офисной вечеринки

berch

Check up this:
и здесь ссылка

20 минут назад удалил берча из контактов

Ссылка "инфицирована", и выглядит так - ]]>Http://4593.vaserjungenfujinas.com/1/0950/photo.pif]]> . Осторожно! Это прямая ссылка на вирус! NOD32 ее фиксирует. Остальные антивири - не знаю. Попробуйте. Сообщение об угрозе возникает в момент предложения браузера сохранить картинку. Всем спасибо, берегите себя и ваши винты. Удачи!

UPDATE!
Только что пришла ссылка опять - ]]>http://018.vaserjungenfujinas.com/2/048/]]> Те же инструкции! Осторожно! Это прямая ссылка на вирус! NOD32 ее фиксирует. Остальные антивири - не знаю. Попробуйте. Сообщение об угрозе возникает в момент предложения браузера сохранить картинку

C:\Documents and Settings\Taker\Local Settings\Temporary Internet Files\Content.IE5\YH8VQTQ1\flash[1].exe - инфицирован Win32.HLLM.Limar.based

Win32.HLLM.Limar.based

(Email-Worm.Win32.Warezov.ab, Email-Worm.Win32.Warezov.aj, Email-Worm.Win32.Warezov.y, Generic.Stration.897DECD2, Generic.Stration.C3436AB9, Generic.Stration.CD715647, Generic.Stration.D070A9FB, Generic.Stration.E440BC60, Generic.Stration.F061257B, I-Worm/Generic.PT, I-Worm/Generic.QJ, W32/Stration@MM, W32/Warezov.AA@mm, W32/Warezov.AB@mm, W32/Warezov.S@mm, W32/Warezov.Y@mm, WORM_STRATION.BC, WORM_STRATION.BL, Win32/Stration!generic, Win32/Stration.AQ, Win32/Stration.AT, Win32/Stration.Variant!Worm)



Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 130 - 148 Кбайт, 10-30 Кбайт

Упакован: Upack, UPX



Техническая информация


Распространяется в виде писем с вложениями.

Тема письма может быть следующей:
Server Report
Status
Error
Test
Mail Delivery System
Mail server report.
Mail Transaction Failed
Good day
picture
Hello



Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением.
Имя вложения может быть следующим:

1.Update-KB[число]-х86 с расширением ZIP или EXE.


2. test, body, docs, doc, test, text, readme, file, document, data



Тело письма содержит текст:
------------------------------------
Mail server report.


Our firewall determined the e-mails containing worm copies are being sent from your computer.


Nowadays it happens from many computers, because this is a new virus type (Network Worms).


Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.


Best regards,
Customers support service
--------------------------------------
Mail transaction failed. Partial message is available.
--------------------------------------
The message contains Unicode characters and has been sent
as a binary attachment.
---------------------------------------
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
---------------------------------------
Dear Sir/Madam,


We have logged a fraud activity from the IP-address belonging to your
computer at more than 17 Web-sites and have received abuses
from several companies.


The abuse copy is sent as an attachment to this letter. Please learn this.


We have added our utilite that would help you to find and remove any spyware from your PC.
If you were not lucky using another software, please try this one.

Yours faithfully
Steven Cooper
---------------------------------------


В зависимости от типа вложения в письме при своём запуске червь выпоняет:
1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86).
2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением).


В зависимости от своей модификации при своём запуске червь создаёт следующие файлы:
%WinDir%\serv.exe (148 621 байт)
%WinDir%\serv.s (148 621 байт)
%WinDir%\system32\serv.dll (7 680 байта)
%WinDir%\system32\e1.dll (8 704 байта)
%WinDir%\system32\jgmdmsxm.dll (28 672 байта)
%WinDir%\system32\netacdmo.dll (20 480 байт)
%WinDir%\system32\tsd3rasd.exe (16 384 байта)
%WINDIR%\System32\wupstInt.dll (28672 байт)
%WINDIR%\System32\cssewmpd.exe (16384 байт)
%WINDIR%\System32\regaufat.dll (24576 байт)


Причём имена файлов динамических библиотек (*.dll) подставляются разные - в зависимости от модификации червя.


Червь маскирует свои процессы.

Червь завершает процессы некоторых антивирусных продуктов и межсетевых экранов. В частности, червь автоматически устанавливает приложение serv.exe в число "Доверенных" в списке приложений Agnitum Outpost Firewall, если используется политика "Режим обучения".

Червь создаёт файл с расширением *.wax, в который записывает почтовые адреса, зарегистрированные в поражённой системе.

Для своего последующего запуска червь прописывает себя в автозагрузке, модифицируя секции в реестре:
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
"serv" = C:\Windows\serv.exe s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = wupstInt.dll e1.dll


Рассылает свои многочисленные копии, соединяясь по протоколу SMTP с разными серверами.


Рекомендации по восстановлению системы
1. Отключить "Восстановление системы".
2. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
4. Восстановить реестр из резервной копии.


Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

У меня ни одна ссылка не открылась...

авторизуй меня, пожалуйста