hi, nekdo se tu ptal na %subj% kdyz jsem se s nim setkal, neumelo to AVG jeste lecit, jen indikovat. Vydloub jsem to z registry a poskozene soubory jsem obnovil po siti (pred restartem jsem si je pripravil na disku (z nenakazene instalace stejne verze windows) a to, co neslo obnovit ve windows jsem provedl v DOSu). Treba AVG uz to umi pry lecit. Praktickou zkusenost s jeho lecenim pomoci AVG nemam. I na webu Avastu by se melo nachazet nejake info. Toto je prevzato z webu grisoftu: <grisoft web> I-Worm/MTX Virus, worm, backdoor trojan a to vše v jednom balíčku. Roztomilé. Při svém rozesílání mailem používá tyto názvy připojených souborů: README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif aMe_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif. Posílá se jako normální EXE soubor a využívá toho, že EXE soubory s příponou PIF Windows na double click spustí. SCR je přípona screen saveru, který je také normálně spustitelné EXE. Po spuštení na napadeném počítači vytvoří v adresáři Windows soubory MTX_.EXE, IE_PACK.EXE a WIN32.DLL a pod názvem WSOCK32.MTX si vyrobí upravenou kopii WSOCK32.DLL a naplánuje její přejmenování na WSOCK32.DLL při příštím startu počítače: [Rename] NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX MTX_.EXE si zaregistruje pro spuštění v HKLM\Software\Microsoft\Windows\Current\Version\Run\ jako SystemBackup=C:\WINDOWS\MTX_.EXE Kromě toho ješte do registry vloží klíč HKLM\Software\[MATRiX] Napadá další soubory docela nehezkým způsobem - nemění vlastní entry point programu. Pro odstranění je potřeba vymazat z registry klíč HKLM\Software\Microsoft\Windows\Current\Version\Run\SystemBackup restartovat v DOSovém režimu a smazat infikované soubory a virem vytvořené MTX_.EXE, IE_PACK.EXE a WIN32.DLL. Pro detekci potřebujete aktualizace AVG číslo 191. </grisoft web> j.c.
This archive was generated by hypermail 2.1.2 : 04. 09. 2001, 04:26 CEST