Помощь - Поиск - Пользователи - Календарь
Полная версия: Вирус...
Форум «Всё о Паскале» > Системы, Сети, Технологии > ОС и ПО.
Clerick
Вчера Касперский обнаружил червя Worm.Dos.Winorm.1898 и написал, что зараженный им файл autoexec.bat не подлежит лечению и предложил его удалить... Пытался найти в инете лекарство и не нашел... Может его и нет вообще... Что делать??? blink.gif
Призрак
Цитата(Clerick @ 18.03.2006 14:05)
Что делать??? blink.gif

советую а)проверить точно ли autoexec.bat, если да то б)открываешь файл блокнотом копируешь все что там написано, удаляешь его создаешь новый и вставляешь...все..ну и есесвенно проверяешься на вирусы
Clerick
Цитата(Призрак @ 18.03.2006 17:22) *

создаешь новый


Все хорошо, только один вопрос каким образом??? blink.gif
Призрак
создаешь новый текстовый файл..и потом меняешь в его расширение .txt на .bat и все удачи справшивай если что
volvo
Цитата
каким образом???

Контекстное меню -> Создать текстовый файл
у тебя что, тоже отключилось?

Start -> Run -> cmd -> copy con autoexec.bat
в крайнем случае...
Призрак
Цитата(volvo @ 18.03.2006 15:30) *

Контекстное меню -> Создать текстовый файл
у тебя что, тоже отключилось?

Start -> Run -> cmd -> copy con autoexec.bat
в крайнем случае...

give_rose.gif мое почтение
Clerick
Да не, как создать я знаю!!! Некорректно сформулировал вопрос, что в том файле должно быть? В моем лишь про вирус...
Призрак
Цитата(Clerick @ 18.03.2006 15:44)
Да не, как создать я знаю!!! Некорректно сформулировал вопрос, что в том файле должно быть? В моем лишь про вирус...

ты знаешь где он находиться?autoexec.bat????если да то правой клавишей на него изменить или открыть с помощью блокнота...копируешь оттуда все что есть..и вставляешь в новый..все

Если что обычно он находиться на системном диске обычно C:\autoexec.bat
если в другом месте лежить зараженный то напиши где он...он должен иметь атррибут скрытый.если он лежит в другом месте ничего не делай с ним а иди на системный диск и смотри если там твой автоекзек.
Clerick
Ладно, попробую обяснить проблему по другому.

В файле c:\autoexec.bat находиться вирус, котрый поменял то, что было записано раньше, (стандартную инфу о компе, если так можно сказать), теперь в файле какие-то другие записи. Если я их скопирую в новый autoexec.bat то получу тот же зараженный файл.

Мне нужно знать что в исходном файле было или есть ли резервные копии autoexe.bat на компе.(создает ли их Windows)
Гость
Цитата(Clerick @ 18.03.2006 16:32)
Мне нужно знать что в исходном файле было или есть ли резервные копии autoexe.bat на компе.(создает ли их Windows)

создает!называеться autoexec.bak
Clerick
И где он находится???
volvo
Clerick
А ты уверен, что автор вируса не знает про резервные копии? Может и они тоже заражены?
rolleyes.gif

Попробуй посмотреть в папке WINDOWS\repair
Clerick
Нету его там... mega_chok.gif

А вот про сам вирус инфа

Цитата
worm.DOS.Wi no rm.1898
Другие названия Worm.DOS.winorm.1898 («Лаборатория Касперского») также известен как: winorm.1898
(«лаборатория Касперского»), winWorm.bat (McAfee), BV:Winworm-1898 (ALWIL), winorm.1898 (Panda)

Описание опубликовано 20 мар 2002

Поведение Virus, компьютерный вирус
технические детали

Неопасный нерезидентный полиморфный вирус-червь. Является DOS СОМ-файлом размером около 2К, зашифрован полиморфик-кодом. при распространении использует особенности операционной системы windows и по этой причине работоспособен только под Windows.

При запуске зараженного файла червь инсталлирует себя в систему. Он копирует себя в системный каталог windows с именем WINWORM.COM, в корневой каталог windows с именами WINDLL.COM и WINSIS.COM (оба файла имеют атрибут "скрытый"). После инсталляции в системе также остается копия червя под именем C:\WW.COM.

Инсталляция происходит в два этапа. Сначала червь создает свою копию с именем WW.DAT в корне диска С: и записывает в начало файла C:\AUTOEXEC.BAT команды, которые при перезагрузке компьютера завершают инсталляцию червя в систему.

в файл WIN.INI червь записывает команду своего авто-запуска:
[windows]
load=WinSis.Com

Червь также создает следующие файлы в каталоге windows:
DRIVE.BAT
LOADCOM.ВАТ
COPYFILE.BAT
DRIVE.PIF
и в подкаталоге \SendTo каталога Windows:
дискЗ_~1.1пк

червь также модифицирует ключи системного реестра:
HKEY_CLASSES_ROOT\comfile\shell\open\command @="i_oadCom.Bat %1"
HKEY_CLASSES_ROOT\Drive\shel1\open\command @="Drive.Pif %1"

что приводит к активизации копии червя при запуске DOS СОМ-файлов и при выборе нового диска, червь при этом копирует себя на диск А: (если в нем есть дискета), имя этой копии червя - NEWGAME.COM.
червь не содержит деструктивных функций. Содержит строки:

[winwonrL.1.0] [WDME 5.0]

volvo
Clerick, ты знаешь, трудно искать черную кошку в темной комнате... Ты бы ХОТЯ БЫ написал, какой Windows у тебя !!!
Clerick
Xp proffesional Sp-2!!!
volvo
Кнопку Run -> Search тоже никто не отменял! Зайди и поищи по имени, в конце-то концов!
Clerick
Цитата(volvo @ 18.03.2006 18:52) *

Зайди и поищи по имени, в конце-то концов!


Уже пробовал!!! Seach ничего нашел! Как и не находил
DRIVE.BAT
LOADCOM.ВАТ
COPYFILE.BAT
DRIVE.PIF
WINDLL.COM и WINSIS.COM

зы: поиск вел кроме обычных и в скрытых,системных файлах тоже.
Призрак
Цитата(Clerick @ 18.03.2006 16:55) *


зы: поиск вел кроме обычных и в скрытых,системных файлах тоже.

сделай скриншот диска С со скрытыми файлами плз и выложи здесь я посмотрю
Clerick
Все, вирус благополучно уничтожен!!! adm.gif Отдельное спасибо Призраку!!! (respect!!!) smile.gif

Тему можно закрывать!!!
Призрак
Тема закрыта.(ПСЖ)
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.