Внимание!
Всем у кого есть ICQ, в любое момент может придти сообщение (или уже пришло, как например от меня), даже от вашего друга, такого содержания:
"Приветствую, ты про сайт спрашивал пару дней назад, вот он - www.counter-pr.info_ "
Не заходите на этот сайт, не щёлкайте по ссылке!!!
Вирус (троян) проявляет себя так:
отсылает сообщения всем вашим контактам по аське.
И вы об этом даже не узнаете!!!
Потом люди будут спрашивать типа что за сайт и т.д.....
Симптомы:
Автоматом загружает в sys32 файл с трояном, который рассылает по аське ссылки.В случае отклонения загрузки(если ваш антивирус али файрволл не дал загрузить) - повторяет попытку.
У меня вирус прятался в папке кеша Internet explorer
Путь вида C:Documents and SettingsВАШ ЛОГИНLocal SettingsTemporary Internet Files
в этой папке есть другие в одной из них он будет сидеть!
И отсюда же он востанавливается в папку windowssystem32, по идее тело в файле - upnp.exe
Но тут его убивать бесполезно пока не удалите его из "Temporary Internet Files"!
также его файлы:
- C:WINDOWSsystem32uin.txt (Куда разослал или что)
- C:WINDOWSsystem32adv.txt (Текст который рассылается)
- C:WINDOWSsystem32upnp.exe (А это файл заражаемый как я препологаю вирусом-трояном)
Если у вас стоит файрволл то он должен будет вам указать что программа upnp.exe пытается выйти в интернет, на прямую она не лезет использует для вылазки и рассылки следующие dll ... svchost.dll spool.dll возможно и через другие службы
И ещё раз, это не розыгрыш!
Способ лечения:
Сразу советую отключить себя от интернета(модем, сетевуху) и аську, это гнидо работает даже с квипом. =(Вылечить можно Доктором Вебом (DrWEB) с обновлением от 30 декабря или программой Anti-Trojan 5.5 !!!
Также его может обнаружить программа Антивирусная утилита AVZ
Убить его вручную можно только загрузив в безопасном режиме компьютер, сначала полностью уничтожив всё в папке "Temporary Internet Files", а потом все 3 файла:
C:WINDOWSsystem32uin.txt (Куда разослал или что)
C:WINDOWSsystem32adv.txt (Текст который рассылается)
C:WINDOWSsystem32upnp.exe (А это файл заражаемый как я препологаю вирусом-трояном)
Также надо снести и начисто поставить ICQ (ну или QIP или Miranda)
Это всё можно сделать вручную, но потом обязательно ещё проверить Anti-Trojan 5.5 или DrWEB с обновлением от 30 декабря.
Антивирусом Dr.WEB проверил диск С убил несколько файлов именно с самим трояном, типа:
C:WINDOWSsystem32234893~1.DLL инфицирован Trojan.NtRootKit.188
От себя - сам только что схватил - прислали банально ссылку с сообщением о сайте, свой человек...
Уже вылечил, вот теперь рассылаю способ лечения.
Сообщайте всем от кого придёт такое сообщение что его компьютер заражён вирусом!
Будьте осторожны!!!