Полная версия: Вирус...
Вчера Касперский обнаружил червя Worm.Dos.Winorm.1898 и написал, что зараженный им файл autoexec.bat не подлежит лечению и предложил его удалить... Пытался найти в инете лекарство и не нашел... Может его и нет вообще... Что делать???
Цитата(Clerick @ 18.03.2006 14:05)
Что делать???
советую а)проверить точно ли autoexec.bat, если да то б)открываешь файл блокнотом копируешь все что там написано, удаляешь его создаешь новый и вставляешь...все..ну и есесвенно проверяешься на вирусы
Цитата(Призрак @ 18.03.2006 17:22) 
создаешь новый
Все хорошо, только один вопрос каким образом???
создаешь новый текстовый файл..и потом меняешь в его расширение .txt на .bat и все удачи справшивай если что
Цитата
каким образом???
Контекстное меню -> Создать текстовый файл
у тебя что, тоже отключилось?
Start -> Run -> cmd -> copy con autoexec.bat
в крайнем случае...
Цитата(volvo @ 18.03.2006 15:30)
Контекстное меню -> Создать текстовый файл
у тебя что, тоже отключилось?
Start -> Run -> cmd -> copy con autoexec.bat
в крайнем случае...
мое почтение
Да не, как создать я знаю!!! Некорректно сформулировал вопрос, что в том файле должно быть? В моем лишь про вирус...
Цитата(Clerick @ 18.03.2006 15:44)
Да не, как создать я знаю!!! Некорректно сформулировал вопрос, что в том файле должно быть? В моем лишь про вирус...
ты знаешь где он находиться?autoexec.bat????если да то правой клавишей на него изменить или открыть с помощью блокнота...копируешь оттуда все что есть..и вставляешь в новый..все
Если что обычно он находиться на системном диске обычно C:\autoexec.bat
если в другом месте лежить зараженный то напиши где он...он должен иметь атррибут скрытый.если он лежит в другом месте ничего не делай с ним а иди на системный диск и смотри если там твой автоекзек.
Ладно, попробую обяснить проблему по другому.
В файле c:\autoexec.bat находиться вирус, котрый поменял то, что было записано раньше, (стандартную инфу о компе, если так можно сказать), теперь в файле какие-то другие записи. Если я их скопирую в новый autoexec.bat то получу тот же зараженный файл.
Мне нужно знать что в исходном файле было или есть ли резервные копии autoexe.bat на компе.(создает ли их Windows)
В файле c:\autoexec.bat находиться вирус, котрый поменял то, что было записано раньше, (стандартную инфу о компе, если так можно сказать), теперь в файле какие-то другие записи. Если я их скопирую в новый autoexec.bat то получу тот же зараженный файл.
Мне нужно знать что в исходном файле было или есть ли резервные копии autoexe.bat на компе.(создает ли их Windows)
Цитата(Clerick @ 18.03.2006 16:32)
Мне нужно знать что в исходном файле было или есть ли резервные копии autoexe.bat на компе.(создает ли их Windows)
создает!называеться autoexec.bak
И где он находится???
Clerick
А ты уверен, что автор вируса не знает про резервные копии? Может и они тоже заражены?
Попробуй посмотреть в папке WINDOWS\repair
А ты уверен, что автор вируса не знает про резервные копии? Может и они тоже заражены?
Попробуй посмотреть в папке WINDOWS\repair
Нету его там... 
А вот про сам вирус инфа
А вот про сам вирус инфа
Цитата
worm.DOS.Wi no rm.1898
Другие названия Worm.DOS.winorm.1898 («Лаборатория Касперского») также известен как: winorm.1898
(«лаборатория Касперского»), winWorm.bat (McAfee), BV:Winworm-1898 (ALWIL), winorm.1898 (Panda)
Описание опубликовано 20 мар 2002
Поведение Virus, компьютерный вирус
технические детали
Неопасный нерезидентный полиморфный вирус-червь. Является DOS СОМ-файлом размером около 2К, зашифрован полиморфик-кодом. при распространении использует особенности операционной системы windows и по этой причине работоспособен только под Windows.
При запуске зараженного файла червь инсталлирует себя в систему. Он копирует себя в системный каталог windows с именем WINWORM.COM, в корневой каталог windows с именами WINDLL.COM и WINSIS.COM (оба файла имеют атрибут "скрытый"). После инсталляции в системе также остается копия червя под именем C:\WW.COM.
