[Comm] У меня в системе завелся вирус :-) [JT]
Sergei Boudnik
=?iso-8859-1?q?sergei_=CE=C1_boudnik=2Ekiev=2Eua?=
Пн Июл 3 14:37:01 MSD 2006
Slava Dubrovskiy пишет:
> Sergei Boudnik пишет:
>>> Вот теперь думаю, а запускается ли clamav for win под wine? Или
>>> достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
>>> хочется.
>>>
>> Зачем удалять wine?
>> Посмотреть редактором реестра разделы:
>> [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
>> [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
>> Там будет указатель на файл червя.
>> Удалить файл, удалить запись в реестре - вот и все проблемы
Более подробно:
Создает директорию
c:\windows\hidn
Файлы:
c:\windows\hidn\hidn2.exe
c:\windows\hidn\m_hook.sys
c:\error.gif
c:\temp.zip
Ключи в реестре:
HKCU\Software\FirstRuxzx
FirstRun = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = [camino completo]\hidn\hidn.exe
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
ImagePath = c:\windows\hidn\m_hook.sys
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
DisplayName = Empty
HKLM\SYSTEM\CurrentControlSet\enum\root\legacy_m_hook
Список его имен (по разным AV компаниям):
Bagle.GO, Email-Worm.Bagle.1, Email-Worm.Win32.Bagle.gm, I-Worm/Bagle,
Mitglied.gen, TR/Bagle.Gen.B, Trojan.Bagle.BN, W32.Beagle.FF на mm,
W32/Bagle.dldr, W32/Bagle.gen на MM, W32/Bagle.GL на mm, W32/Bagle-KJ,
W32/Mitglieder.TN, Win32.Bagle.FG на mm, Win32.HLLM.Beagle.9158,
Win32/Bagle.GO, Win32:Beagle-MD
--
WBR, Sergei Boudnik
-------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
===================
Подробная информация о списке рассылки community