блин исправил опечатку 13) пункта . не помогло. галка не хочет появляться.хочеться вернуть её из принципа.значения в CheckValue в Nohidden 0 и в showwall 1

в папке(HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ ) Nohidden выставь CheckedValue 2, DefaultValue 0, а в папке Showall выставь CheckedValue 1, DefaultValue 0. Должно помоч

Если есть какие вопросы по данному вырусу или чёто не получается стучите в АСЮ **** или на мыло ***@***.ru

Систему переустанавливать ох как не хочется.. Лень двигатель прогресса ) »

Может что то с самой системой ......? Один из вариантов установить систему совершенно с другого диска нежели с которого вы ставили раньше ...

XP170677, обратите внимание на дату сообщения neja.

...Извиняюсь, тема старая конечно, но у меня вопрос -

Есть такой вирус - Worm.BAT.Autorun.dl

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Является файлом командного интерпретатора (BAT-файл). Имеет размер 3596 байт.Деструктивная активность
После запуска червь скрывает защищенные системные файлы, устанавливая "0" в параметр "ShowSuperHidden" следующего ключа системного реестра:
[HKCU\Software\Microsoft\Window s\CurrentVersion\Explorer\Adva nced]
Затем пытается скопировать файл:
%WinDir%\atidrv.exe
в каталог
d:\recycler
Удаляет из каталога Windows файлы с именами:
%WinDir%\yes
%WinDir%\info
После чего при помощи команды "ping" отправляет 20 ICMP запросов на следующий IP:
127.0.0.1
И устанавливает таймаут для ответа в 400 миллисекунд.
Далее червь копирует в коревой каталог логических дисков "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c" следующие файлы:
%WinDir%\autorun.inf
%WinDir%\ati2.bat
%WinDir%\ati2.vbs
Проверяет наличие доступа к сетевым узлам:
ftp.kam***.ru
***.mine.nu
И создает в каталоге Windows текстовые файлы:
%WinDir%\ati.txt
%WinDir%\sc.txt
%WinDir%\sc2.txt
%WinDir%\sc3.txt
В данные файлы червь сохраняет команды просмотра каталогов и загрузки файлов с удаленного FTP сервера. Используя файлы с командами, вредонос выполняет загрузку файлов с FTP сервера "***.mine.nu", которые затем сохраняет в корневой каталог Windows под именами:
%WinDir%\ras.exe – 39325 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.Dialupass. ac
%WinDir%\zip.exe
%WinDir%\bla.exe
%WinDir%\pro.exe – 24297 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.PassView.b j
C:\Windows\upd.exe
Также пытается загрузить с FTP сервера:
ftp.kam***.ru
файл "atidrv.exe" и сохранить его в каталог Windows с тем же именем:
%WinDir%\atidrv.exe
На момент создания описания данный FTP сервер не работал.
Затем запускает данный файл на выполнение с такими параметрами:
atidrv.exe -o –sviator
При наличии файла с именем:
%WinDir%\upd.exe
запускает его на выполнение, а затем производит его удаление. После этого червь запускает на выполнение файлы "ras.exe" и "pro.exe" с ведением файлов отчетов, которые создаются в том же каталоге. Запуск файлов производится со следующими параметрами:
%WinDir%\ras.exe /allusers /stab %WinDir%\ras.log
%WinDir%\pro.exe /stab %WinDir%\pro.log
Затем червь получает системную информацию компьютера пользователя, а именно:
Полные сведенья о конфигурации системы.
Список запущенных процессов.
Полную информацию о параметрах сети.
Все сетевые подключения и ожидающие порты.
Содержимое таблицы маршрутизации.
Результаты трассировки маршрута к домену "ya.ru".
Корневой DNS сервер.
Список всех установленных программ, которые располагаются в
%Program Files%/
Собранную информацию червь сохраняет в файл с именем:
%WinDir%\info
Упаковывает файл при помощи ранее загруженной программы "PKZIP", устанавливая на архив пароль – "viator".
Запускает самораспаковывающийся архив:
%WinDir%\bla.exe
И затем при помощи извлеченного консольного приложения для отправки электронной почты:
%WinDir%\blat.exe
отправляет файл с похищенной информацией
%WinDir%\info.zip
на электронную почту злоумышленника:
[Только зарегистрированные пользователи могут видеть ссылки]
Также червь пытается удалить все файлы с расширением "mp3", которые находятся на логических дисках "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c". Ищет все файлы командного интерпретатора (bat-файлы) на дисках "с"-"m", сбрасывает все установленные атрибуты и сохраняет полный путь к файлам в текстовый файл:
%WinDir%\reg2.txt
Пути, которые содержат в себе строку
volume recycled recycler windows
сохраняются в файл:
%WinDir%\reg.txt

Параметр "ShowSuperHidden" по умолчанию какой должен стоять в чистой винде? 1 или 2 ???
И если стоит "0", то что - вирус?
Заранее благодарю.