Цитата:

"Этот вирус никаким файрволом и никакой проактивной защитой не определяется.
Приходит письмо следующего содержания:
Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: Вася Пупкин. Открытка ждёт Вас по адресу: http://Scrensaverscard.narod.ru/эту_...ер/SCardDR.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.
Отправитель - ваш друг, адреса берутся из МАгента.
На деле файл не скринсейвер, а просто самораспаковывающийся зип-архив, который молча извлекается в папку Windows и запускает на выполнение по-очереди 4 скрипта VBScript. Скрипты слегка закодированы, весь код прописан в виде символьных констант вида "chr(79)" (первый скрипт начинается символами "a=chr(79)&chr(110)&chr(32)&chr(69)&chr(114)&chr(1 14)"), т.е. нечитаем напрямую. Скрипты рассылают копии вашим друзьям, прописывают файл one.exe в автозапуск (файл в папке Windows). Далее они рекурсивно на всех дисках заменяют файлы форматов mp3, avi, ogg, mpg, vob, wmv, wma, aac, aif, aiff, amr, wav и wave на первый прикрепленный к посту файл, файлы jpg, bmp, gif и png - на второй, и txt, xls, doc, htm и xl - на третий. При работе используется файл C:\DR.dr. Также вирус в реестре записывает параметры для блокировки диспетчера задач и редактора реестра. В любом случае, писали это откровенные сволочи и извращенцы, но, как оказалось, операционная система и средства защиты ничего подозрительного не заметили."

Инфа:

Вирусяга сидит в файле ScardDR.scr. Грохните его и файл one.exe.
Выгрузите из памяти wscript.exe.
Снесите все файлы с расширением .dr и файл dr.vbs (валяются в корне Cdry). Найдите файлы 01.vbs, 02.vbs, 03.vbs - и их туда же. И еще. Удалите ключ из реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\block - путь к one.exe.

Так-же антивирус Outpost может ругаться на попытку изменения файла wscript.exe из System32.

Вот.