I falešný virový poplach vám může poškodit počítač  zdroj
     

 

Převzato z jiných www stránek :o(

I falešný virový poplach vám může poškodit počítač

zdroj: http://www.zive.cz/h/PocitaceaInternet/AR.asp?ARI=100401

Falešné virové poplachy zvyšují inteligenci. Nový hoax, který se šíří v anglicky mluvících zemích, ale je jen otázkou, kdy ho někdo přeloží do češtiny, vás vybízí k mazání souboru na vašem disku. Kupodivu úspěšně.

Tento hoax s označením SULFNBK totiž upozorňuje uživatele na nový virus, který je umístěn v souboru SULFNBK.EXE. Tento virus údajně může smazat všechny soubory na pevném disku a žádný antivir ho nezjistí (jak fádní). Vtip je ale v tom, že SULFNBK.EXE na vašem počítači skutečně existuje, pokud tam máte Windows. Je to totiž systémová utilitka využitelná pro zálohování dlouhých názvů souborů. Název je hodně nelogický a stejně tak se tento nástroj příliš nepoužívá, takže může vzbudit dojem, že je v počítači navíc a jedná se o virus. 
Lidé, co si přečtou e-mail, tak ke své hrůze zjistí, že již tento virus na počítači mají, rychle jej smažou a upozorní své okolí. 

Tento hoax ale má logický základ, existuje totiž virus W32/Magistr-A, který opravdu dokáže poškodit BIOS počítače a šíří se právě přes infikování souboru SULFNBK.EXE, který rozesílá poštou. Tento virus ale pochází z letošního března a dnešní aktualizace antivirů jej v pohodě detekují. 

Pokud vám tedy dojde toto varování, nic nemažte, mohli byste si leda uškodit. Podobné hoaxy se ale mohou rozšířit více, systémových souborů s nesmyslnými názvy je rozhodně ještě celá řada.

 

Tři nové přírůstky z virového světa

zdroj: http://www.zive.cz/h/PocitaceaInternet/AR.asp?ARI=100397

HTML.Bother.3180, VBS.Noped.A@mm a W97M.Wrath - tradičně kryptická označení nových virů znamenají jediné, být stále ve střehu.

HTML.Bother.3180 

Jedná se o skript využívající k provádění svých akcí prvky ActiveX, který je umístěn do HTML stránky. Při otevření takové stránky se zobrazí hlášení, že k prohlížení je nutné akceptování ActiveX komponent. V případě, že to povolíte, nebo pokud máte zabezpečení nastaveno na nejnižší úroveň, dojde k aktivaci viru; v opačném případě se skript pochopitelně nespustí. 
Jednou z funkcí je změna výchozí stránky Internet Exploreru a připojování kódu ke všem souborům s příponami .htm a .html ve složkách Windows\Web a Dokumenty. Kromě toho, pokud číslo dne odpovídá náhodně vygenerovanému číslu, změní implicitní ikonu pro HTML soubory. 

Přesný popis funkce: 

Vytvoří na ploše soubor Hello.txt. Jedná se o soubor obsahující pouze dva řádky textu s informacemi o původním skriptu. 
Následně ve složce Windows\System vytvoří soubor PetiK.htm a nastaví ho jako výchozí stránku Internet Exploreru. Výchozí stránka se pak skládá z rámů, přičemž jednu část okna tvoří původní domovská stránka, pod kterou je umístěna další stránka s textem: Hi, you have my Worm. It`s not dangerous. Contact Symantec Corporation (www.symantec.com/avcenter) to disinfect your computer. 
Virus vyhledá všechny soubory s příponou .htm a .html ve složkách Dokumenty a Windows\Web a přidá na jejich konec svůj kód. 
Nakonec vygeneruje náhodné číslo, a pokud se toto číslo shoduje s číslem dne, změní ikonu pro HTML soubory.
Tento virus není ve své podstatě příliš nebezpečný a patrně jedinou nepříjemnou vlastností je již zmíněná změna ikon a výchozí stránky. 


