Ребят, в архиве не exe`шник, а sfx архив и в этом вы можете убедиться, открыв этот exe-файл через любой архиватор. Внутри находится RMS-host, который после запуска вышлет ему на почту ваше ID в системе RMS, и ТС темы получит полный удаленный доступ к вашему компьютеру. Будьте осторожны.
P.S. Антивирус не видит RMS, т.к. он не может сканировать архивы с паролем.
Если вы случайно запустили этот вирус и он уже активирован, то можете даже не пытаться сканировать компьютер, т.к. антивирусы не будут реагировать на вполне легальную программу (RMS), хотя ее и сделали вирусом.
Чтобы удалить вирус, создайте текстовый файл и измените его расширение на .bat . Введите в него следующее содержимое:
Код:
@echo off
taskkill /f /im rutserv.exe
taskkill /f /im rfusclient.exe
reg delete "HKLM\SYSTEM\Remote Manipulator System" /f
@exit
Запускать его нужно сторого ОТ ИМЕНИ АДМИНИСТРАТОРА.
Он убьет процессы RMS`а, а затем удалит раздел реестра, который был создан этим вирусом. Расположения файлов вируса можно увидеть, открыв EXE-файл архиватором (открывается архиватором, так как файл на самом деле является SFX архивом). В данном случае файлы вируса находятся в этой папке: C:\Program Files\winr. Удаляете либо папку полностью, либо файлы которые указаны ниже* (можно будет удалить только после запуска скрипта, код которого написан выше)
*Файлы вируса:
- install.vbs
- install.bat
- regedit.reg
- rfusclient.exe
- Russian.lng
- rutserv.exe
- rutview.exe
- vp8encoder.dll
- vp8decoder.dll
Проделанные действия полностью удалят RMS с компьютера. Надеюсь, конечно, что на бред, написанный в той теме (ее уже удалили), никто не повелся, но все же.
- - - Updated - - -
Кстати, если захотите, можете даже узнать его мейл. Он находится в файле regedit.reg, но он закодирован в HEX. Если кому нужно будет, найдете)
