Jak usun±ć robaka PrettyPark.Unp i przywrócić bezpieczeństwo komputerowi?

Jeszcze o Pretty Park (dlugie, ale warto przeczytac)





Poprzedni Następny
Wiadomo¶ć
 Spis tre¶ci
From: Maciek <mswiatko_at_nospam_elka.pw.edu.pl>
Subject: Jeszcze o Pretty Park (dlugie, ale warto przeczytac)
Date: Fri, 17 Mar 2000 02:20:34 GMT

PrettyPark.Unp jest nową wersją groźnego jaki¶ czas temu robaka
PrettyPark. Sposób działania pozostał ten sam - robak rozsyła się co 30
minut w postaci załącznika do listów wysłanych bez wiedzy użytkownika do
wszystkich adresatów w książce adresowej. Organizacja międzynarodowa
AVERT ustaliła poziom ryzyka na wysoki.

W momencie uruchomienia pliku PrettyPark.EXE z ikoną jednej z postaci
animowanego serialu "South Park", znajdującego się w załączniku do listu
elektronicznego, może pojawić się na ekranie wygaszacz ekranu "3D Pipe",
natomiast w tle robak tworzy plik o nazwie FILES32.VXD w katalogu
"WINDOWS\SYSTEM" oraz modyfikuje wpisy w Rejestrze z warto¶ci orginalnej
"%1" %* na warto¶ć FILES32.VXD "%1" %* dla klucza :

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

Po uruchomieniu programu robak stara się rozesłać samego siebie co 30
minut do adresów zarejestrowanych w książce adresowej programu
pocztowego. Poza tym PrettyPark stara się też podłączyć do jednego z
serwerów IRC i wej¶ć na okre¶lony kanał. Następnie robak wysyła co 30
sekund informacje na kanał (dla utrzymania aktywnego połączenia) i
oczekuje na komendy z zewnątrz za po¶rednictwem IRCa.

Jak usunąć robaka PrettyPark ?

używając Edytora Rejestrów (START > Uruchom> REGEDIT) zamienić warto¶ć
klucza:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
i/lub klucza:
HKEY_CLASSES_ROOT\exefile\shell\open\command
z FILES32.VXD "%1" %* na "%1" %*
używając Edytora Rejestrów usunąć wpisy uruchamiające robaka z klucza:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
używając Edytora Rejestrów usunąć klucz (jeżeli istnieje):
HKEY_CLASSES_ROOT\.dl
ponownie uruchomić komputer
usunąć plik WINDOWS\SYSTEM\FILES32.VXD
usunąć plik PrettyPark.EXE

Uwaga ! Nie można pominąć kroku 1, gdyż może to spowodować problemy z
uruchamianiem programów.
Alternatywnie można użyć zewnętrznego pliku Rejestru do pobrania
tutaj<. Plik należy zapisać na dysk, a następnie uruchomić.

Maciek