Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Trojan.Win32.VirtualRoot - trojan instalowany przez robaka "Code Red"

Jest to wirus instalowany w systemie przez pocztowego robaka "Bady" zwanego również "Code Red". Poniżej znajdują się instrukcje usuwania tego szkodnika z systemu.

  1. Kliknij na poniższym łączu aby zainstalować odpowiednią łatę udostępnioną przez firmę Microsoft:

    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

  2. Usuń trojana z pamięci wykonując następujące kroki:

    • Wciśnij kombinację klawiszy CTRL-SHIFT-ESC aby uruchomić "Menadżera zadań";
    • Otwórz zakładkę "Procesy";
    • Posortuj listę procesów według nazw klikając na nagłówku "Nazwa obrazu";
    • Na liście znajdują się dwa procesy posiadające nazwę Explorer.exe. Aby rozpoznać proces trojana należy:
      • Wybrać polecenie "Wybierz kolumny" z menu "Widok";
      • Zaznaczyć opcję "Liczba wątków" i kliknąć na przycisku "Ok";
    • Liczba wątków uruchomiona dla każdego z procesów będzie wyświetlona w kolumnie "Wątki". Proces wirusa (Explorer.exe) posiada tylko jeden wątek. Należy usunąć ten proces w następujący sposób:
      • Zaznaczyć proces;
      • Kliknąć na poleceniu "Zakończ proces";
      • Odpowiedzieć "Tak" na zadane przez system pytanie;
      • Zamknąć okno "Menadżera zadań".

  3. Usuń pliki explorer.exe zapisane w katalogach głównych dysków C: i D:. W tym celu należy wykonać następujące czynności:

    • Kliknąć dwukrotnie na ikonie "Mój komputer";
    • Kliknąć dwukrotnie na ikonie dysku C:;
    • Jeżeli plik explorer.exe nie jest wyświetlany należy:
      • Wybrać polecenie "Opcje folderów" z menu "Narzędzia";
      • Przejść do zakładki "Widok";
      • Na liście "Ustawienia zaawansowane" zaznaczyć opcję "Pokaż ukryte pliki i foldery";
      • Usunąć zaznaczenie z opcji "Ukryj chronione pliki systemu operacyjnego (zalecane)"; Odpowiedzieć "Tak" na pytanie systemu operacyjnego;
      • Kliknąć na przycisku "Ok". Wszystkie ukryte i systemowe pliki staną się widoczne;
    • Usunąć plik explorer.exe;
    • W podobny sposób należy również usunąć plik explorer.exe z dysku D:;

  4. W opisany powyżej sposób należy usunąć poniższe pliki:

    • C:\inetpub\Scripts\Root.exe;
    • D:\inetpub\Scripts\Root.exe;
    • C:\Program files\Common Files\System\MSADC\Root.exe;
    • D:\Program files\Common Files\System\MSADC\Root.exe;

  5. Kolejnym krokiem jest usunięcie wirtualnych katalogów utworzonych przez trojana. W tym celu należy:

    • Kliknąć prawym klawiszem myszy na ikonie "Mój komputer" i wybrać polecenie "Zarządzaj";
    • W oknie "Zarządzanie komputerem" należy rozwinąć gałąź "Aplikacje i usługi", a następnie "Aplikacje/Internetowe usługi informacyjne";
    • Wybrać wirtualny katalog "C", usunąć go i odpowiedzieć "Tak" na pytanie systemu;
    • Te same czynności należy wykonać dla wirtualnego katalogu "D";

  6. Aby przywrócić pooprawną postać rejestru należy wykonać następujące czynności:

    • Uruchomić Edytor rejestru klikając na menu "Start", wybierająć "Uruchom" i wpisująć "regedit";
    • odnaleźć klucz:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
      Services\W3SVC\Parameters\Virtual Roots

    • Zaznaczyć parametr "/C" i usunąć go. Na pytanie systemu należy odpowiedzieć twierdząco;
    • Podobnie usunąć parametr "/D";
    • Kliknąć dwukrotnie na parametrze "/MSDAC" i zmienić jego wartość na 201;
    • Podobnie usunąc parametr "/Scripts";
    • Odneleźć klucz:

      HKEY_LOCAL_MACHINE\Software\Microsoft\
      Windows NT\CurrentVersion\WinLogon

    • Kliknąć dwukrotnie na parametrze "SFCDisable" i zmienić jego wartość na 0 (zero);

  7. Na koniec należy ponownie uruchomić komputer.


 2001-12-06  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych