Вирус скрыл папки на флешке? Что делать?

Опубликовано: 19.10.2017

видео Вирус скрыл папки на флешке? Что делать?

Не отображается содержимое папки.

Всем доброе время суток! Сегодня хотел бы поговорить о вирусе который распространяется через Интернет, локальную сеть, flash-носители. Данный вирус обладает характеристиками руткита, трояна, сетевого червя. Определяется данный вирус как:
Trojan.Siggen2.28594 в drWEB Antivirus.
W32/Dx.VUM!tr в Fortinet Antivirus.
Worm.Win32.AutoRun.hdf в Kaspersky Lab.
Данный вирус был разработан Российскими программистами и предназначен для 32-битной платформы ОС Windows с процессором x86 (файл типа – Portable Executable,PE).
Данный вирус содержит в себе несколько основных файлов.



Как  сделать видимыми скрытые вирусом файлы и папки смотрите в статье =>> Отображаем скрытые вирусом файлы и папки <<=

mdhevw.exe (необязательный, может быть любой *.exe файл) атрибуты у данного файла:

Скрытый,

Системный,

Только чтение.


Не видит файлы на флешке

Производит импорт системной библиотеки kernel32.dll (LoadLibraryA, GetProcAddress);

sdata.dll (в основном постоянный файл при любых модификациях). Упакован UPX. Атрибуты у данного файла:

-Скрытый,

-Системный,

-Только чтение.


Вирус скрыл файлы на флешке, как восстановить скрытые вирусом файлы

Осуществляет импорт системных библиотек: KERNEL32.DLL(LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree),

advapi32.dll(RegCloseKey), ntdll.dll (ZwOpenProcess), oleaut32.dll (SysFreeString), user32.dll(CharNextA);

aUtoRuN.iNF (обязательный файл, является основным для распространения). Атрибуты у данного файла:

Скрытый,

Только чтение.

Содержимое файла aUtoRuN.iNF:

[AutoRun]

Open=mdhevw.exe -flash

UseAutoPlay=1

Action=Открыть папку для просмотра файлов

shell\open\Command=mdhevw.exe -flash

shell\open\Default=1

shell\explore\Command=mdhevw.exe –flash

 

где искать?

вирус внедряется в \Documents and Settings\All Users\Application Data\ (Windows XP) или \Users\All Users\ (Windows Vista и Windows 7) создает каталог srtserv;

– в srtserv создаются файлы mdhevw.exe и sdata.dll;

mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех локальных и съемных дисков;

mdhevw.exe и aUtoRuN.iNF так же копируются в корень вновь подключенных съемных дисков.

– так же в реестре данный вирус создает себе почву для дальнейших действий.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

создается параметр srtserv со значением

C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exeWindows Vista и Windows 7C:\Users\All Users\srtserv\mdhevw.exe);

– так же вирус блокирует загрузку ОС Windows в Безопасном режиме, удаляя соответствующие ключи Реестра;

вирус так же препятствует отключению съемных дисков (с помощью значка Безопасное извлечение устройства );

Вообщем очень не хороший вирус и очень надоедливый и постоянно напоминает о себе во время подключения сменных носителей. В вузе в котором я работаю на момент написания данной статьи он везде и всюду, так как господа студенты являются “разнощиками” этой заразы… Но сейчас не об этом.

С помощью чего определить вирус sdata.dll/srtserv?

Данный вирус можно определить при помощи AutoRuns. Данная утилита показывает все процессы которые запускаются совместно с системой, более подробно можно посмотреть в статье Autoruns-Функции или как найти вирус в ручную.

AutoRuns находит наличие подозрительного файла в автозагрузке.