VBS.Noped.A@mm 

Jedná se o červa šířícího se elektronickou poštou, který zobrazuje textový soubor v poznámkovém bloku, přenastaví domovskou stránku Internet Exploreru a vyhledává na všech pevných i sí?ových discích soubory .jpg a .jpeg se specifickými názvy. V případě, že takové soubory nalezne, odešle zprávu náhodnému příjemci ze seznamu vládních agentů. 
E-mail obsahující tento virus má předmět FWD: Help us ALL to END ILLEGAL child porn NOW (Pomozte nám skoncovat s nelegální dětskou pornografií), v příloze je uložen soubor END ILLEGAL child porn NOW.TXT............vbe a tělo zprávy obsahuje text Hi, just a quick e-mail. Please read the attached document as soon as you can. Thanks. Po otevření přiloženého souboru dojde ke spuštění kódu viru. V první řadě se virus rozešle e-mailem na všechny adresy z adresáře kontaktů. Následně zobrazí v poznámkovém bloku soubor s textem pojednávajícím o dětské pornografii a boji proti ní. Poté upraví registry tak, aby se spouštěl současně s operačním systémem, a změní výchozí stránku prohlížeče na stránku autora viru. Nakonec prohledá disky a na nich se podle názvu pokusí nalézt obrázky s pedofilní tematikou; v případě, že nalezne odpovídající soubory, odešle e-mail náhodně vybranému vládnímu agentovi . Tento e-mail má předmět RE: Child Pornography, text Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience a v příloze je přehled nalezených souborů. Na závěr vypne nastavení některých zvuků pro systémové události Windows. 
Virus neprovádí žádné destruktivní akce, není jinak nebezpečný, nicméně má poměrně velkou tendenci šířit se. 

W95.Buggy.Worm@mm Základní funkce spočívá v rozesílání elektronickou poštou v e-mailu s předmětem The last patch for Internet Explorer a přílohou ie042601.exe. Po spuštění se program zaregistruje jako služba, a není tudíž vidět v seznamu spuštěných úloh (pod Windows NT a 2000 to nefunguje). Následně se zkopíruje do složky Windows\Systém a upraví konfigurační soubor win.ini tak, aby došlo k automatickému spuštění viru současně s operačním systémem. Poté vytvoří následující soubory: 

C:\Script.ini 
\Windows\Email.vbs (obsahuje kód viru VBS.Newlove.A). 
C:\Win.drv 
\Windows\Wsock32.bat
Souborem Script.ini pak nahradí soubory C:\Mirc\Script.ini, C:\Mirc32\Script.ini. Tyto soubory jsou přítomné pouze v případě, že uživatel má nainstalován komunikační program mIRC. Po spuštění této aplikace dojde k automatickému odeslání souboru ie042601.exe všem uživatelům, kteří jsou v daném okamžiku na stejném kanále. Další způsob šíření je takřka tradiční – elektronickou poštou ve zprávě, kterou jsme si popsali výše, a samozřejmě na všechny adresy z adresáře kontaktů. Kromě toho se autor pokusil naprogramovat, aby jeho virus zaměnil tapetu pracovní plochy za obrázek Petik.bmp, který si měl stáhnout z Internetu, nicméně v této části zajiš?zapiované souborem Win.drv je chyba, takže tato funkce nefunguje. 

W97M.Wrath 

Makrovirus šířící se v dokumentech MS Word. Po otevření takto infikovaného dokumentu a povolení spuštění maker vytvoří virus nejprve soubory C:\Mswin.dll a C:\Mswin2.dll obsahující zdrojový kód viru. Z těchto souborů následně infikuje globální šablonu Normal.dot a aktuální otevřený dokument. Poté, co je tato akce provedena, jsou soubory C:\Mswin.dll a C:\Mswin2.dll smazány. Pokud je systémové datum mezi 4. a 8. červencem, dojde k vymazání všech souborů ve složkách Dokumenty a Windows a zobrazení zprávy Happy July 4th!. V případě, že je systémové datum 3. července, změní barvu pozadí MS Wordu na modrou a otevře v poznámkovém bloku soubor s textem FEEL MY WRATH........ 
Tento virus lze díky mazání souborů považovat za poměrně nebezpečný, pokud však nepovolíte spouštění maker, nemusíte se ho obávat. V opačném případě si můžete připravit instalační disk operačního systému a vzpomínat na to, kam jste uložili poslední zálohu svých dokumentů.
 

