного вирусом, а заодно и устраните побочный эффект, оставшийся после лечения системы антивирусами Kaspersky AntiVirus и DrWeb.
Теперь пользователи Проводника смогут работать как и раньше, до заражения машины Folder'ом.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).

Читайте также:

• Розеола вирус или бактерия
• Кимоно для дзюдо вирус
• Противовирусные препараты при аденоидах
• Секс чат без вирусов
• Вирусная простуда без температуры может быть

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.