ANTICHAT — форум по информационной безопасности, OSINT и технологиям

проверь систему на вирусы и на спайварез..

з.ы. у мня похожая хрень была когдато.. словил Троян.Даунлоадера.. вылечилось полной проверкой системы на вири

а ты с твикерами не баловался?
2) а ты уверен что это папка? есть вири которые просто копируют иконку с других файлов.

__________________
*********************************
*Я не волшебник ٩(๏̯͡๏)۶, только учусь...*
*********************************
Программы на заказ
Times to fly...

Проверка и удаление вирусов не помогла,
твикерами никогда не пользовался. Это не папка, просто она выглядит как папка, а в свойствах написано «Приложение», но если ее открыть ничего не происходит. И еще при загрузке компьютера появилась новая задача - "WinIme" с иконкой как эти "папки".

Запусти HijackThis
После проверки программой, запости лог сюда.

Email-Worm.Win32.Rays («Лаборатория Касперского»)
также известен как: I-Worm.Rays («Лаборатория Касперского»), W32/Wukill.worm (McAfee), W32.Wullik.B@mm (Symantec), Win32.HLLM.Wukill (Doctor Web), W32/Wukill-B (Sophos), Win32/HLLW.Wukill (RAV), WORM_WUKILL.B (Trend Micro), Worm/Rays (H+BEDV), W32/Rays.A (FRISK), Win32:Wukill-B (ALWIL), I-Worm/Wukill.B (Grisoft), Win32.Rays.A@mm (SOFTWIN), Worm.Rays.A (ClamAV), W32/Wukill.A.worm (Panda), Win32/Wukill.B (Eset)

Описание опубликовано 18 мар 2005
Поведение Email-Worm, почтовый червь

Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства.
Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ.

Инсталляция
При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows:
%Windir%\Mstray.exe

При этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла:
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RavTimeXP"="%Windir%\Mstray.exe"

Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden"=0

Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем
Тема письма:
MS?DOS????

Текст письма:
???????? MS-DOS????????????????

Имя файла-вложения:
MShelp.EXE

Прочее
Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.


Совет:
Не все антивирусы его видят и удаляют.
Касперского он сразу прекрывает (хотя шестой касперыч помоему удаляет).
Нод - может его удалить при первом запуске.
проверить реест, проверить папку виндовс. Поменьше открывайте полный доступ на долгое время. и читайте письма внимательней


з.ы. полную версию с картинками смотрим тут:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=22895

Был у меня этот червь, подцепил на варезнике, 6ой Каспер на ура удаляет, в принципе НОД тоже

да это он гад!!!
но странно то что никакого письма я не получал.
спасибо rijy