Internet-červ Stator

Kaspersky laboratoř - virové zprávy, Pondělí, Duben 23, 2001
 ***********************************************

Pozor na Internet-červa "Stator"

Byl objeven Internetový červ, který se rozesílá přes populární e-mail klient "The Bat!".

Technické detaily:

Tento Internet-červ využívá elektronickou poštu klienta "The Bat!", za účelem rozšíření. Získá přístup k databázi adresáře elektronické pošty a posílá svoje kopie ve tvaru připojeného souboru k elektronické poště.

Červova kopie obsahuje jméno "photo1.jpg.pif" a obsahuje fotografii neznámé dívky, sedící vedle restaurace MacDonald. Tělo zprávy je rusky psaný text v cyrilici.

Přeložený text zní přibližně: 

Zdravím !!

Vaši adresu jsem dostala od našeho přítele.
Připojila jsem se poprvé k Internetu a dostala tuto poštovní zásilku!
Nyní píši svoji první elektronickou poštu!!!
Řekl mi, že kdybych měla jakékoliv otázky, mohu se Vás zeptat...
Jsem pěkná, rozkošná a družná.
(podívejte se na fotografii)
Čekám na Vaši odpověď!!!
Napište mi něco o sobě a co byste rád věděl o mě.
Na shledanou! Na shledanou!
:)))))))))

Sveta Kovaleva

 

Červ také instaluje sám sebe do systému a nakazí několik systémových souborů. Navíc vysílá hesla a další důvěrné informace z počítače.Pro skrytí jeho aktivity červ zobrazuje JPEG děvčete.

Více technických detailů na Kaspersky vir encyklopedie

http://www.viruslist.com/eng/viruslist.asp?id=4188&key=00001000130000100072 

 

Český virus pro Linux i Windows dohromady

zdroj: http://www.zive.cz/r-art.asp/ID=30932
 

Další bič na líné linuxové administrátory - červ Lion

zdroj: http://www.zive.cz/r-art.asp/app=0x6902124/id=30678



W32.Naked.A : Nenechejte se zlákat nahou ženou!

zdroj: http://www.zive.cz/r-art.asp/app=0x5987818/id=29228

 

VBS/MyBa: Další klon LoveLetteru je tady

zdroj: http://www.zive.cz/r-art.asp/app=0x942959/id=28959


Virový poplach: Anna Kourniková zaplavuje planetu

zdroj: http://www.zive.cz/r-art.asp/app=0x448147/id=27360

Nový virus z kategorie červů zaplavuje Evropu a Spojené státy. Ohroženi jsou především fanoušci známé tenistky a ti, co si nedávají pozor, co spouštějí. Pošli článek 

Virus se šíří jako e-mailová zpráva s předmětem Here you have, ;o), tělo obsahuje Hi: Check This! a v příloze najdete soubor AnnaKournikova.jpg.vbs. použitý je tedy stejný trik se zdvojenými příponami, jako v případě viru ILOVEYOU. Virus nedělá naštěstí nic destruktivního, jen se šíří na všechny adresy z adresáře a zapisuje si údaje do registrů HKEY_USERS\.DEFAULT\Software\OnTheFly\mailed=1, pokud se rozešle. 26. ledna se také pokusí připojit na server http://www.dynabyte.nl. 
Virus pochází nejspíše z Evropy, odkud se již rozšířil do Spojených států a podle posledních informací se šíří velmi podobnou rychlostí jako již zmíněný ILOVEYOU. Záplaty na něj již nabízejí hlavní dodavatelé antivirů, nicméně se jedná o tradiční VBscriptový virus, není to tedy nic neobvyklého, naopak Symantec uvádí, že tento virus byl vytvořen pomocí virového kitu, jeho autor tedy jen vymyslel vhodný předmět a název přílohy, který chytil za srdce. Virus má různá označení: VBS/SST, OnTheFly, VBS/VBSWG.J a další. 



Exkluzivní rozhovor s programátorem virů - GriYo/29A - na Živě ze 23.5. 2000
 



E-mailový červ Hermes

zdroj: http://www.zive.cz/r-art.asp/app=0x6830713/id=26758

E-mailový červ Hermes zcela jistě pochází z České republiky; svědčí o tom nejen jména přikládaných souborů, ale i připojování na server Seznam.cz. Červ využívá tradiční a oblíbenou metodu podstrkování různých souborů s lákavými názvy vybízejícími ke spuštění. I když jsme již dostatečně vyburcováni k ignorování anglicky znějících souborků, Hermes útočí ryze lokálně na zájmy českých uživatelů.

