Strumento di rimozione win32.sober.sad. Uno strumento utile che rimuove l'infezione da virus sobria dal software.
Scarica ora

Strumento di rimozione win32.sober.sad. Classifica e riepilogo

Strumento di rimozione win32.sober.sad. Tag

microsoft word 2003 Microsoft Picture Manager. Microsoft Spider Solitaire. Windows XP Audio. Versione completa Video. Yahoo Messenger per Strumento di rimozione Win32. Strumento di rimozione NOD32. rimozione win32 zlob. AD UTENTE IMPORT. perlovg.

Strumento di rimozione win32.sober.sad. Descrizione

Il virus crea la cartella Winsecurity nella cartella% windir% e rilascia i file sopra in esso. Quindi esegue l'eseguibile appena caduto chiamato % Windir% \ winsecurity \ services.exe Quindi esegue. % Windir% \ winsecurity \ smss.exe e infine % Windir% \ winsecurity \ crss.exe Ognuno di questi processi svolge un ruolo specifico: CRSS.EXE esamina se la chiave di registro HKLM \ Software \ Microsoft \ Windows \ Versione corrente \ Esegui \ windows = c: \ winnt \ winsecurity \ services.exe è stato cancellato e riscriverlo se questo è il caso services.exe inizia a cercare le cartelle della vittima per i file contenenti indirizzi e-mail su cui propagarsi. I file con la seguente estensione sono scansionati: STM SLK Posta in arrivo IMB CSV BAK IMH X HTML imm IMH CMS NWS VCF CTL DHTM CGI PP PPT MSG JSP OFT VBS Uin Uin LDB ABC PST CFG MDW MBX MDX MDA ADE SLN DSW DSW MDE FRM BAS ADR CLSXLS NSF TXT WAB EML HLP MHT NFO, ecc. Crea la chiave di registro HKLM \ Software \ Microsoft \ Windows \ Versione corrente \ Esegui \ Windows = c: \ winnt \ winsecurity \ services.exe Per assicurare che verrà eseguito ad ogni startup del sistema operativo. Se questo tasto viene eliminato dal registro mentre il virus è in esecuzione in memoria, tenterà di rimetterlo indietro, avendo un thread dedicato per eseguire questo lavoro. Il virus cerca di scaricare un file da Internet e eseguirlo: http://home.pages.at/.../s??..exe. Il worm implementa il proprio motore SMTP per la diffusione via e-mail. Anche il virus scolpisce l'indirizzo del dominio del mittente, che sembrerà originarsi da uno dei seguenti domini Microsoft.com, Bigfoot.com, Yahoo.com, t-online.de, google.com, hotmail.com., mx1.mail.yahoo, mxbw.bluewin.ch ecc. Il virus cerca quindi l'elenco dei processi attivi per i nomi dei processi dall'elenco di seguito: Hijack GCAS Microsoftanti GCAS, ecc. e cerca di ucciderli. Per Win XP sistemi operativi, il virus tenta anche di patch il driver TCPIP.sys per consentirgli di aprire un numero virtualmente illimitato di connessioni dal computer della vittima.

Strumento di rimozione win32.sober.sad. Software correlato