Aprašymas:

         Tai Interneto kirminas WORM_SDBOT.CG, taip pat žinomas, kaip: Backdoor.Aebot.c, W32/Sdbot.ABL.worm, IRC/BackDoor.SdBot.27.X (čia X gali būti bet kokie simboliai).
         Šis kirminas plinta per tinklo dalinimosi protokolus ir veikimo metu sukuria savo kopiją Windows sisteminiame kataloge pasivadindamas WININIT32.EXE.
         Pastaba: Windows sisteminis katalogas paprastai yra C:\Windows\System Windows 95, 98 ir ME arveju, ar C:\WINNT\System32 Windows 2000 ir NT sistemose bei C:\Windows\System32 naudojant Windows XP.
         Kirminas automatiškai uždaro langus, kurių pavadinimai atitinką tam tikrą šabloną.
         Jis taip pat naikina kai kuriuos pagrindinius antivirusinių ir ugniasienių įrašus, trukdydamas jų veiklai. Šis kirminas šalina kai kuriuos failus iš Windows katalogų (taip pat ir iš sisteminio katalogo).
         Taip pat yra galimybė jį valdyti per atstum1 - jei šiuo kirminu užkrėstas kompiuteris prisijungia prie IRC tinklų, kai kurie vartotojai pasinaudodami komandomis gali jį valdyti. Veikia Windows 95, 98, ME, NT, 2000 ir XP sistemose.

         Sprendimas:

         --Aptikimas

1. Nuskanuokite sistemą antivirusine programa;
2. PASIŽYMĖKITE visus failus, aptiktus kaip WORM_SDBOT.CG (žr. ir kitus pavadinimus; šis bus rodomas tik naudojant Trend programinę įrangą). Galite pasinaudoti Internetiniu Trend kompanijos antivirusiniu įrankiu: http://housecall.antivirus.com/

         --Kompiuterio įkrovimas saugiu režimu (Safe Mode)

• Naudojant Windows 95
  1. Perkraukite kompiuterį.
  2. Kai išvysite langą su užrašu "Starting Windows 95" paspauskite mygtuką F8.
  3. Pasirinkite Safe Mode iš Windows 95 įkrovos meniu (Startup Menu) ir paspauskite Enter.
• Naudojant Windows 98 ir ME
  1. Perkraukite kompiuterį.
  2. Laikykite CTRL mygtuką, kol išvysite įkrovos meniu.
  3. Pasirinkite Safe Mode punktą ir paspauskite Enter.
• Naudojant Windows NT (VGA režimas)
  1. Eikite į Start->Settings->Control Panel.
  2. Du kartus (Double-click) spragtelkite System piktogramą.
  3. Paspauskite Startup/Shutdown mygtuką.
  4. Pakeiskite parametro "Show List" reikšmę į 10 sekundžių ir paspauskite OK, kad išsaugotumėte šį pakeitimą.
  5. Perkraukite kompiuterį.
  6. Pasirinkite VGA režimą iš įkrovos meniu.
• Naudojant Windows 2000
  1. Perkraukite kompiuterį.
  2. Kai išvysite langą su užrašu apačioje "Starting Windows" paspauskite mygtuką F8.
  3. Pasirinkite "Safe Mode" punktą iš "Windows Advanced Options Menu" ir
  4. paspauskite Enter.
• Naudojant Windows XP
  1. Perkraukite kompiuterį.
  2. Paspauskite F8 mygtuką, kai įrenginio patikra (Power-On Self Test (POST)) pasibaigs (vykdoma kompiuterio įsijungimo metu). Jei neišvysite "Windows Advanced Options Menu" lango, pabandykite perkrauti kompiuterį spaudant F8 įkrovos metu (tuoj po įjungimo).
  3. Pasirinkite "Safe Mode" punktą iš "Windows Advanced Options Menu" ir paspauskite Enter.

--Tvarkymas

         Kad galėtumėte keisti registro raktus ir darbastalio nustatymus nepaleisdami Regedit, reikės sukurti .REG rinkmeną.
         Paprastu tekstų redaktoriumi (pvz.: notepad; Start-> Run--> notepad.exe [Enter]) nukopijuokite šias komandas, priklausomai nuo Jūsų Operacinės Sistemos:

         Windows XP atveju:
Windows Registry Editor Version 5.00

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000000

         Windows 2000 atveju:
Windows Registry Editor Version 5.00

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000000


         Windows NT 4.0 atveju:
REGEDIT4

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000000

         Išsaugokite rinkmeną kaip .REG failą ir tuomet du kart ją spragtelėkite jos įvykdymui.

--Automatinės įkrovos įrašų šalinimas iš registro

         Dėl virusų poveikio reikės pervardinti REGEDIT.EXE į REGEDIT.COM, kad galėtumėte atlikti operacijas.

1. Win9x/NT atveju:
   
Spauskite Start->Find>Files or Folders.., paieškos lauke įveskite REGEDIT.EXE.
WinME/2000/XP atveju:<br> Spauskite Start->Search>For Files or Folders.., paieškos lauke įveskite REGEDIT.EXE.
2. Radę paspauskite dešiniu mygtuku REGEDIT.EXE ir pasirinkite Rename. Pervardinkite REGEDIT.EXE į REGEDIT.COM.

PASTABA: tai būtina norint išvengti kirmino poveikio.
--Įrašų šalinimas iš registro
        

1. Atverkite registrų redaktorių. Spauskite Start->Run, įveskite REGEDIT ir spustelkite Enter.
2. Kairėje pusėje eikite šiuo keliu:
   
HKEY_LOCAL_MACHINE-> Software-> Microsoft-> Windows-> CurrentVersion-> Run
3. Dešinėje pusėje suraskite ir pašalinkite:
   SysInit = "wininit32.exe -services"
4. Kairėje pusėje eikite šiuo keliu:
   HKEY_LOCAL_MACHINE-> Software-> Microsoft-> Windows-> CurrentVersion-> RunServices
5. Dešinėje pusėje suraskite ir pašalinkite:
   SysInit = "wininit32.exe -services"
6. Kairėje pusėje eikite šiuo keliu:
   HKEY_CURRENT_USER-> Software-> Microsoft-> Windows-> CurrentVersion-> Run
7. Dešinėje pusėje suraskite ir pašalinkite:
   SysInit = "wininit32.exe -services"
8. Kairėje pusėje eikite šiuo keliu:
   HKEY_CURRENT_USER-> Software-> Microsoft-> Windows-> CurrentVersion-> Policies-> Explorer
9. Dešinėje pusėje suraskite ir pašalinkite:
   DisallowRun = "dword:00000001"
10. Išjunkite registrų redaktorių.

--Kenksmingų registro įrašų šalinimas

1. Atverkite registrų redaktorių. Spauskite Start->Run, įveskite REGEDIT ir spustelkite Enter.
2. Kairėje pusėje pašalinkite šį punktą (DisallowRun):
   HKEY_CURRENT_USER-> Software-> Microsoft-> Windows-> CurrentVersion->
   HKEY_CURRENT_USER-> Software-> Microsoft-> Windows-> CurrentVersion-> Policies-> Explorer==> DisallowRun
   ir šį (Connect):
   HKEY_LOCAL_MACHINE-> Software-> Microsoft==> Connect
3. Išjunkite registrų redaktorių.

         Plačiau skaitykite: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.CG.


        Vertimas © guru.lt
        2004-06-28

Atgal į guru.lt straipsnius