Вирусяка в скайпе

Сегодня все утро занимался выковыриванием вируса из одной из наших офисных машин. Гадость редкостная.
Приходит от одного из контактов ссылка на jpeg файл. Причем текст основывается на данных о поле контакта от кого и кому посылает (т.е. разный текст и окончания правильно ставит) Пришел девушке текст о том что ее фотографии разместили на некоем откровенном ресурсе, ну она разумеется и решила посмотреть что там.
Называется Worm.W32.Skipi.c
Описание его появилось только сегодня после обеда. Касперский его лечит с сегодняшними обновлениями, но на viruslist описание они еще не выложили.

исполняемые файлы:

  • %SYSDIR%stwinsdat.exe
   • %SYSDIR%odcwinst.exe
   • %SYSDIR%windb32.exe
   • %SYSDIR%servftc.exe

Добавляет следующие ключи в реестр:

– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • Windows Sysdat="explorer.exe odcwinst.exe"
  – HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
   • "Logon Settings2"="odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
   Run
   • "Policies Options2"="j"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
   • System Driver2=-
– HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
   • "Services Start2"="odcwinst.exe"
– HKLMSoftwareRMXcfg
   • j="j"
– HKCUSoftwareRMXcfg
   • j="j"

Добавляет в %sysdir%system32driversetchosts записи, которые не дают загрузиться обновлениям популярных антивирусов.

Перегрузиться в Safe Mode, удалить все ключи, указанные выше, стереть все из файла hosts, перегрузиться, удалить все исполняемые файлы вируса.

Либо удалить все из hosts, обновить антивирус и просканировать(Kaspersky и Avira точно лечат его)
Sursa
2007-09-12 17:08:08

Comenteaza

Ultimele 25 posturi adăugate

14:54:38	Pentru copiii de la Tabăra de Vară a Alianței Franceze vara a început cu lecții —» BiblioCity
14:54:13	La Tabără, la Bibliotecă vin copii talentați —» BiblioCity
14:53:49	În vacanța mare? De unul singur? Oare cum ar fi? —» BiblioCity
14:53:27	Orice întâlnire a copiilor cu scriitorii devine un eveniment memorabil —» BiblioCity
14:52:43	Cartea cea de toate zilele. Adevărată lecție de educație patriotică și spirituală —» BiblioCity
14:52:19	Copii și Cuvinte. O Vacanță Mare cu o Scriitoare Mare este o Poezie scrisă împreună —» BiblioCity
14:51:57	CARTEA cu ochi de copii – cartea cu poezii. Drago Mir – DRAG LUMII NOASTRE, LUMII COPILAȘILOR —» BiblioCity
14:49:23	GHICITORI PE PORTATIV. Scriitoarea Marcela Mardare și-a amintit de elevii săi de cândva —» BiblioCity
17:35:45	IHTIANDRU —» Andrei LANGA. Blogul personal
11:16:32	105 ani de la nașterea artistului plastic Gleb Sainciuc —» Biblioteca de Arte 'Tudor Arghezi'
14:45:27	EDITORIAL \| Cazul „expertului” pedofil și noua mare provocare a lumii „moderne” —» Nicolae Federiuc
11:04:24	DACĂ CITIȚI ÎN BULGARĂ, UN INTERVIU DIN REVISTA „FLACĂRA”, EDITATĂ DE UNIUNEA SCRIITORILOR DIN BULGARIA Leo Butnaru - Ognian Stamboliev —» Leo Butnaru
03:42:46	PLOAIE —» Andrei LANGA. Blogul personal
07:02:18	EXTRAS DIN INTERVIU —» Leo Butnaru
03:01:20	JURNALUL CA MEMORIE, 1992 —» Leo Butnaru
10:18:42	Primul concediu în patru cu Ilinca și Matei (probabil ultimul în Creta) —» Andrei Albu - omul alb cu gînduri negre
16:32:16	Marea strategie scurtcircuitată —» APort \| "Pentru un român care știe citi, cel mai greu lucru e să nu scrie." I.L. Carag
09:32:49	CARTEA cu ochi de copii – cartea cu poezii. Drago Mir – DRAG LUMII NOASTRE, LUMII COPILAȘILOR —» BiblioCity
04:10:45	PĂMÂNTUL FĂGĂDUINȚEI / POEME —» Leo Butnaru
19:04:43	PLOAIE —» Andrei LANGA. Blogul personal
08:11:39	Mărturii din GULAG filmate la Burlacu, Cahul —» Curaj.TV \| Media alternativă
06:46:22	Cercetașii ingenioși vara la Bibliotecă —» BiblioCity
06:25:46	Amintiri despre foame și canibalism —» Curaj.TV \| Media alternativă
03:30:24	JURNALUL CA MEMORIE —» Leo Butnaru
15:07:39	Trei reguli de știut când servim spumant! —» Fine Wine