question

Eu so tenho um virus Sasser. Como posso remove-lo?

Eu tenho essa janela de erro-Isass.exe - não é possível localizar arquivo. Toda vez que eu tento e re-boot ele aparece. Quando eu colocar o computador em modo de segurança ele vem. Como faço para remover-se o meu computador não vai totalmente arranque?


resposta Resposta

Quando W32.Sasser.Worm é executado, ele faz o seguinte:

1) Tenta criar um mutex nomeado Jobaka3l e saídas, se a tentativa falhar. Isso garante que não mais de uma instância do worm pode ser executado no computador a qualquer momento.

2) Copia a mesmo como o diretório % Windir %. Isso geralmente é o diretório C:\WINDOWS ou C:\WINNT.



3) Adiciona o valor:

"avserve.exe"="%Windir%\avserve.exe"
"avserve2.exe"="%Windir%\avserve2.exe"
"skynetave.exe"= "% Windows%\skynetave.exe"

para a seguinte chave de registro, para que o worm seja executado na inicialização do Windows.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4) Usa a API AbortSystemShutdown para impedir tentativas de desligar ou reiniciar o computador.

5) Inicia um servidor FTP na porta TCP 5554. Este servidor é usado para espalhar o worm para outras máquinas.

6) Iterates através de todos os endereços IP do host, à procura de endereços sem qualquer um dos seguintes:

127.0.0.1
10. x.x. x
172.16 - 172.31 (inclusivo)
192.168
169.254

7) Usando um destes IP endereços, o worm então gera um endereço IP aleatório.

52% do tempo, o endereço IP é completamente aleatório.
23% do tempo, os três últimos octetos são alterados para números aleatórios.
25% do tempo, os dois últimos octetos são alterados para números aleatórios.

Porque o worm pode criar endereços completamente aleatórios, qualquer faixa IP pode ser infectada.
Este processo é composto de 128 segmentos, que exige muito tempo de CPU. Como resultado, um computador infectado pode tornar-se tão lento e pouco utilizável.

8) Liga para o endereço IP gerado aleatoriamente na porta TCP 445 para determinar se um computador remoto está online.

9) Se uma conexão é feita com um computador remoto, o worm irá enviar código shell, que pode fazer com que ele abra um shell remoto na porta TCP 9996.

10) Usa o shell no computador remoto para se conectar novamente ao servidor FTP do computador infectado, executando na porta TCP 5554 e recuperar uma cópia do worm. Esta cópia terá um nome composto por quatro ou cinco dígitos, seguidos de _up.exe. Por exemplo, 74354_up.exe.

11) O processo de Lsass.exe irá falhar depois que o worm explora a vulnerabilidade LSASS do Windows. O Windows irá exibir o alerta e desligar o sistema em 1 minuto.

12) Cria um arquivo em C:\win.log que contém o endereço IP do computador que o worm mais recentemente tentou infectar, bem como o número de computadores infectados.

Como posso remover o worm Sasser?

Siga estas etapas em remover o worm Sasser.

1) Desconecte o computador da rede local ou Internet

2) Terminar o programa em execução

Abra o Gerenciador de tarefas do Windows pressionando CTRL + ALT + DEL, selecione a guia processos ou selecionando o Gerenciador de tarefas e, em seguida, na guia processo em máquinas WinNT/2000/XP.
Localizar um dos seguintes programas (dependendo da variação), clique nele e terminar tarefa ou processo final

avserve.exe
avserve2.exe
skynetave.exe
qualquer processo em execução com o sufixo "_up.exe"

Feche o Gerenciador de tarefas

3) Ative o Firewall do Windows XP (se o Windows XP) ou outro firewall para impedir que o worm desligar seu sistema ao baixar os patches. Para ativar o firewall do Windows XP, siga estes passos.

Clique em Iniciar, painel de controle
Clique duas vezes em rede e ligações à Internet e, em seguida, clique em rede Connnections
Botão direito do mouse na conexão que você usa para acessar a Internet e escolha Propriedades
Clique na aba Avançado e marque a caixa
"Proteger meu computador e rede limitando ou impedindo o acesso a este computador da Internet"
Clique em OK e fechar para fora da rede e painel de controle

3) Baixar e instalar os patches para a vulnerabilidade LSASS e outros

Microsoft Windows NT ® Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP e Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition versão 2003
Microsoft Windows Server ™ 2003
Microsoft Windows Server 2003 64-Bit Edition

5) Remover as entradas do registro

Clique em Iniciar, executar, Regedit
No painel a esquerda, vá para

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > versão atual > executar

No painel direito, clique com botão direito e exclua a seguinte entrada

"avserve.exe"="%Windir%\avserve.exe"
"avserve2.exe"="%Windir%\avserve2.exe"
"skynetave.exe"= "% Windows%\skynetave.exe"

Feche o Editor de registro

6) Excluir os arquivos infectados (para o Windows ME e XP, lembre-se de desativar restauração do sistema antes de procurar e apagar esses arquivos para remover infectados backup fil

resposta Não é a resposta que você estava procurando?
Adicionar um comentário ou resposta a esta pergunta

Pesquisar uma resposta melhor..
Ou, fazer uma pergunta..
Comentários
Acho que a resposta não está correta ou que você gostaria de acrescentar mais
alguma informação? Envie o seu comentário abaixo..

Guest


HTML não é permitido!

Image Code

Digite os caracteres que aparecem na imagem por isso sabemos que você é humano!

Receber um email quando alguém acrescenta outro comentário a esta pergunta


Topo da página


Home  Terms
Copyright © Accelerated Ideas 2005-2021
All rights reserved