[Usuwanie] TROJ_QDDOS.A

[cosik_ktosik]

TROJ_QDDOS.A został użyty do prowadzenia ataku DoS na strony rządowe Korei Południowej. Obecnie jego zagrożenie jest oceniane jako średnie.

Usuwanie w trybie awaryjnym.

Należy skasować klucze rejestru:

Kod: Zaznacz cały

# w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    * m{3 losowe znaki}svc

# w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    * s{3 losowe znaki}svc

# w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    * w{2 losowe znaki}csvc

# w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

    * m{3 losowe znaki}svc=m{3 random alphabetic characters}svc

# w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

    * w{2 losowe znaki}csvc=w{2 random alphabetic characters}csvc

# w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

    * s{3 losowe znaki}svc=s{3 random alphabetic characters}svc

Z pliku hosts należy usunąć:

Kod: Zaznacz cały

      {BLOCKED}.{BLOCKED}.0.1       explicitupdate.alyac.co.kr
      {BLOCKED}.{BLOCKED}.0.1       gms.ahnlab.com
      {BLOCKED}.{BLOCKED}.0.1       ko-kr.albn.altools.com
      {BLOCKED}.{BLOCKED}.0.1       ko-kr.alupdatealyac.altools.com
      {BLOCKED}.{BLOCKED}.0.1       su.ahnlab.com
      {BLOCKED}.{BLOCKED}.0.1       su3.ahnlab.com
      {BLOCKED}.{BLOCKED}.0.1       update.ahnlab.com
      {BLOCKED}.{BLOCKED}.0.1       ahnlab.nefficient.co.kr

Należy skasować pliki (mogą być ukryte):

Kod: Zaznacz cały

    * %System%\faultrep.dat
    * %System%\noise03.dat
    * %System%\tlntwye.dat
    * %System%\tljoqgv.dat
    * %Windows%\KB24919.log

Na koniec przeskanuj komputer programem antywirusowym.

Źródło: Trend Micro