Poté, co uživatel spustí v Outlooku přílohu v došlém e-mailu, se červ rozešle na všechny adresy v adresáři ve zprávě s předmětem RE:, text zprávy tvoří jméno odesílatele. V příloze je červ schovaný do jednoho z následujících souborů o velikosti okolo 20 kB:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr 
Jak vidíte, fanoušci Luneticu mají smůlu, to, o čem si myslí, že by mohl být pěkný spořič obrazovky, je červ. Je zajímavé, že červ používá i „profláknuté“ názvy, jako je Navidat nebo CIH. Nebezpečně lákavé mohou být aktualizace Seti@home nebo cenik.exe.
Červ také zobrazuje dialogová okna s textem:
_ i-Worm.Hermes _
Code by: gl 

This program requires more conventional memory
Unload drivers or memory-resident programs that use conventional memory, or increase the value for Minimum Conventional Memory in the program's Memory properities sheet. 
Červ se dále pokouší o zápis do registrů, ale podle informací na Viruslist, ze kterých jsem čerpal, se mu to díky chybě nepodaří.

Jako perličku na závěr kontaktuje červík server www.seznam.cz, nicméně nic tam nestahuje. Zřejmě ho má natolik rád, že mu chce přihodit pageview zdarma. 


Od autora viru gl_storm :


Tak a deme na věc!
Skoro hned, jak sem dokončil wm97.Ftip, sem se vrhnul na novy projekt, nazval sem ho Hermes (...Hermes je jméno Egyptskeho boha mesice a moudrosti...), melo to byt něco mnohem lepšího než byl Ftip(/i0nst0rm) a protože se docela hodně zabývám programováním ve Visual Basicu (6), tak sem se rozhodl tohoto jazyka pro tento ucel zneužít :) Prvně sem měl vobrovské plány co by "to" melo dělat, ale z nedostatku času i zkušenosti sem to lehce zkrátil. Nakonec se s toho vyklubal jen i-worm + Seti trojan, ale o tom až dále...

O co se jedna?
Jedna se o i-worm napsaný ve VB6 a tudíž k jeho běhu je bezpodmínečně nutný operační systém W95+. Dále je potřeba knihovna msvbvm60.dll, která je standart-ní součástí Win Me/2k :) Bez teto knihovny se červ ani nespustí :( Pro šíření je potřeba MS Outlook 98/2K a dále ještě WSH(Windofs script host), který umožnuje zápis do registru, atd.. Je standart-ní součásti Win98/ME/2K...

...a co nám červ děla?
Pokud červ dorazí, prostřednictvím elektronické pošty jako příloha, a dojde k jeho spuštěni, za splněni podmínek výše, se začnou odehrávat instrukce v něm obsazené a to jsou:

Prvně si červ ověří existenci klice
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Hermes, "...by gl",
pokud existuje okamžitě přeskočí až na konec programu, tj zobrazí jen msgbox a ukonči své působeni. Pokud ne tak zjisti existenci
"%program_files%\ \seti@home\user_info.sah",
pokud existuje, tak ho přepise a Vaše bodíky se budou připočítávat mě;) - (Jedna se o inf soubor k projektu "Seti@home", nějaké hledaní ufounu) Pokud neexistuje, tak neděla nic a pokračuje...
Ověří si připojeni PC k internetu a to tak že se přes IE připojí k serveru www.seznam.cz, pokud uspěje tak si zjisti svou aktuální polohu na disku, nakopíruje se do %windir% jako jedna z následujících variant:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe [...Beeennnnnyyyyy!!!! :)]
ftip.exe
Navidat.exe [...ghhh! to neni chyba :)]
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr

Pod stejným názvem se pokusí odeslat jako příloha na prvních 100 adres v adresáři outlooku. Jako tělo zprávy obsahuje pouze "[%user_name%]", přílohu znáte...
Pokud uspěje, tak si to označí do registru jako :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Hermes, "...by gl",
zobrazí již zminovaný msgbox a skonči, fnuk ;)

Jestli-ze PC není v okamžiku spuštěni červa připojené k internetu, tak se pouze zobrazí:
/This program requires more conventional memory
/Unload drivers or memory-resident programs that
/use conventional memory, or increase the value
/for Minimum Conventional Memory in the program's
/Memory properities sheet.
/
/ [OK]

...a do registru je ulozi "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\REM"
s hodnotou "1", tato hodnota se po každém neúspěšném připojeni k www.seznam.cz zvetsi o "1".
Jakmile hodnota dosahne velikosti "3", tak se čerf odešle i gdys neni PC pripojeno k internetu!, respektive se zapíše do složky "Posta k odesláni" v outlooku.

