Вирусяка в скайпе

Сегодня все утро занимался выковыриванием вируса из одной из наших офисных машин. Гадость редкостная.
Приходит от одного из контактов ссылка на jpeg файл. Причем текст основывается на данных о поле контакта от кого и кому посылает (т.е. разный текст и окончания правильно ставит) Пришел девушке текст о том что ее фотографии разместили на некоем откровенном ресурсе, ну она разумеется и решила посмотреть что там.
Называется Worm.W32.Skipi.c
Описание его появилось только сегодня после обеда. Касперский его лечит с сегодняшними обновлениями, но на viruslist описание они еще не выложили.

исполняемые файлы:

  • %SYSDIR%stwinsdat.exe
   • %SYSDIR%odcwinst.exe
   • %SYSDIR%windb32.exe
   • %SYSDIR%servftc.exe

Добавляет следующие ключи в реестр:

– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • Windows Sysdat="explorer.exe odcwinst.exe"
  – HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • "Logon Settings2"="odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
   Run
   • "Policies Options2"="j"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
   • System Driver2=-
– HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
   • "Services Start2"="odcwinst.exe"
– HKLMSoftwareRMXcfg
   • j="j"
– HKCUSoftwareRMXcfg
   • j="j"

Добавляет в %sysdir%system32driversetchosts записи, которые не дают загрузиться обновлениям популярных антивирусов.

Перегрузиться в Safe Mode, удалить все ключи, указанные выше, стереть все из файла hosts, перегрузиться, удалить все исполняемые файлы вируса.

Либо удалить все из hosts, обновить антивирус и просканировать(Kaspersky и Avira точно лечат его)
Sursa
2007-09-12 17:08:08

Comenteaza

Ultimele 25 posturi adăugate

04:08:00	LACONIC —» Leo Butnaru
18:05:00	Elevii din Baimaclia au transformat eficiența energetică într-o mișcare comunitară 🌞 —» Sandu GRECU
05:38:00	PRINTRE ROMÂNII DIN SERBIA —» Leo Butnaru
12:58:01	Peste 14,6 milioane MDL pentru promovarea exporturilor: 16 asociații selectate în cadrul „BRIDGE Export” —» Sandu GRECU
12:52:00	Republica Moldova un hub emergent pentru dezvoltarea de jocuri video - Istoria Paparuda Studio 🦹‍♂️ —» Sandu GRECU
04:38:00	DESPRE JURNAL —» Leo Butnaru
16:09:10	Atenţie la angajare peste hotare —» Curaj.TV \| Media alternativă
13:33:00	Renato Usatîi. Karaoke cu Plahotniuc, plăcinte de la Filat, primii bani la Moscova și dictatura 💥🔥💲 —» Sandu GRECU
07:09:00	Cum monitorizarea inteligentă a energiei transformă viața comunității din Micleușeni 🌞 —» Sandu GRECU
03:34:01	RACURSIU —» Leo Butnaru
16:52:00	MNLR (CHIȘINĂU), EXPOZIȚIE TEMATICĂ —» Leo Butnaru
13:02:39	Prima femeie zboară spre Lună —» Curaj.TV \| Media alternativă
06:10:00	POEZIA FRANCEZĂ —» Leo Butnaru
13:52:24	Inovație prin creativitate la bibliotecă. Cercetare biblioteconomică —» Biblioteca de Arte 'Tudor Arghezi'
19:10:00	Cum au devenit gospodăriile din Fălești protagoniste ale tranziției verzi ☘️ —» Sandu GRECU
15:52:00	din yes-euri —» Leo Butnaru
14:18:00	Urgent! Modalitatea de finanțare a sportului trebuie revizuită! —» Sandu GRECU
13:53:47	Cel de-al cinci-lea congres al compozitorilor din Moldova —» CHIŞINĂU MUZICAL \| Blogul Bibliotecii de Arte "Tudor Arghezi"
12:47:00	CNED LANSEAZĂ APEL DE IDENTIFICARE A NOILOR ASOCIAȚII DE PROPRIETARI DIN CONDOMINIU ELIGIBILE PENTRU FINANȚAREA MĂSURILOR DE EFICIENȚĂ ENERGETICĂ 🌞 —» Sandu GRECU
10:43:15	Industria calului, pe creștere —» APort \| "Pentru un român care știe citi, cel mai greu lucru e să nu scrie." I.L. Carag
09:37:00	LA PRAGUL EDITURII NEUMA —» Leo Butnaru
20:55:00	Stingem lumina? #oraPlanetei —» Curaj.TV \| Media alternativă
08:18:44	Agresorul se eschivează, victima e calomniată #Cahul —» Curaj.TV \| Media alternativă
08:17:54	Ucraina continuă campania de lovituri în adîncime —» Curaj.TV \| Media alternativă
18:59:00	Grupul de mobilizare comunitară din Nihoreni, Rîșcani – motorul schimbării în reducerea consumului de energie 🧩 —» Sandu GRECU