Вирусяка в скайпе

Сегодня все утро занимался выковыриванием вируса из одной из наших офисных машин. Гадость редкостная.
Приходит от одного из контактов ссылка на jpeg файл. Причем текст основывается на данных о поле контакта от кого и кому посылает (т.е. разный текст и окончания правильно ставит) Пришел девушке текст о том что ее фотографии разместили на некоем откровенном ресурсе, ну она разумеется и решила посмотреть что там.
Называется Worm.W32.Skipi.c
Описание его появилось только сегодня после обеда. Касперский его лечит с сегодняшними обновлениями, но на viruslist описание они еще не выложили.

исполняемые файлы:

  • %SYSDIR%stwinsdat.exe
   • %SYSDIR%odcwinst.exe
   • %SYSDIR%windb32.exe
   • %SYSDIR%servftc.exe

Добавляет следующие ключи в реестр:

– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • Windows Sysdat="explorer.exe odcwinst.exe"
  – HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • "Logon Settings2"="odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
   Run
   • "Policies Options2"="j"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
   • System Driver2=-
– HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
   • "Services Start2"="odcwinst.exe"
– HKLMSoftwareRMXcfg
   • j="j"
– HKCUSoftwareRMXcfg
   • j="j"

Добавляет в %sysdir%system32driversetchosts записи, которые не дают загрузиться обновлениям популярных антивирусов.

Перегрузиться в Safe Mode, удалить все ключи, указанные выше, стереть все из файла hosts, перегрузиться, удалить все исполняемые файлы вируса.

Либо удалить все из hosts, обновить антивирус и просканировать(Kaspersky и Avira точно лечат его)
Sursa
2007-09-12 17:08:08

Comenteaza

Ultimele 25 posturi adăugate

21:20:11	Tensiuni și intrigi în consiliul local Burlacu —» Curaj.TV \| Media alternativă
21:01:55	Jurnal de tată: dialoguri de vară despre înghețată, piscină și șuturi —» Andrei Albu - omul alb cu gînduri negre
21:01:08	The Transfiguration —» Erik and Elena Brewer's Weblog
17:52:51	Fizicianul care răspunde la întrebări —» Curaj.TV \| Media alternativă
16:45:30	©️ (Ne)împliniri —» Licurici de suflet
12:14:00	Mocănița, un tren celebru, dar care-ți dă fiori —» Curaj.TV \| Media alternativă
11:16:36	Fac politică artiștii?! —» Elena Robu
10:45:18	RAPIRE in Germania – Miliardarul Richard OETKER —» Curaj.TV \| Media alternativă
08:51:35	ПЦР-анализ —» Бессарабские хроники
05:26:14	ALȚI DOI POEȚI AVANGARDIȘTI LA „HYPERION” —» Leo Butnaru
20:42:39	1 an și 10 luni: Ilinca a intrat în etapa „nu, nu, nu” —» Andrei Albu - omul alb cu gînduri negre
19:40:49	Opozantul rus Aleksei Navalnîi prezintă urme de otrăvire. Poziția Moscovei —» Elena Robu
19:00:02	Jandarmii aplică amenzi pentru bere la poarta bisericii —» Curaj.TV \| Media alternativă
18:12:45	Nimeni nu poartă mască în parcul aglomerat din Drumul Taberei —» Curaj.TV \| Media alternativă
14:14:22	Mai simplă rețetă de înghețată nu există, doar din 3 ingrediente —» Life is too short to wear boring clothes. - A blog about travel, lifestyle, healthy life and fashio
12:22:32	Seceta din R. Moldova: Cea mai modestă recoltă de struguri din ultimii 10 ani —» Elena Robu
09:31:57	Cel mai mare dușman al lui Lukashenco este… telefonul mobil —» Cojocari Vitalie
09:29:22	Discursul ultimului “dictator din Europa”! —» Cojocari Vitalie
09:06:08	COVID-19: Alertă de călătorie în Israel —» Elena Robu
08:32:09	Наши услуги. Замеры мощности на нашем Диностенде —» Сажевые фильтры (DPF/ FAP). Чип тюнинг. Теория, практика.
07:55:00	Probleme de acces pe strada Konev, din Bălți —» Curaj.TV \| Media alternativă
07:26:00	Roagă primarul și președintele să-l ajute cu proteza dentară —» Curaj.TV \| Media alternativă
06:40:08	DOI POEȚI AI AVANGARDEI: Gheorghi CIULKOV și Serghei GORODEȚKI —» Leo Butnaru
04:38:32	Îngeri* —» Andrei LANGA. Blogul personal
04:37:54	Respirație* —» Andrei LANGA. Blogul personal