Вирусяка в скайпе

Сегодня все утро занимался выковыриванием вируса из одной из наших офисных машин. Гадость редкостная.
Приходит от одного из контактов ссылка на jpeg файл. Причем текст основывается на данных о поле контакта от кого и кому посылает (т.е. разный текст и окончания правильно ставит) Пришел девушке текст о том что ее фотографии разместили на некоем откровенном ресурсе, ну она разумеется и решила посмотреть что там.
Называется Worm.W32.Skipi.c
Описание его появилось только сегодня после обеда. Касперский его лечит с сегодняшними обновлениями, но на viruslist описание они еще не выложили.

исполняемые файлы:

  • %SYSDIR%stwinsdat.exe
   • %SYSDIR%odcwinst.exe
   • %SYSDIR%windb32.exe
   • %SYSDIR%servftc.exe

Добавляет следующие ключи в реестр:

– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • Windows Sysdat="explorer.exe odcwinst.exe"
  – HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • "Logon Settings2"="odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
   Run
   • "Policies Options2"="j"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
   • System Driver2=-
– HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
   • "Services Start2"="odcwinst.exe"
– HKLMSoftwareRMXcfg
   • j="j"
– HKCUSoftwareRMXcfg
   • j="j"

Добавляет в %sysdir%system32driversetchosts записи, которые не дают загрузиться обновлениям популярных антивирусов.

Перегрузиться в Safe Mode, удалить все ключи, указанные выше, стереть все из файла hosts, перегрузиться, удалить все исполняемые файлы вируса.

Либо удалить все из hosts, обновить антивирус и просканировать(Kaspersky и Avira точно лечат его)
Sursa
2007-09-12 17:08:08

Comenteaza

Ultimele 25 posturi adăugate

13:19:38	Joc educativ de interior ce implică motorica fină și grosieră —» Planeta Mami
12:56:17	Elveția și PNUD oferă echipamente de protecție cadrelor medicale pentru a sprijini Moldova în lupta cu COVID-19 —» Elena Robu
09:31:35	Ascultarea face mai mult decât orice \| Editorial Radu Blendarencu —» Moldova Creștină
06:37:36	Lumea este oglinda frumuseții lui Dumnezeu —» Portalul Tineretului Ortodox din Moldova
22:34:06	(video) Soldații ocupanți ruși din nou mărșăluiesc prin Europa —» Badan Blog
20:00:46	Despre cine nu are venituri pe timp de pandemie —» Curaj.TV \| Media alternativă
19:12:54	A telefonat din Italia pentru a da replica Centrului de familie Pascani, Soroca —» Curaj.TV \| Media alternativă
19:11:16	OnePlus – a anunțat data lăsării smartphone-urilor din seria a opta —» ITMOLDOVA
15:51:34	Не выходи из комнаты, не совершай ошибку —» turn up the silence
14:11:39	Un vlogger și-a pus familia în pericol… de bucurie —» .:EU:.
14:01:32	Premieră: TE WA Wines —» Fine Wine
13:37:45	Cinstirea socrilor —» Moldova Creștină
12:39:14	Gabriel Radle – UN RIT LITURGIC AL MERGERII, CÂND COPIII ÎNCEP SĂ FACĂ PRIMII PAȘI —» Liturgică şi Misiologie Ortodoxă
12:12:54	Cine și unde mai taie pădurile patriei? —» Curaj.TV \| Media alternativă
10:51:25	Despărțirea apelor. Ion Druță —» Gheorghe Erizanu
10:51:13	Șapte persoane din cadrul Ambasadei României în Franța, infectate cu COVID-19 —» Elena Robu
08:37:15	Săptămâna în care au plecat Goma şi Bogatu —» Un PUNCT din .FR
08:19:43	Informații utile pentru românii care lucrează în Franța în contextul COVID-19 —» Elena Robu
07:29:41	Cuvânt de mângâiere al Părintelui Zaharia cu privire la pandemie —» Portalul Tineretului Ortodox din Moldova
06:38:59	Липканы- образец забытого города на границе между Румынии и Украины —» Curaj.TV \| Media alternativă
21:26:16	Să avem grijă de aproapele și de noi înșine în această perioadă de încer... —» Iulian Proca
19:45:58	Da, Igor Dodon e bun, doar la spus minciuni —» Curaj.TV \| Media alternativă
17:57:52	Cum m-a trollat Ilinca din 3 cuvinte —» Andrei Albu - omul alb cu gînduri negre
17:41:16	Mecanismul consultativ. De ce Ucraina nu trebuie sa îl accepte? —» Curaj.TV \| Media alternativă
16:50:53	Idei de activități pentru încă o săptămână de izolare —» Sunt MAMĂ!