Вирус..., Лекарство??? Опции

[Clerick]

Вчера Касперский обнаружил червя Worm.Dos.Winorm.1898 и написал, что зараженный им файл autoexec.bat не подлежит лечению и предложил его удалить... Пытался найти в инете лекарство и не нашел... Может его и нет вообще... Что делать???

[Призрак]

Что делать???

советую а)проверить точно ли autoexec.bat, если да то б)открываешь файл блокнотом копируешь все что там написано, удаляешь его создаешь новый и вставляешь...все..ну и есесвенно проверяешься на вирусы

[Clerick]

создаешь новый

Все хорошо, только один вопрос каким образом???

[Призрак]

создаешь новый текстовый файл..и потом меняешь в его расширение .txt на .bat и все удачи справшивай если что

[volvo]

каким образом???

Контекстное меню -> Создать текстовый файл
у тебя что, тоже отключилось?

Start -> Run -> cmd -> copy con autoexec.bat
в крайнем случае...

[Призрак]

Контекстное меню -> Создать текстовый файл
у тебя что, тоже отключилось?

Start -> Run -> cmd -> copy con autoexec.bat
в крайнем случае...

мое почтение

[Clerick]

Да не, как создать я знаю!!! Некорректно сформулировал вопрос, что в том файле должно быть? В моем лишь про вирус...

[Призрак]

Да не, как создать я знаю!!! Некорректно сформулировал вопрос, что в том файле должно быть? В моем лишь про вирус...

ты знаешь где он находиться?autoexec.bat????если да то правой клавишей на него изменить или открыть с помощью блокнота...копируешь оттуда все что есть..и вставляешь в новый..все

Если что обычно он находиться на системном диске обычно C:\autoexec.bat
если в другом месте лежить зараженный то напиши где он...он должен иметь атррибут скрытый.если он лежит в другом месте ничего не делай с ним а иди на системный диск и смотри если там твой автоекзек.

[Clerick]

Ладно, попробую обяснить проблему по другому.

В файле c:\autoexec.bat находиться вирус, котрый поменял то, что было записано раньше, (стандартную инфу о компе, если так можно сказать), теперь в файле какие-то другие записи. Если я их скопирую в новый autoexec.bat то получу тот же зараженный файл.

Мне нужно знать что в исходном файле было или есть ли резервные копии autoexe.bat на компе.(создает ли их Windows)

Сообщение отредактировано: Clerick - 18.03.2006 20:33

[Гость]

Мне нужно знать что в исходном файле было или есть ли резервные копии autoexe.bat на компе.(создает ли их Windows)

создает!называеться autoexec.bak

[Clerick]

И где он находится???

[volvo]

Clerick
А ты уверен, что автор вируса не знает про резервные копии? Может и они тоже заражены?


Попробуй посмотреть в папке WINDOWS\repair

[Clerick]

Нету его там...

А вот про сам вирус инфа

worm.DOS.Wi no rm.1898
Другие названия Worm.DOS.winorm.1898 («Лаборатория Касперского») также известен как: winorm.1898
(«лаборатория Касперского»), winWorm.bat (McAfee), BV:Winworm-1898 (ALWIL), winorm.1898 (Panda)

Описание опубликовано 20 мар 2002

Поведение Virus, компьютерный вирус
технические детали

Неопасный нерезидентный полиморфный вирус-червь. Является DOS СОМ-файлом размером около 2К, зашифрован полиморфик-кодом. при распространении использует особенности операционной системы windows и по этой причине работоспособен только под Windows.

При запуске зараженного файла червь инсталлирует себя в систему. Он копирует себя в системный каталог windows с именем WINWORM.COM, в корневой каталог windows с именами WINDLL.COM и WINSIS.COM (оба файла имеют атрибут "скрытый"). После инсталляции в системе также остается копия червя под именем C:\WW.COM.

Инсталляция происходит в два этапа. Сначала червь создает свою копию с именем WW.DAT в корне диска С: и записывает в начало файла C:\AUTOEXEC.BAT команды, которые при перезагрузке компьютера завершают инсталляцию червя в систему.

в файл WIN.INI червь записывает команду своего авто-запуска:
[windows]
load=WinSis.Com

Червь также создает следующие файлы в каталоге windows:
DRIVE.BAT
LOADCOM.ВАТ
COPYFILE.BAT
DRIVE.PIF
и в подкаталоге \SendTo каталога Windows:
дискЗ_~1.1пк

червь также модифицирует ключи системного реестра:
HKEY_CLASSES_ROOT\comfile\shell\open\command @="i_oadCom.Bat %1"
HKEY_CLASSES_ROOT\Drive\shel1\open\command @="Drive.Pif %1"

что приводит к активизации копии червя при запуске DOS СОМ-файлов и при выборе нового диска, червь при этом копирует себя на диск А: (если в нем есть дискета), имя этой копии червя - NEWGAME.COM.
червь не содержит деструктивных функций. Содержит строки:

[winwonrL.1.0] [WDME 5.0]

Сообщение отредактировано: Clerick - 18.03.2006 20:52

[volvo]

Clerick, ты знаешь, трудно искать черную кошку в темной комнате... Ты бы ХОТЯ БЫ написал, какой Windows у тебя !!!

[Clerick]

Xp proffesional Sp-2!!!

[volvo]

Кнопку Run -> Search тоже никто не отменял! Зайди и поищи по имени, в конце-то концов!

[Clerick]

Зайди и поищи по имени, в конце-то концов!

Уже пробовал!!! Seach ничего нашел! Как и не находил
DRIVE.BAT
LOADCOM.ВАТ
COPYFILE.BAT
DRIVE.PIF
WINDLL.COM и WINSIS.COM

зы: поиск вел кроме обычных и в скрытых,системных файлах тоже.

[Призрак]

зы: поиск вел кроме обычных и в скрытых,системных файлах тоже.

сделай скриншот диска С со скрытыми файлами плз и выложи здесь я посмотрю

[Clerick]

Все, вирус благополучно уничтожен!!! Отдельное спасибо Призраку!!! (respect!!!)

Тему можно закрывать!!!

Сообщение отредактировано: Clerick - 19.03.2006 0:22

[Призрак]

Тема закрыта.(ПСЖ)