При подозрении на заражение рекомендуется предпринять следующий ряд действий (системы w9x).
а) проверить файл %WINDIR%/system.ini на содержание строки вида shell= explorer.exe load.exe -donotloadold
При наличие этой строки вы, скорее всего, были заражены и вам следует перезагрузиться в DOS-режиме. После перезагрузки следует заменить эту строку на shell=explorer.exe и перейти в %WINDIR%\system:
1) выполняем attrib -s -h riched20.dll (делаем видимыми)
2) attrib -s -h load.exe
3) удаляем riched20.dll, 56kb
4) удаляем load.exe
Windows 98 хранит резервный файл system.ini в:
%WINDIR%\sysbckup\rb000.cab (001.cab и т. д)
в котором может быть зараженный system.ini.
Червь также сохраняет ряд файлов во временной директории (windows\temp).Данные файлы могут содержать тело червя load.exe.
После перезагрузки, wininit.ini переименует эти файлы и восстановит load.exe, включая резервную копию system.ini из rb000.cab, после чего будет загружен load.exe, также будут перезагружены все процессы.
Вместе с riched20.dll, вам необходимо будет удалить и восстановить MAPI.DLL, возможно также и winzip32.dll.
Список файлов которые, вероятнее всего, необходимо заменить (включая и прочие типы windows-клонов, более старшие, чем windows millenium):
winzip32.exе
riched20.dll
MAPI32.DLL
MPR.DLL
mmc.exe
system.ini
load.exe
Найдите и уничтожьте все подозрительные файлы типа: .eml, *.nws,
readme*.exe, load.exe.
by ShooTer╝,2001