Тип вируса: Червь, написанный на языке Visual Basic Script
Уязвимые ОС: Win95/98/Me/2000/XP
Размер файла: 1 368
Упакован: -
AUTORUN.FCB
Autorun.ico
Autorun.~ex
autorun.txt
autorun.inf_被屏蔽木马
autorun.inf
autorun.reg
Autorun.ini
autorun.bat
autorun.vbs
autorun.wsh
autorun.bin
autorun.srm
Autorun.exe
в системном каталоге Windows.
Из этих файлов опасность представляют autorun.inf_被屏蔽木马, autorun.inf, autorun.bat, autorun.vbs. Детектирование этих файлов внесено в базы Dr.Web как VBS.Igidak
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="userinit.exe,autorun.bat"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000000
1. Скачать бесплатную лечащую утилиту Dr.Web CureIt! с заведома неинфицированного компьютера.
2. Отключить инфицированный(-е) компьютер(-ы) от локальной сети и\или Интернет.
3. В любом файловом менеджере включить отображение скрытых и системных файлов.
4. Просканировать все диски Dr.Web CureIt!. Для найденных объектов применить действие "Лечить". В обязательной порядке просканировать доступные внешние носители на наличие VBS.Igidak. Для найденных объектов применить действие "Лечить".
5. Восстановить системный реестр, внеся в него следующие изменния:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="userinit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000001
В серверных версиях Windows необходимо проверить следующие ветви реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
"ValueName"="ShowSuperHidden"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden
@=""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
"ShowSuperHidden"=dword:00000001
HKEY_USERS\S-1-5-21-1718174493-3167834097-4179402766-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{41a44c3f-ccb0-11db-a16f-00112f178ee0}\Shell\open\Command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{39f78d75-f271-11db-835a-00112f178ee0}\Shell\open\Command
6. Вручную удалить файлы:
AUTORUN.FCB
Autorun.ico
Autorun.~ex
autorun.txt
autorun.reg
Autorun.ini
autorun.wsh
autorun.bin
autorun.srm
Autorun.exe