...a nakonec par perlicek ;)
AVP: The worm also tries to write registry keys but fails to do so because of a bug. 
[Hmmmm?] 

McAfee: Origin: Czechoslovakia 
[???] 

McAfee: This worm will send to users in the address book via MS Outlook if that application is running. If Outlook is not running, the worm does not spread. 
[...a ze o tom nevim? :)] 

McAfee: This worm will attempt to copy itself to the root of all available drives from C: to Z: 
[hehe! zase blbost!!!] 

Trend: The Trojan program contains the following text: "I-Worm.Hermes" 
[...hledal sem, nenasel sem.... :)] 

Trend: It then uses Messaging API to send two identical emails to all addresses in the infected user's MS Outlook Express and/or Microsoft Outlook address books. 
[...bez komentare :(] 

 
gl_storm@seznam.cz
IRC: #virus #mions #virus.cz
http://omega.hyperlink.cz/VX_diary.html


Ze by virus made in CR dal zabrat antivirovym firmam?

http://www.zdnet.co.uk/news/2000/35/ns-17718.html

Dva údajně čeští viráci s pseudonymy Benny/29A a Ratter měli vyvinout postup, kterak zapsat virus do tzv. ADS (Alternate Data Streams) systému NTFS Windows NT/2000. V NTFS se běžná data zapisuji tak, jak je vidíte na disku, ale současně s nimi se zapisuji např. bezpečnostní údaje via ADS - tato data neuvidite, pokud nemate prislusnou utilitu (MS z jasných důvodu žádnou nenabízí). Kdo ale systém prohledne, muže vytvářet další, nestandart_ní ADS. Nový virus by měl být schopen zápisu via ADS a odtud napadat počítač. Pokud by se prokázala existence viru s takovou schopnosti, nastaly by antivirovým firmám problémy. Ty totiž u NTFS nezkoumají ADS. Pročež by se muselo předělat jádro antivirových programu. Manažer Symantecu tvrdí, že jde o planý poplach. Jeden antivirovy rusky expert zase tvrdí, že možné to je. V takových chvílích je nejlepší dočkat času jako husa ADeeSu.
        Zdroj: http://news.cnet.com/    Cnet News a BAJT



Zajimava finta - e-mailovy virus se skrytou priponou pro Windows
http://news.cnet.com/news/0-1005-200-2108936.html

Novy, slušné destruktivni cervi virus se vesele síti Internetem a zlobí uživatele Windows a správce zahlcených mail serveru. Pozoruhodně na něm je, ze se jeví byt jen textem (souborem s příponou .txt). Ve skutečnosti jde o soubor s příponou shs - napr. nazev.txt.shs. Po odkliknutí souboru (v příloze zprávy) se spustí skript, který vykoná shell Windows (shs znamena shell script). Problém je v dost hloupém nastaveni v registrech Windows. HKEY_CLASSES_ROOT\ShellScrap je nastaveno na "NeverShowExt"="0" (tedy NIKDY neukazuj 
pripony .shs). Staci prepsat na "AlwaysShowExt" (uz jsem ucinil). Virus pase neplechy leckde, kde se ve Windows klika na přišlé soubory - napr. v ICQ, IRC apod., jak navelí skript viru.

