Вирусяка в скайпе

Сегодня все утро занимался выковыриванием вируса из одной из наших офисных машин. Гадость редкостная.
Приходит от одного из контактов ссылка на jpeg файл. Причем текст основывается на данных о поле контакта от кого и кому посылает (т.е. разный текст и окончания правильно ставит) Пришел девушке текст о том что ее фотографии разместили на некоем откровенном ресурсе, ну она разумеется и решила посмотреть что там.
Называется Worm.W32.Skipi.c
Описание его появилось только сегодня после обеда. Касперский его лечит с сегодняшними обновлениями, но на viruslist описание они еще не выложили.

исполняемые файлы:

  • %SYSDIR%stwinsdat.exe
   • %SYSDIR%odcwinst.exe
   • %SYSDIR%windb32.exe
   • %SYSDIR%servftc.exe

Добавляет следующие ключи в реестр:

– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • Windows Sysdat="explorer.exe odcwinst.exe"
  – HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • "Logon Settings2"="odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
   Run
   • "Policies Options2"="j"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
   • System Driver2=-
– HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
   • "Services Start2"="odcwinst.exe"
– HKLMSoftwareRMXcfg
   • j="j"
– HKCUSoftwareRMXcfg
   • j="j"

Добавляет в %sysdir%system32driversetchosts записи, которые не дают загрузиться обновлениям популярных антивирусов.

Перегрузиться в Safe Mode, удалить все ключи, указанные выше, стереть все из файла hosts, перегрузиться, удалить все исполняемые файлы вируса.

Либо удалить все из hosts, обновить антивирус и просканировать(Kaspersky и Avira точно лечат его)
Sursa
2007-09-12 17:08:08

Comenteaza

Ultimele 25 posturi adăugate

12:55:28	Poliția de la Cahul tolerează violența de gen filmată repetat —» Curaj.TV \| Media alternativă
10:37:23	„Ultimul hipopotam din Moldova” sau „Cea mai bună școală de limba română e ograda buneilor” —» Oameni... de care am nevoie.
09:13:15	Scandal la consiliul raional Sîngerei —» Curaj.TV \| Media alternativă
07:09:00	17 noiembrie - Ziua Internaţională a Studenţilor —» Biblioteca Publică or.Rîşcani
21:40:26	Having Trouble Naming Your Business? Let Us Help —» costica
19:25:11	Ceea ce a fost... —» Andrei LANGA. Blogul personal
00:51:48	OCHI —» Andrei LANGA. Blogul personal
15:48:09	O nouă tragedie, noi țapi ispășitori. S-a mai eliberat un loc călduț pentru „oamenii buni” din PAS —» Nicolae Federiuc
19:09:43	You should speak about the stuff you do —» Un nene Project
16:03:19	Programul „Chișinăul citește”, categoria copii - „Întâmplări cu tâlc” de Cristina Bujor la Biblioteca „Traian” —» BiblioCity
07:09:19	O seară de creație a scriitorului Vlad Halipli —» BiblioCity
06:52:43	Grooming. Necunoscuții on-line —» BiblioCity
20:50:23	Despre violența de gen pe un caz concret la Burlacu, Cahul —» Curaj.TV \| Media alternativă
13:57:29	Două vinuri noi din gama ultra premium de la Crama Mircești —» Fine Wine
07:24:15	ESEU DE TOAMNĂ —» Leo Butnaru
09:24:46	Nou: Bad Boys 2019 —» Fine Wine
08:47:15	Poliția te încurajează să încalci legea —» Curaj.TV \| Media alternativă
00:05:00	The Best Deals of the Year on Websites and Domains —» Misterioz
23:01:34	sticky —» turn up the silence
13:45:15	Genuine Faith: Moving Beyond the Motions —» Erik and Elena Brewer's Weblog
10:42:31	Șoc în lumea poneilor roz! Olanda provoacă prima spărtură în bula colorată de săpun a „salvatorilor Pământului” din viața paralelă —» Nicolae Federiuc
09:08:19	Consilieră atacată cu spray la primăria Burlacu —» Curaj.TV \| Media alternativă
09:04:39	INTELIGENȚA ARTIFICIALĂ ȘI CREAȚIA LITERARĂ —» Leo Butnaru
08:29:44	OCHI —» Andrei LANGA. Blogul personal
06:29:31	ESEU DE TOAMNĂ —» Leo Butnaru