Backdoor.sdbot

greven

greven

Folding Artist
Bem é assim. Tenho o Norton 2002 e detectou-me este worm ou virus. Acho que é um Trojan horse. Tinha montes de ficheiros infectados. Entre eles estava o system32.exe. Só que este ficheiro o norton não conseguia reparar, por ser o system32.exe. Será coincidência que o meu sistem tem ficado muito lento (é o XP Port), fui ver ao gestor e verifiquei que o ficheiro system32.exe tinha um taxa de utilização do cpu de 99, i.e. tinha o cpu a 100% e ficava tudo muito lento. Será coincidência? A única maneira de fazer com que a lentidão parasse era mesmo desactivar esse ficheiro (o system32). O windows continuava a correr normalmente, podia correr progs e jogos tudo na boa. Mas passado um pouco voltava de novo a ficar lento, pois o system32 tava outra vez a correr.
Fui à page da norton e segui lá uns procedimentos e não consegui remover o bixo. Perguntei a pessoal no msn se tinha o system32.exe na pasta system32.exe e eles disseram que não tinham o ficheiro! Isto é normal? É que não faço a minima se o ficheiro é default do windows ou não ou se foi criado pelo Trojan. Não percebo quase nada de arquitectura de OS, por isso pergunto.

Como não tinha probs em correr as cenas sem o system32.exe, decidi correr o xp em safe mode e apagar a cena (se desse para o torto, azar, já estava mesmo a precisar de um format! :D ). O que aconteceu e como podem ver, estou aqui e o SO corre tudo na boa. Simplesmente quando inicio o SO ele diz que o ficheiro c:\windows\system32\system32.exe não foi encontrado blá blá blá... e demora um pouco mais a iniciar por causa disto.

Agora, tenho que repor o ficheiro? É grave? :D Ou como tira a mensagem irritante do startup? Está no win.ini, com o regedit, boot.ini? Any helP?

Thx!
 
Ok, o system32.exe é mesmo uma worm. Agora que já está apagado, só tenho de ver como tira o warning no startup very annoying!!!
 
Acho que não estás a perceber uma coisa...

Esse ficheiro é do sistema (e o XP não funciona sem ele...)

Isso não é um worm, mas está infectado por ele...

Sempre que o apagas, o sistema repõe-no automaticamente lol

Sistema de ficheiros?
 
Li isto num fórum:

system32.exe is a worm..to delete reboot and press f8 for safe mode..choose safe mode with command prompt..at the prompt type....cd c:\prog*\n*\4*\ then press enter.at the new prompt type scan/adl/clean/all..redo until all viruses are gone.. this may be a little tricky for you are in DOS mode but it does work,and no more pop up at start saying cant find system32.exe.....good-- you dont want to find it. Its the virus......good luck and always use a firewall and virus scan while on the web
Clicar para expandir...

inhttp://www.annoyances.org/exec/forum/winxp/n1059190110

Que queres dizer com sistema de ficheiros? É que eu apaguei-o e ele nunca mais voltou! :) Faz um search no teu pc a ver se encontras o tal system32.exe. É que montes de pessoal não encontra. E eu tinha e estava infecatado.

Thx 4 the help kazuza
 
O problema é que ele está também a 'infectar' no registro. Ou seja, tens uma entrada no 'Run' no registro.

Vai a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ou a

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

e vê se tens alguma key a indicar para c:\Windows\system32\system32.exe. Depois basta apagar...

Um abraço
 
Seavoices, tb já tinha ido aí. Apaguei tudo o que estava relacionado com o system32.exe. E mesmo assim aquele pop-up irritante continuava lá! E ainda por cima atrasava substancialmente o computador no arranque.
Com um search no google, fiz uma beca de research e encontrei o que procurava e finalmente consegui remover a coisa. Já não tenho o pop up.

A todos aqules que possam ter um caso semelhante, fiquem a saber que por vezes esta worm assume nomes diferentes, no meu caso foi de system32.exe.

Depois de entrar em safe mode no xp apaguem o ficheiro. E corram um Anti Virus para procurar por possiveis ficheiros infectados.

Depois para remover o pop up, no regedit vão a:

HKEY_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

e onde diz : "Shell" = Explorer.exe C:\Windows\System32\System32.exe --> DELETE!

Reboot e já está! Worm estúpida e chata! Done!

Thx to all!
 
Damt it! I have the worm again!!

Mas agora já descobri mesmo porquê. Porque o backdoor.sdbot é criado por outra worm... Que eu podia estar sempre a remover e ela criava este outra vez. Engana o norton antivirus ao remover só o backdoor e mais alguns ficheiros. Que cena.

http://securityresponse.symantec.com/avcenter/venc/data/w32.kwbot.f.worm.html

When W32.Kwbot.F.Worm runs, it performs the following actions:


Copies itself as %System%\Xms32.exe.

Drops the file, %System%\Xms32.tmp.exe. This file is 14,176 bytes, and Symantec antivirus products detect it as Backdoor.Sdbot.

NOTE: %System% is a variable. The worm locates the System folder and copies the files to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

Attempts to spread across the KaZaA and iMesh file-sharing networks by doing the following:

NOTE: The KaZaA or iMesh software must be installed on your computer for W32.Kwbot.F.Worm to spread.

Creates the folder, %Windir%\sCache32.

Copies itself to the %Windir%\sCache32 folder as the following filenames: (...)
Clicar para expandir...

Vamos lá a ver se é desta que me livro da cena. Vou seguir as instruções da norton.

hasta

EDIT - Pronto, desta é que foi (ESPERO). Segui as instruções do norton a editar o registry e acho que já se foi! Que porcaria de worm chata!! :puke: Se alguém aqui tiver o mesmo problema (se calhar alguns têm sem saberem), já sabem como proceder.
 
Última edição:
Originally posted by estigma
Windoze XisPé...


Isso é uma nova "ameaça" ou é uma pontualidade...

W32.Kwbot.F.Worm... Hmm

Já agora quais são os P2P programs que tens?


Boa sorte...
Clicar para expandir...

Tenho o k++, mas nesta instalação (que já tenho faz uns tempos) já tive o Kazaa normal (daí vem o prob). Esta worm só infecta pessoal com o kazaa e imesh (penso eu de que). Acho que é uma pontualidade.

Korben, brevemente será formatada, mas por agora tá tudo fixe, consegui resolver o problema.



Viva o windoze...
Clicar para expandir...

You betta! Realmente, isto dá com cada dor de cabeça...
 
Inicie sessão ou registe-se para poder participar.
Back
Topo