Jak plyne z popisu činnosti viru na stránkách Network Associates http://vil.nai.com/villib/dispvirus.asp?virus_k=98668 IRC/Stages.worm, ma virus nejednu zakernost. Napr. přesune soubor Regedit.exe do koše a odkazuje se na nej. Změní v něm registry (napr. kvuli uplatneni v ICQ), zaplnuje disky náhodně generovanymi soubory... čím dal popis čtu, tím seznam pasek narůstá. Brrr... Na konci popisu jsou rady, jak virus odstranit. Virus je pochopitelně napsán ve Visual Basicu. Vůbec nechápu, proč je přípona .shs ve Windows implicitne zamlčována. Jenže já nejsem Bill:)
        Zdroj: http://news.cnet.com/    Cnet News a BAJT



Novy virus 911 siri Inetem
http://www.zdnet.com/zdnn/stories/news/0,4586,2504397,00.html?chkpt=zdnnstop

FBI se pustila do vyšetřování causy viru 911, který se začal šířit po počitačích hlavně v texaskem Houstonu. Což neznamená, ze by nemohl jinam do světa. Jde o zvláště nechutný virus. Využívá bezpečnostní díry ve Windows 95/98. Pokud má uživatel nastavené sdíleni tiskárny nebo souboru, virus se mu propracuje na hard disk. Napřed začne sám hledat další počítače s uvedeným sdílením a překopíruje se na ne. Pak vymaže hard disk a via modem začne volat tísnové čislo 911. Zvrácenost autora tohoto viru je příšerná. Virus se usazuje ve skrytých adresářích s názvy chode, foreskin nebo dickhair. Nejjednoduššíobranou proti viru je vypnout všechno sdíleni. Zda MS pří_de se záplatou, se neuvádí.
        Zdroj: http://www.zdnet.com/    ZDNet a BAJT

 

Prvni virus pro mobilni telefony - a zase VBS
http://news.cnet.com/news/0-1005-200-2026192.html?tag=st.ne.1002.bgif.ni

Nejde o nic moc. Virus typu Melissa vyhledává adresy SMS a posila na ne text, který posílá španělskému telecomu. Mobily jsou ještě příliš stupidní na to, aby se s nimi daly provádět nějaké horší kousky. Co mě na cele věci překvapilo, je jazyk, v němž je virus připraven - Visual Basic (virus startuje z počitaču). To znamená, ze spousta lidi je absolutně nepoučitelná. V jedné konferenci systémových administratoru a ISP běžely srandičko_vé příspěvky z krajiny scifi. Jeden z učast_níků tam napsal, že ve svých systémech aplikoval odpuzovač idiotu, které nasměrovává ke konkurenci, a magnet na dobré uživatele, které přitahuje od konkurence k sobe...takový scifi ventil, ale pochopitelný:)
        Zdroj: http://news.cnet.com/    Cnet News a BAJT
 

Rezidentní virus
Viry, které jsou rezidentní v paměti, se aktivují buď při zavedení systému, nebo při spuštění infikovaného programu. V obou případech je vhodné zajistit čisté prostředí pro práci antivirového programu. K tomuto účelu byste měli mít připravenou čistou systémovou disketu, z níž zavedete systém. Někdy stačí pouze znovu nahrát systémové soubory (k tomu slouží příkaz sys c:), jestliže je ale virus zapsán v boot sektoru pevného disku, nebo je obsažen v nějakém programu, který se spouští při startu systému (což je velmi častý případ), bude nutné provést odvirování počítače z této diskety. Proto je vhodné používat antivir, který má i verzi pro DOS.

 Bootvirus
Většinu bootvirů přemůžete jedině antivirem. Pokusíte-li se je odstranit ručně, můžete si znepřístupnit celý disk. Například velmi častý One Half lze odstranit obnovou MBR, ale tím ho neodstraníte z infikovaných souborů (odkud může být opětovně zavlečen) a navíc přijdete o data. One Half totiž postupně šifruje data na pevném disku a současně slouží jako dešifrátor, takže pokud ho odstraníte, přijdete tím vlastně o dešifrovací klíč a své soubory získáte zpět jen velmi obtížně.

 Souborový virus
Pokud jste měli hodně velkou smůlu a váš počítač byl napaden virem, který poškozuje infikované soubory, budete muset vyhlásit pátrání po záložních disketách, CD-ROMech nebo jiných médiích, protože bez nich nemáte šanci uvést programy do původního stavu. Stejně tak lze doporučit obnovu ze zálohy i v případě, že antivir označí napadené programy jako vyléčitelné. V některých případech se sice podaří virus odstranit, ale program může být nefunkční, nebo se bude chovat nestabilně. Jestliže zálohu nemáte, nechejte antivir příslušný program vyléčit, ale vždy důkladně otestujte, zda všechny funkce tohoto programu fungují tak, jak mají.

