Jedná se o tzv. ICQ virus, protože se začal šířit (a stále šíří) po ICQ ve formě linku na exe soubor, do složky nebo nově i na falešný obrázek. Hodně lidí neodolá, klikne a tím si jej zavleče do systému. Hlavním lákadlem je to, že zpráva příjde od lidí, které člověk zná a tak jim věří, ale opak je pravdou. Tito lidé to neposílají (až na výjimky) sami a většinou ani sami neví, že jsou zdrojem nákazy. Nově se tento vir masivně šíří i pomocí e-mailu jako příloha. Jedná se o různé varianty od ZIP souborů až po falešné BAT, EXE, SCR, PIF atd.
U tohoto viru platí více než jindy - neklikat na nic, když nevíte, o co se jedná, i kdyby to přišlo od kamaráda.
Odstranění viru může být trošku složitější, protože se objevují pořád nové a nové mutace. Základní princip ale zůstává stejný. Pro automatický proces se dá použít program The Avenger a aktualizovaný script. Ale pozor, špatným použitím tohoto programu může dojít i k nevratnému poškození instalace Windows.
Pokud tento nepomůže, dostává se na řadu ruční odstranění. Potom vygenerujte a pošlete nám script z programu Hijackthis. Více informací o něm a postupu najdete v článku Jak postupovat při napadení Trojanem/ Adware/Spyware
Pozor!! Pokud se rozhodnete požádat nás o pomoc, posílejte rovnou Hijackthis log a popis co se děje - bez toho Vám nemůžeme poradit a vše se bude zdržovat.
Pokud se Vám zobrazuje informace "Chyba při komunikaci se službou NOD 32 Kernel.", postupujte následovně:
Bližší informace najdete třeba zde:
http://www.viry.cz/forum/viewtopic.php?t=21484
Ručně lze Windows Update zprovoznit tímto postupem:
Tento postup provádějte samozřejmě až po odstranění viru.
Pokud se považujete za lidi znalé svého PC a zajímá Vás bližší informace o tomto viru, uvádíme pár informací. Ale pozor, jakkoliv budete tyto informace využívat pro ruční zásahy do systému, mějte na paměti, že jakákoliv Vaše chyba nebo neznalost může vést k tomu, že budete reinstalovat systém.
Provádí zápis do následujících částí registru:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
Sem přidává celou novou větev, která se s novými mutacemi mění.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Tady se navěšuje na položku AppInit_DLLs, kde za normálních okolností nic nemá být.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Jako většina trojanů se zapíše i do sekce pro spouštění při startu.