Вирусяка в скайпе

Сегодня все утро занимался выковыриванием вируса из одной из наших офисных машин. Гадость редкостная.
Приходит от одного из контактов ссылка на jpeg файл. Причем текст основывается на данных о поле контакта от кого и кому посылает (т.е. разный текст и окончания правильно ставит) Пришел девушке текст о том что ее фотографии разместили на некоем откровенном ресурсе, ну она разумеется и решила посмотреть что там.
Называется Worm.W32.Skipi.c
Описание его появилось только сегодня после обеда. Касперский его лечит с сегодняшними обновлениями, но на viruslist описание они еще не выложили.

исполняемые файлы:

  • %SYSDIR%stwinsdat.exe
   • %SYSDIR%odcwinst.exe
   • %SYSDIR%windb32.exe
   • %SYSDIR%servftc.exe

Добавляет следующие ключи в реестр:

– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • Windows Sysdat="explorer.exe odcwinst.exe"
  – HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • "Logon Settings2"="odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
   Run
   • "Policies Options2"="j"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
   • System Driver2=-
– HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
   • "Services Start2"="odcwinst.exe"
– HKLMSoftwareRMXcfg
   • j="j"
– HKCUSoftwareRMXcfg
   • j="j"

Добавляет в %sysdir%system32driversetchosts записи, которые не дают загрузиться обновлениям популярных антивирусов.

Перегрузиться в Safe Mode, удалить все ключи, указанные выше, стереть все из файла hosts, перегрузиться, удалить все исполняемые файлы вируса.

Либо удалить все из hosts, обновить антивирус и просканировать(Kaspersky и Avira точно лечат его)
Sursa
2007-09-12 17:08:08

Comenteaza

Ultimele 25 posturi adăugate

05:24:17	10 principii de evanghelizare și ucenicie din Ioan 4-11 —» Moldova Creștină
18:59:39	Bugetul IP Gimnaziul "Victor Coțofană " pe anul 2023 —» Blogul elevilor din satul Chetrosu
18:54:44	Informație cu privire la formarea bugetului pentru anul 2023, în IP Gimnaziul "Victor Coțofană" —» Blogul elevilor din satul Chetrosu
18:48:13	Raport referitor la executarea bugetului pentru anul bugetar 2022 —» Blogul elevilor din satul Chetrosu
13:43:04	Citit în ianuarie: „Iannis cel nebun pentru Hristos” (1 și 2) de Dionysios A. Makris —» Sunt MAMĂ!
10:00:51	Să trăim prin credință! —» Moldova Creștină
02:41:36	MOLDOVENI! NOI CUM IEȘIM DIN RĂZBOI? —» Daniel Lachi
17:19:47	34 de ani. 34 de lecții —» Sunt MAMĂ!
16:04:13	Cozi de TIR-uri spre porturile Ismail, Reni, Giurgiulești, Galați —» Curaj.TV \| Media alternativă
10:00:02	Este o cinste să te ferești de certuri —» Moldova Creștină
08:11:28	Strada Evreiasca e doar la Odesa? —» Curaj.TV \| Media alternativă
06:47:02	Întâlnire cu Iulian Filip la Biblioteca „Transilvania” —» BiblioCity
17:33:30	Moldova – în NATO! Puneți leoparzii pe BECȘI! (1) —» Daniel Lachi
17:24:07	”Credința strămoșească”, ia treci la tablă! Sau la Leopard (2) —» Daniel Lachi
16:18:07	Fraze lungi – cum să urmărim gândul? —» Moldova Creștină
13:01:49	Nou: Pinot Noir Native, în conversie BIO —» Fine Wine
19:31:23	Bare fixe și paralele pentru sport de sănătate într-un oraș asediat —» Curaj.TV \| Media alternativă
12:42:14	UN IMPORTANT POET FRANCEZ —» Leo Butnaru
05:52:43	Весеннее настроение —» Бессарабские хроники
20:46:24	Citit în ianuarie: „Viol, o poveste de iubire” de Joyce Carol Oates —» Sunt MAMĂ!
18:52:01	Ucraina rezistă, reportaj de la Odesa #переможемо! —» Curaj.TV \| Media alternativă
21:29:00	Curiozități bibliofile eminesciene din colecția Carte veche și rară a Bibliotecii Municipale „B.P. Hasdeu” —» BiblioCity
18:26:24	GOP save the Queen! —» APort \| "Pentru un român care știe citi, cel mai greu lucru e să nu scrie." I.L. Carag
16:37:40	Recomandările experților europeni – o nouă șansă pentru cercetarea din RM? —» Gheorghe Cuciureanu
10:54:14	POEZIA ÎN TRADUCERE VERSUS „TRĂDUCĂTORI, TRĂDĂTORI” —» Andrei LANGA. Blogul personal