Škola produkuje mnoho ľudí, ktorí vedia čítať, ale nevedia rozlíšiť, čo za prečítanie stojí a čo nie. (George Macaulay Trevelyan)
Bitcoin-minery.
Príznaky:
Po spustení Pc strede obrazovky sa objaví hláška:
"Windows Script Host"
Skript: Windows\Inf\ntvdm.vbe
chyba: súbor nebol nájdený
Microsoft VBScript-chyba pri behu programu.
Avast vo svojom článku poukazuje na to, že najčastejšie zneužívaným slovom na Ulož to je Slovo "Čeština".
Väčšina súborov "Čeština exe",sú "malware".
Za povšimnutie stojí vysoká obľúbenosť týchto súborov,ktorú značí "Palec hore".
"Palec hore" sú samozrejme tiež dielom útočníkov.
Zdroj: Avast com
Pokiaľ Súbor stiahnete a spustíte,Trójsky kôň vytvorí a spustí .vbs súbor.
V Registry po spustení, vytvori nový názov "NtVdmSrv"=C:\Windows\inf\ntvdm.vbe"
Toto zabezpečí ze súbor ntvdm.vbe bude spustení ihneď po štarte systému.
Zobrazované meno: NtVdmSrv.
Cesta: C:\Windows\inf\ntvdm.vbe.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NtVdmSrv"=C:\Windows\inf\ntvdm.vbe
alebo
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NtVdmSrv"=C:\Windows\inf\ntvdm.vbe
alebo
[HKEY_LOCAL_MACHINE \ SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"NtVdmSrv"=C:\Windows\inf\ntvdm.vbe
Odstránenie:
Upozornenie.
Nesprávnou úpravou databázy Registry sa môže vážne poškodiť operačný systém a môže sa požadovať jeho opätovná inštalácia.
Preto vytvorte si nový bod obnovy, alebo zálohujte registry.
1:V systéme Windows vista/7/8 Spustite príkazový riadok ako správca.
2:Skopírujte cely text do príkazového riadka.
3:Po prebehnutí príkazu; zatvorte príkazový riadok, a reštartujte počítač.
echo Start
echo =======================================================
echo infekcia: Windows Script Host
echo bitcoin miner
echo Zobrazovaný názov:NtVdmSrv
echo Cesta : C:\Windows\inf\ntvdm.vbe
echo Príkaz pre system32 x86 OS
echo =======================================================
cd %windir% & cd system32
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
echo odstránenie infikovaných: %windir%\Inf\ntvdm.inf
attrib -r -h -s %windir%\Inf\ntvdm.inf
del /q %windir%\Inf\ntvdm.inf
echo odstránenie infikovaných: %windir%\Inf\ntvdm.vbe
attrib -r -h -s %windir%\Inf\ntvdm.vbe
del /q %windir%\Inf\ntvdm.vbe
echo =======================================================
echo Zmena adresára pre x64 OS
echo =======================================================
cd %windir% & cd syswow64
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
echo odstránenie infikovaných: %windir%\Inf\ntvdm.inf
attrib -r -h -s %windir%\Inf\ntvdm.inf
del /q %windir%\Inf\ntvdm.inf
echo odstránenie infikovaných: %windir%\Inf\ntvdm.vbe
attrib -r -h -s %windir%\Inf\ntvdm.vbe
del /q %windir%\Inf\ntvdm.vbe
echo =======================================================
echo Ak chcete získať ďalšie informácie, navštívte www.viruskasino.com
echo =======================================================
echo End
3:Vypneme obnovu systému, win7 XP reštart po reštarte obnovu systému zapneme.echo =======================================================
echo infekcia: Windows Script Host
echo bitcoin miner
echo Zobrazovaný názov:NtVdmSrv
echo Cesta : C:\Windows\inf\ntvdm.vbe
echo Príkaz pre system32 x86 OS
echo =======================================================
cd %windir% & cd system32
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
echo odstránenie infikovaných: %windir%\Inf\ntvdm.inf
attrib -r -h -s %windir%\Inf\ntvdm.inf
del /q %windir%\Inf\ntvdm.inf
echo odstránenie infikovaných: %windir%\Inf\ntvdm.vbe
attrib -r -h -s %windir%\Inf\ntvdm.vbe
del /q %windir%\Inf\ntvdm.vbe
echo =======================================================
echo Zmena adresára pre x64 OS
echo =======================================================
cd %windir% & cd syswow64
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "NtVdmSrv" /f
echo odstránenie infikovaných: %windir%\Inf\ntvdm.inf
attrib -r -h -s %windir%\Inf\ntvdm.inf
del /q %windir%\Inf\ntvdm.inf
echo odstránenie infikovaných: %windir%\Inf\ntvdm.vbe
attrib -r -h -s %windir%\Inf\ntvdm.vbe
del /q %windir%\Inf\ntvdm.vbe
echo =======================================================
echo Ak chcete získať ďalšie informácie, navštívte www.viruskasino.com
echo =======================================================
echo End
4:Preventívne pre skenujte počítač s programom Malwarebytes.
Veľa Šťastia !!
Žiadne komentáre:
Zverejnenie komentára