Приветствую!
Обнаружилось распространение зловреда через Skype.
Инициация происходить через сообщение от какого-либо контакта с тривиальным сообщением и ссылкой типа
http://goo.gl/<рандомный текст>. В тексте возможно упоминание слова "аватар".
Если данное сообщение получено, тогда "поздравляю"!
(сильно не огорчаться, всё поправимо).
Вирус копирует/клонирует себя в
C:\Documents and Settings\<имя пользователя>\Application Data. с именами типа 11.exe, 5D.exe, Skype.exe, 48.exe и подобными. Если нашли - удалять, предварительно проверив в "Диспетчере процессов" выполняется ли один из них, что лежит по указанному пути. Если выполняется - то завершите его и потом удаляйте эту нечисть. Далее необходимо удалить всё, что лежит в:
1) C:\Documents and Settings\
<имя пользователя>\Local Settings\Temp
2) C:\Documents and Settings\
<имя пользователя>\Local Settings\Temporary Internet Files
3) Использующие FireFox - C:\Documents and Settings\
<имя пользователя>\Local Settings\Application Data\Mozilla\Firefox\Profiles\<какие-то буквы и цифры>.default\Cache\
4) Снести к едрене-фене скайповский профиль.
5) В реестре, по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache удалить всё, что ссылается на временные папки профиля пользователя (типа C:\Documents and Settings\
<имя пользователя>\Local Settings\Temp ) и обратить особое внимание на значение тех ключей, сто имеют именем Skype
6) Администраторам!!! Закрыть входящие и исходящие соединения на подсеть 74.125.0.0/16 тотально по всем протоколам!!!
7) Удалить нафик Skype всегдеЗамеченные сбои.
Отказывается работать 1С с ошибкой при запуске на невозможность выполнить инструкции Microsoft Visual C++ <версия> Redistributable
На подключенных флешках образуются ярлыки на уже существующие папки. Сами папки принимают свойство "скрытая".
Замечены сбои в работе приложений КриптоПро CSP - то бишь, клиент банков
Резидентные антивирусы
не обнаруживают запись зловреда в профиль пользователя, но при прямом указании на папку с ним, успешно удаляют.
... вроде всё, что вспомнил.