Инсталляция происходит в два этапа. Сначала червь создает свою копию с именем WW.DAT в корне диска С: и записывает в начало файла C:\AUTOEXEC.BAT команды, которые при перезагрузке компьютера завершают инсталляцию червя в систему.
в файл WIN.INI червь записывает команду своего авто-запуска:
[windows]
load=WinSis.Com
Червь также создает следующие файлы в каталоге windows:
DRIVE.BAT
LOADCOM.ВАТ
COPYFILE.BAT
DRIVE.PIF
и в подкаталоге \SendTo каталога Windows:
дискЗ_~1.1пк
червь также модифицирует ключи системного реестра:
HKEY_CLASSES_ROOT\comfile\shell\open\command @="i_oadCom.Bat %1"
HKEY_CLASSES_ROOT\Drive\shel1\open\command @="Drive.Pif %1"
что приводит к активизации копии червя при запуске DOS СОМ-файлов и при выборе нового диска, червь при этом копирует себя на диск А: (если в нем есть дискета), имя этой копии червя - NEWGAME.COM.
червь не содержит деструктивных функций. Содержит строки:
[winwonrL.1.0] [WDME 5.0]
Другие названия Worm.DOS.winorm.1898 («Лаборатория Касперского») также известен как: winorm.1898
(«лаборатория Касперского»), winWorm.bat (McAfee), BV:Winworm-1898 (ALWIL), winorm.1898 (Panda)
Описание опубликовано 20 мар 2002
Поведение Virus, компьютерный вирус
технические детали
Неопасный нерезидентный полиморфный вирус-червь. Является DOS СОМ-файлом размером около 2К, зашифрован полиморфик-кодом. при распространении использует особенности операционной системы windows и по этой причине работоспособен только под Windows.
При запуске зараженного файла червь инсталлирует себя в систему. Он копирует себя в системный каталог windows с именем WINWORM.COM, в корневой каталог windows с именами WINDLL.COM и WINSIS.COM (оба файла имеют атрибут "скрытый"). После инсталляции в системе также остается копия червя под именем C:\WW.COM.
Инсталляция происходит в два этапа. Сначала червь создает свою копию с именем WW.DAT в корне диска С: и записывает в начало файла C:\AUTOEXEC.BAT команды, которые при перезагрузке компьютера завершают инсталляцию червя в систему.
в файл WIN.INI червь записывает команду своего авто-запуска:
[windows]
load=WinSis.Com
Червь также создает следующие файлы в каталоге windows:
DRIVE.BAT
LOADCOM.ВАТ
COPYFILE.BAT
DRIVE.PIF
и в подкаталоге \SendTo каталога Windows:
дискЗ_~1.1пк
червь также модифицирует ключи системного реестра:
HKEY_CLASSES_ROOT\comfile\shell\open\command @="i_oadCom.Bat %1"
HKEY_CLASSES_ROOT\Drive\shel1\open\command @="Drive.Pif %1"
что приводит к активизации копии червя при запуске DOS СОМ-файлов и при выборе нового диска, червь при этом копирует себя на диск А: (если в нем есть дискета), имя этой копии червя - NEWGAME.COM.
червь не содержит деструктивных функций. Содержит строки:
[winwonrL.1.0] [WDME 5.0]
Clerick, ты знаешь, трудно искать черную кошку в темной комнате... Ты бы ХОТЯ БЫ написал, какой Windows у тебя !!!
Xp proffesional Sp-2!!!
Кнопку Run -> Search тоже никто не отменял! Зайди и поищи по имени, в конце-то концов!
Цитата(volvo @ 18.03.2006 18:52)
Зайди и поищи по имени, в конце-то концов!
Уже пробовал!!! Seach ничего нашел! Как и не находил
DRIVE.BAT
LOADCOM.ВАТ
COPYFILE.BAT
DRIVE.PIF
WINDLL.COM и WINSIS.COM
зы: поиск вел кроме обычных и в скрытых,системных файлах тоже.
Цитата(Clerick @ 18.03.2006 16:55)
зы: поиск вел кроме обычных и в скрытых,системных файлах тоже.
сделай скриншот диска С со скрытыми файлами плз и выложи здесь я посмотрю
Все, вирус благополучно уничтожен!!! 
Отдельное спасибо Призраку!!! (respect!!!) 
Тему можно закрывать!!!
Отдельное спасибо Призраку!!! (respect!!!) Тему можно закрывать!!!
Тема закрыта.(ПСЖ)
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.