WinFile

[Format:C]

Всем привет ! ! !

кто слыхал об это вирусе ?- Winfile ? если кто то знает плиз скажите как с ним бороться ? он типа в каждой папке создаёт ехе файл с названием этой же папки.и так во всех папках компа. антивирусник видит его не удалить не может ?

где его корень ?

[elsp]

Format:C:

По-моему это неназвание вируса. Скорее червь. Червя с таким именем нету. Но наверняка себяпрописывает в winfile.exe а потмо уже начинает плодиться.

1 - отключи system restore

2 - загрузись в безопасный режим

3 - в безопасном режиме попробуй просканировать систему

[Тролль]

Format:C:

кто слыхал об это вирусе

Разработчики антивирусов. Это действительно файлы от червя. В отношении рекомендаций могу только присоединиться к elsp, а подробные описания от разработчиков антивирусов (увы, только на английском, не знаю как у тебя с ним, а на русском не попадалось) есть тут и тут.

P.S. Только сейчас заметил, а почему это в разделе о Windows, а не в "Сетевая безопасность"? Все о вирусах и червях - там.

Изменено 14 августа, 2005 пользователем Тролль

[Format:C]

всем спасибо большое тему можно закрыть...

МТему закрывать не будем. Пока... А вот переместить по адресу - переместим...

Изменено 15 августа, 2005 пользователем matva

[Mr.Torture]

По ходу новая его разновидность объявилась - каспер, нортон, нод, авг, онтрак и пр. с самыми последними обновлениями его не замечают, а на всех съёмных носителях прописывается этот WINFILE.EXE

Кто знает как с ним справиться?

[woodpeckerrr]

Email-Worm.Win32.Rays

Другие названия

Email-Worm.Win32.Rays («Лаборатория Касперского») также известен как: I-Worm.Rays («Лаборатория Касперского»), W32/Wukill.worm (McAfee), W32.Wullik.B@mm (Symantec), Win32.HLLM.Wukill (Doctor Web), W32/Wukill-B (Sophos), Win32/HLLW.Wukill (RAV), WORM_WUKILL.B (Trend Micro), Worm/Rays (H+BEDV), W32/Rays.A (FRISK), Win32:Wukill-B (ALWIL), I-Worm/Wukill.B (Grisoft), Win32.Rays.A@mm (SOFTWIN), Worm.Rays.A (ClamAV), W32/Wukill.A.worm (Panda), Win32/Wukill.B (Eset) Описание

опубликовано 18 мар 2005

Поведение Email-Worm, почтовый червь

Технические детали:

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства.

Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ.

Инсталляция

При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows:

%Windir%\Mstray.exe

При этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла.

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"RavTimeXP"="%Windir%\Mstray.exe"

Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=0

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

MS?DOS????

Текст письма:

???????? MS-DOS????????????????

Имя файла-вложения:

MShelp.EXE

Прочее

Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.

Отрубаешь его в процессах, потом проходишься антивирусом, по всему компу, если вирь давно, то может разфлудиться до 2-3 значного числа файлов, все их надо удалить... Мне сколько раз его приносили таким макаром всегда его убивал! Каспер 6,0.

Изменено 27 декабря, 2006 пользователем woodpeckerrr

[Saladin]

Avastом тоже прекрасно убивается - система не страдает.

У нас налоговая дискетами все организации заразила :) .

Он еще такие приколы выдает:

1) при вставке текста в Word пишет Hello;

2) создает файлы типа Porno.exe, Foto.exe :D - даже если таких папок нет на винте. :D

[Mr.Torture]

woodpeckerrr

В процессах, в автозапуске и пр. всё поотрубал, но всё равно не получалось убить файлы... В одном из полных описалов этого вибукилл-а было что он в темпе нагло держит временные файлы ~df****.tmp - в оперативке чтоб не светиться - вот они тоже присутствовали и не удалялись.

Так же в том описалове было и про ключи в реестре - проверял в первую очередь - ни фига - видать где-то в другом месте прописывался.

Так же не было ни Мстрэя ни Мсхэлпа...

Явно новая модификация.

Saladin

У меня до Hello не дошло, а вот в соседнем кабинете сегодня уже вылезло.

У нас тут и налоговая эту гадость разносила и другие "бюджетники"...

Убить этого виря удалось только с помощью Зон Аларм Антивирус - остальное что ни ставил тупо игнорило его.

Изменено 28 декабря, 2006 пользователем Mr.Torture

[Saladin]

Забыл сказать - этот вирус вконце концов убивает систему.

Был у нас деятель, который просто его игнорировал("о, вирус, - прикольно!", и т.д.).

Через несколько месяцев Винда сдохла.