Win32:Sdbot–387A ? Nici z Googlii
Draństwo siedzi i co jakiś czas daje o sobie znać. Tworzy w C:Windowssystem32 plik "wserv32.exe", wprasza się w następujące miejsca rejestru(tam w kaźdym razie znalazłem i usunąłem wpisy: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKU...SoftwareMicrosoftWindows\r CurrentVersionRun\r Oparło się avast'owi i NAV, przy wspomaganiu ad–aware. Odsyłających do Googli proszę o wpisanie "Sdbot–387A"– pojawia się tylko 1 witryna– avastu (czeska) z info o tym, źe taki wir dodany został dodany w lipcu do biblioteki wirusów... i to tyle.
Usunięcie pliku i wpisów na jakiś czas (od 0.5 do 2 h) uspakaja drania, a potem znów avast melduje alert. Skanowanie przy rozruchu usuwa wserv32.exe oraz jakieś TFTP3296 (albo 1396, albo 3440 – to tylko te z ostatnich godzin – ten sam katalog co "wserv32")i nic więcej nie znajduje.
Nie pomógł format c: i d: (czyli systemowy i tempy, na e: są programy, na f: – dokumenty) i ponowna instalacja, dalej wyskakuje, choć ani razu nic nie znalazł na dyskach e: i f: . Kaźde cd za kaźdym razem skanowane.
Tyle... nie muszę mieć rozwiązania na tacy, ale choć malutką wskazówkę chętnie.[/b]
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKU...SoftwareMicrosoftWindows\r CurrentVersionRun\r Oparło się avast'owi i NAV, przy wspomaganiu ad–aware. Odsyłających do Googli proszę o wpisanie "Sdbot–387A"– pojawia się tylko 1 witryna– avastu (czeska) z info o tym, źe taki wir dodany został dodany w lipcu do biblioteki wirusów... i to tyle.
Usunięcie pliku i wpisów na jakiś czas (od 0.5 do 2 h) uspakaja drania, a potem znów avast melduje alert. Skanowanie przy rozruchu usuwa wserv32.exe oraz jakieś TFTP3296 (albo 1396, albo 3440 – to tylko te z ostatnich godzin – ten sam katalog co "wserv32")i nic więcej nie znajduje.
Nie pomógł format c: i d: (czyli systemowy i tempy, na e: są programy, na f: – dokumenty) i ponowna instalacja, dalej wyskakuje, choć ani razu nic nie znalazł na dyskach e: i f: . Kaźde cd za kaźdym razem skanowane.
Tyle... nie muszę mieć rozwiązania na tacy, ale choć malutką wskazówkę chętnie.[/b]
Odpowiedzi: 1
Wyłacz przywracanie systemu,
Włącz systemowego firewall`a ( jeśli nie posiadasz zapory firm trzecich )
Odłącz połączenie z siecią,
Uruchom PC w trybie Safe Mode F8
Zabij proces wserv32.exe oraz TFTP* (* losowo generowany nr. ) jeśli występuje,
Wyczyść historię, Internet Tamp, Cookie,
Wyszukaj ( zaznaczając ukryte pliki i foldery ) i usuń ( sprawdzając czy nie są uruchomione w Task`u jeśli tak to wcześniej kill ) :
winerror.html,
mt–uninstaller.exe,
ps_install–mt.exe,
wnsapicc.exe,
wserv32.exet,
inos.exe,
TFTP*
Usuń do nich odwołanie z rejestru z kluczy Run,
w szczególności :
HKEY_CURRENT_USERSoftwareMicrosoftWindows\r CurrentVersionRun
Microsoft Update = "WSERV32.EXE"
HKEY_LOCAL_MACHINESoftawareMicrosoftWindows\r CurrentVersionRun
Microsoft Update = "WSERV32.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows\r CurrentVersionRunservices
Microsoft Update = "WSERV32.EXE"
Po usunięciu infekcji zaktualizuj OS o poprawke z bulletin`u :
:arrow: http://www.microsoft.com/technet/security/bulletin/ms04–011.mspx
Włącz systemowego firewall`a ( jeśli nie posiadasz zapory firm trzecich )
Odłącz połączenie z siecią,
Uruchom PC w trybie Safe Mode F8
Zabij proces wserv32.exe oraz TFTP* (* losowo generowany nr. ) jeśli występuje,
Wyczyść historię, Internet Tamp, Cookie,
Wyszukaj ( zaznaczając ukryte pliki i foldery ) i usuń ( sprawdzając czy nie są uruchomione w Task`u jeśli tak to wcześniej kill ) :
winerror.html,
mt–uninstaller.exe,
ps_install–mt.exe,
wnsapicc.exe,
wserv32.exet,
inos.exe,
TFTP*
Usuń do nich odwołanie z rejestru z kluczy Run,
w szczególności :
HKEY_CURRENT_USERSoftwareMicrosoftWindows\r CurrentVersionRun
Microsoft Update = "WSERV32.EXE"
HKEY_LOCAL_MACHINESoftawareMicrosoftWindows\r CurrentVersionRun
Microsoft Update = "WSERV32.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows\r CurrentVersionRunservices
Microsoft Update = "WSERV32.EXE"
Po usunięciu infekcji zaktualizuj OS o poprawke z bulletin`u :
:arrow: http://www.microsoft.com/technet/security/bulletin/ms04–011.mspx
Strona 1 / 1