Jump to content
СофтФорум - всё о компьютерах и не только

WinFile


Recommended Posts

Всем привет ! ! !

кто слыхал об это вирусе ?- Winfile ? если кто то знает плиз скажите как с ним бороться ? он типа в каждой папке создаёт ехе файл с названием этой же папки.и так во всех папках компа. антивирусник видит его не удалить не может ?

где его корень ?

Link to comment
Share on other sites

Format:C:

По-моему это неназвание вируса. Скорее червь. Червя с таким именем нету. Но наверняка себяпрописывает в winfile.exe а потмо уже начинает плодиться.

1 - отключи system restore

2 - загрузись в безопасный режим

3 - в безопасном режиме попробуй просканировать систему

Link to comment
Share on other sites

Format:C:

кто слыхал об это вирусе
Разработчики антивирусов. Это действительно файлы от червя. В отношении рекомендаций могу только присоединиться к elsp, а подробные описания от разработчиков антивирусов (увы, только на английском, не знаю как у тебя с ним, а на русском не попадалось) есть тут и тут.

P.S. Только сейчас заметил, а почему это в разделе о Windows, а не в "Сетевая безопасность"? Все о вирусах и червях - там.

Edited by Тролль
Link to comment
Share on other sites

всем спасибо большое тему можно закрыть...

МТему закрывать не будем. Пока... А вот переместить по адресу - переместим...
Edited by matva
Link to comment
Share on other sites

  • 1 year later...

По ходу новая его разновидность объявилась - каспер, нортон, нод, авг, онтрак и пр. с самыми последними обновлениями его не замечают, а на всех съёмных носителях прописывается этот WINFILE.EXE

Кто знает как с ним справиться?

Link to comment
Share on other sites

Email-Worm.Win32.Rays

Другие названия

Email-Worm.Win32.Rays («Лаборатория Касперского») также известен как: I-Worm.Rays («Лаборатория Касперского»), W32/Wukill.worm (McAfee), W32.Wullik.B@mm (Symantec), Win32.HLLM.Wukill (Doctor Web), W32/Wukill-B (Sophos), Win32/HLLW.Wukill (RAV), WORM_WUKILL.B (Trend Micro), Worm/Rays (H+BEDV), W32/Rays.A (FRISK), Win32:Wukill-B (ALWIL), I-Worm/Wukill.B (Grisoft), Win32.Rays.A@mm (SOFTWIN), Worm.Rays.A (ClamAV), W32/Wukill.A.worm (Panda), Win32/Wukill.B (Eset) Описание

опубликовано 18 мар 2005

Поведение Email-Worm, почтовый червь

Технические детали:

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства.

Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ.

Инсталляция

При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows:

%Windir%\Mstray.exe

При этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла.

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"RavTimeXP"="%Windir%\Mstray.exe"

Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=0

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

MS?DOS????

Текст письма:

???????? MS-DOS????????????????

Имя файла-вложения:

MShelp.EXE

Прочее

Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.

Отрубаешь его в процессах, потом проходишься антивирусом, по всему компу, если вирь давно, то может разфлудиться до 2-3 значного числа файлов, все их надо удалить... Мне сколько раз его приносили таким макаром всегда его убивал! Каспер 6,0.

Edited by woodpeckerrr
Link to comment
Share on other sites

Avastом тоже прекрасно убивается - система не страдает. :mad:

У нас налоговая дискетами все организации заразила :) .

Он еще такие приколы выдает:

1) при вставке текста в Word пишет Hello;

2) создает файлы типа Porno.exe, Foto.exe :D - даже если таких папок нет на винте. :D

Link to comment
Share on other sites

woodpeckerrr

В процессах, в автозапуске и пр. всё поотрубал, но всё равно не получалось убить файлы... В одном из полных описалов этого вибукилл-а было что он в темпе нагло держит временные файлы ~df****.tmp - в оперативке чтоб не светиться - вот они тоже присутствовали и не удалялись.

Так же в том описалове было и про ключи в реестре - проверял в первую очередь - ни фига - видать где-то в другом месте прописывался.

Так же не было ни Мстрэя ни Мсхэлпа...

Явно новая модификация.

Saladin

У меня до Hello не дошло, а вот в соседнем кабинете сегодня уже вылезло.

У нас тут и налоговая эту гадость разносила и другие "бюджетники"...

Убить этого виря удалось только с помощью Зон Аларм Антивирус - остальное что ни ставил тупо игнорило его.

Edited by Mr.Torture
Link to comment
Share on other sites

Забыл сказать - этот вирус вконце концов убивает систему.

Был у нас деятель, который просто его игнорировал("о, вирус, - прикольно!", и т.д.).

Через несколько месяцев Винда сдохла. :bye1:

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...