(Netbios), 445 (Netbios por TCP/IP) estarem abertas (o que pode significar outro risco, leia a matéria sobre o r3x e o languard), e as portas de 1000 a 4000, quando você está utilizando programas como ICQ e Internet Explorer. Para fazer esse teste, esteja desconectado para que não tenha muitas portas abertas para confundir. Vamos rodar o FPORT em modo DOS e ver suas informações:
Ahá ! Descobri o “safado”. Observe que o Fport mostrou que o programa c:\windows\system32\servercompress.exe abriu e está usando a porta 666. Esse outro svchost.exe é apenas um serviço do Windows XP, não um trojan. Muito bem: descoberto o nome do arquivo como vamos fazer para mandá-lo para o espaço? Não apagar o arquivo de cara, pois como ele está sendo executado o Windows não permitirá. Eu poderia também procurar o nome do arquivo nos processos que estão sendo executados e fechar o processo, mas o trojan continuaria sendo iniciado pois ele está no registro. Vamos executar o regedit então (iniciar / executar / digite regedit) e mandar que ele procure por servercompress.exe.
Prontinho, procuramos e apagamos todas as chaves que apareceram no resultado. Logo após reiniciamos o computador, e o trojan não estará mais na memória. Agora é só ir e apagar o arquivo servercompress.exe . E assim retiramos esse programa maldoso da máquina.
Via Marcos Assuncao
0 Comentário:
Enviar um comentário