 Makrovirus
Makroviry lze dobrým antivirovým programem léčit celkem bez problémů. Pokud si ale chcete vyzkoušet "ruční" vyléčení makroviru pro MS Word (to je nejčastější platforma současných makrovirů), můžete použít následující návod, s jehož pomocí lze odstranit většinu makrovirů pro tuto aplikaci
o                                      Zkontrolujte, zda se virus neaktivuje ještě před spuštěním infikovaného programu (není to příliš častý případ, ale ani nic výjimečného). Zpravidla je z registrů volán nějaký "rezidentní" program, který hlídá a maří vaše pokusy o vyléčení. Tyto programy bývají umístěny ve větvi HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Před jakoukoliv modifikací registrů vždy zazálohujte soubory C:\Windows\system.dat a C:\Windows\user.dat, abyste se mohli vrátit k původnímu stavu v případě, že byste odstranili nějakou životně důležitou položku. Po každé úpravě musíte počítač restartovat, aby se mohly projevit provedené změny
o                                      Makroviry napsané pro MS Word se zpravidla šíří přes tzv. globální šablonu, což je – zjednodušeně řečeno – prázdný dokument, který se vám otevře při spuštění tohoto programu. Kromě toho, že se do tohoto "dokumentu" ukládají některá nastavení, mohou v něm být uložena i makra a tím pádem i makroviry. Přes globální šablonu se pak virus kopíruje do všech dokumentů, které otevřete, modifikujete, uložíte nebo vytvoříte. Bude tedy nutné smazat infikovanou šablonu – soubor normal.dot, kterou při obvyklé instalaci najdete ve složce Program Files\Microsoft Office\Sablony. Nemusíte se bát následků, protože Word si při dalším spuštění tuto šablonu sám znovu vytvoří
                       Teď spusťte MS Word a podívejte se do menu Nástroje-Možnosti na kartu Obecné. V dolní části je políčko Antivirová ochrana maker, které určitě nebude zaškrtnuté, protože většina makrovirů antivirovou ochranu celkem logicky vypíná. Zaškrtnutím tuto volbu obnovte
       Ukončete Word, čímž se automaticky vytvoří nová globální šablona. Abyste měli jistotu, že není znovu napadená virem, restartujte počítač, spusťte znovu Word a zkontrolujte, zda je antivirová ochrana maker stále zapnutá. V případě, že ano, máme čisté prostředí MS Word
  Teď sice máme Word, který již neinfikuje všechny vytvořené a modifikované dokumenty, ale na disku je určitě spousta souborů, které obsahují v tu chvíli neaktivní virus. Bez obav je postupně jeden po druhém otevřete. Pokud se otevřou bez jakékoliv hlášky, máte jistotu, že ten který dokument je čistý, a můžete ho zase v klidu zavřít. Zobrazí-li se hláška, že dokument obsahuje makra a zda je chcete spustit, zvolte v každém případě Zakázat makra, čímž si dokument otevřete jen ke čtení. Potom ho uložte jako RTF (Soubor-Uložit jako-Typ souboru: Formát RTF). Zobrazí se hláška o tom, že uložením do RTF přijdete o všechna makra, což je účel, protože právě makra jsou kód viru. Nakonec dokument zavřete a otevřete jeho kopii ve formátu RTF, kterou uložte zpět do formátu DOC, čímž přepíšete původní (zavirovaný) soubor. Postup opakujte na každý dokument. Během léčení průběžně kontrolujte, zda se nevypnula antivirová ochrana maker, protože pokud je tato ochrana vypnutá, hláška o přítomnosti maker se nezobrazí a během zlomku vteřiny pracujete opět  v infikovanémprogramu.Některé makroviry používají kromě úprav registrů a globální šablony ještě další způsoby šíření. Nejčastěji jsou do složky C:\Program Files\Microsoft Office\Office\Spusteni umístěny soubory, které se otevřou při spuštění některé z aplikací MS Office. Podobně makroviry pro Excel umísťují často své soubory do C:\Program Files\Microsoft Office\Office\XLStart. V normálním případě jsou obě tyto složky prázdné, a pokud jste do nich sami něco neumístili, je jakýkoliv soubor v nich obsažený podezřelý.