From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <sergei@boudnik.kiev.ua>
Message-ID: <44A8F34D.6020105@boudnik.kiev.ua>
Date: Mon, 03 Jul 2006 13:37:01 +0300
From: Sergei Boudnik <sergei@boudnik.kiev.ua>
User-Agent: Thunderbird 1.5.0.4 (X11/20060516)
MIME-Version: 1.0
To: slava@elan.com.ua,
	ALT Linux Community <community@lists.altlinux.org>
References: <44A8E17F.2090902@elan.com.ua>
	<44A8E655.50504@inrecolan.com>	<44A8E93D.6080407@elan.com.ua>
	<44A8ED6A.5070101@boudnik.kiev.ua> <44A8EF84.7070509@elan.com.ua>
In-Reply-To: <44A8EF84.7070509@elan.com.ua>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Anti-Virus: Kaspersky Anti-Virus for MailServers 5.5.3/RELEASE,
	bases: 03072006 #204332, status: clean
Subject: Re: [Comm]
 =?utf-8?b?0KMg0LzQtdC90Y8g0LIg0YHQuNGB0YLQtdC80LUg0LfQsNCy?=
 =?utf-8?b?0LXQu9GB0Y8g0LLQuNGA0YPRgSA6LSkgW0pUXQ==?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.7
Precedence: list
Reply-To: ALT Linux Community <community@lists.altlinux.org>
List-Id: ALT Linux Community <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 03 Jul 2006 10:37:22 -0000
Archived-At: <http://lore.altlinux.org/community/44A8F34D.6020105@boudnik.kiev.ua/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Slava Dubrovskiy пишет:
> Sergei Boudnik пишет:
>>> Вот теперь думаю, а запускается ли clamav for win под wine? Или
>>> достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
>>> хочется.
>>>
>> Зачем удалять wine?
>> Посмотреть редактором реестра разделы:
>> [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
>> [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
>> Там будет указатель на файл червя.
>> Удалить файл, удалить запись в реестре - вот и все проблемы

Более подробно:
Создает директорию
c:\windows\hidn
Файлы:
c:\windows\hidn\hidn2.exe
c:\windows\hidn\m_hook.sys
c:\error.gif
c:\temp.zip
Ключи в реестре:
   HKCU\Software\FirstRuxzx
   FirstRun = 1

   HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   drv_st_key = [camino completo]\hidn\hidn.exe

   HKLM\SYSTEM\CurrentControlSet\Services\m_hook
   ImagePath = c:\windows\hidn\m_hook.sys

   HKLM\SYSTEM\CurrentControlSet\Services\m_hook
   DisplayName = Empty

   HKLM\SYSTEM\CurrentControlSet\enum\root\legacy_m_hook

Список его имен (по разным AV компаниям):
Bagle.GO, Email-Worm.Bagle.1, Email-Worm.Win32.Bagle.gm, I-Worm/Bagle, 
Mitglied.gen, TR/Bagle.Gen.B, Trojan.Bagle.BN, W32.Beagle.FF@mm, 
W32/Bagle.dldr, W32/Bagle.gen@MM, W32/Bagle.GL@mm, W32/Bagle-KJ, 
W32/Mitglieder.TN, Win32.Bagle.FG@mm, Win32.HLLM.Beagle.9158, 
Win32/Bagle.GO, Win32:Beagle-MD

-- 

WBR, Sergei Boudnik
-------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
===================