-
Junior Member
- Вес репутации
- 64
usb.wsf - вирус или нет?
извините, что не прикладываю отчеты утилит, указанных в правилах раздела - просто на свой комп, гадость о которой пойдет речь, не пускаю, а зараженные компы разбросаны по городу и останавливать их работу надолго нет возможности, да и с удалением данного зверька вручную проблем не возникает, только вот из-за того, что каспер не признает его за вирус - толку в удалении мало, он появляется вновь и вновь.
вобщем размножается зверек через флэшки, на самой флэшке два файлика - autorun.inf и usb.wsf.
На компе же в папке "Program files" появляется папочка "usb_anti_autorun" также содержащая файлик usb.wsf , ну и в реестре прописывается где только может.
судя по компам друзей и знакомых, распространение этой зверюшки приняло уже масштабы эпидемии, причем касперы и AVZ ничего подозрительного в ней не замечают, а CureIt выдает:
"Возможно, SCRIPT.virus"
На работе на всех компах стоит каспер для рабочих станций v.6.0.3.837 - базы регулярно бновляются.
Знакомым ставлю KIS v8.0.0.506, базы также свежие.
Когда однажды воткнул флэшку с этим автораном в свой рабочий комп, на котором стоит KAV WKS v.6.0.3.837, он что-то там ругнулся, что кто-то просится в атозагрузку - разрешить/запретить? Я нажал запретить и заражения не произошло. На домашних компах KIS v8.0.0.506 в подобной же ситуации просто информирует, что usb.wsf добавлено в группу слабые ограничения и спокойно позволяет заражать комп.
В интернете нашел, что данный зверек вовсе не вирус, а как раз наоборот - утилита для подмены, либо уничтожения autorun-ов зараженных флэшек, но то что он без спросу плодится и размножается наводит на недобрые мысли.
Поэтому обращаюсь к экспертам данного форума с просьбой проверить, что это такое и вынести свой вердикт.
архив с зверюшкой прилагаю, пароль на архив: virus
Последний раз редактировалось Numb; 14.09.2009 в 11:32.
Причина: Карантин в теме
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Промахнулись разделом. Для таких вопросов уже есть тема: http://virusinfo.info/showthread.php?t=37678
-
-
USB.wsf - потенциально опасное ПО not-a-virus:RiskTool.VBS.AutorunStub.a. У меня его так определяет именно что Касперский для рабочих станций v.6.0.3.837. Это VB-скрипт.Скрипт - самоход, инсталлируется в папку %programfiles%\usb_anti_autorun , пишет себя на съемные диски и пытается затирать на них найденные autorun.inf . Для удаления, помимо тела, следует восстановить настройки проводника ( можно через AVZ) и удалить ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \usb_autorun_remover , который скрипт создает в реестре.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- \usb_anti_autorun\usb_anti_autorun\usb.wsf - not-a-virus:RiskTool.VBS.AutorunStub.a ( DrWEB: archive: Win32.HLLW.Autoruner.7592, NOD32: VBS/AutoRun.CI worm )
- \usb_anti_autorun\usb.wsf - not-a-virus:RiskTool.VBS.AutorunStub.a ( DrWEB: archive: Win32.HLLW.Autoruner.7592, NOD32: VBS/AutoRun.CI worm )
-