Symptomy
Na komputerze, na którym jest uruchomiony system Microsoft Windows 2000, Microsoft Windows XP lub Microsoft Windows Server 2003, mogą występować następujące symptomy:
-
Strona główna w programie Internet Explorer jest resetowana (przywracana jest strona „about:blank”).
-
Działanie usługi Microsoft Windows Defender jest nieoczekiwanie kończone.
Przyczyna
Ten problem może wystąpić wówczas, gdy komputer jest zainfekowany przez program typu koń trojański TrojanSpy:Win32/Banker.
Obejście problemu
Większość programów antywirusowych może wykryć infekcję spowodowaną przez szkodliwe oprogramowanie i zapobiec infekcji tego typu. W celu obejścia tego problemu należy uruchomić program antywirusowy zaktualizowany przy użyciu najnowszych plików sygnatur. Następnie należy ponownie zainstalować usługę Microsoft Windows Defender.
Więcej informacji
Po wystąpieniu tego problemu program TrojanSpy:Win32/Banker wykonuje następujące akcje:
-
Program TrojanSpy:Win32/Banker konfiguruje stronę główną „about:blank” programu Internet Explorer.
-
Program TrojanSpy:Win32/Banker usuwa wszystkie pliki w folderze C:\Program Files\Microsoft AntiSpyware.
-
Program TrojanSpy:Win32/Banker wyszukuje okna związane z programem Microsoft Windows AntiSpyware (Beta) i wysyła komunikaty w celu zamknięcia tych okien.
-
Program TrojanSpy:Win32/Banker zamyka procesy związane z programem Microsoft Windows AntiSpyware (Beta).
-
Program TrojanSpy:Win32/Banker usiłuje pobrać, a następnie uruchomić aktualizacje z serwera sieci Web.
-
Program TrojanSpy:Win32/Banker usiłuje pobrać, a następnie uruchomić dodatkowe oprogramowanie z serwera FTP.
-
Program TrojanSpy:Win32/Banker zapobiega dostępowi użytkownika do określonych witryn sieci Web związanych z zabezpieczeniami.
-
Program TrojanSpy:Win32/Banker usuwa wpis rejestru gcasServ z następującego podklucza
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
-
Program TrojanSpy:Win32/Banker zbiera osobiste informacje użytkowników odwiedzających witryny związane z bankowością online.
Są to następujące witryny:-
ibank.barclays.co.uk
-
ibank.cahoot.com
-
myonlineaccounts2.abbeynational.co.uk
-
olb.westpac.com.au
-
olb2.nationet.com
-
online.lloydstsb.co.uk
-
sec.westpactrust.co.nz
-
web.da-us.citibank.com
-
www.bpinet.pt
-
www.ebank.hsbc.co.uk
-
www.ebank.hsbc.com.hk
-
www.halifax-online.co.uk
-
www.iblogin.com
-
www.national.com.au
-
www.nwolb.com
-
www.rbsdigital.com
Następnie program TrojanSpy:Win32/Banker usiłuje wysłać te informacje do serwera FTP.
-
-
Program TrojanSpy:Win32/Banker rejestruje adresy URL stron odwiedzanych przez użytkownika w pliku %windir%\Req.log. Adresy URL zawierające następujące ciągi nie są jednak rejestrowane:
-
https
-
safeform.com
-
northeast.on.ca
-
salesforce.com
-
prudential.com.hk
-
sammikk.com
-
samsunggsbn.com
-
sbc.com
-
s-central.com.au
-
ebay
-
sciamdigital.com
-
scicollege.org.sg
-
upjs.sk
-
eutelsat.net
-
searchfit.org
-
seatbooker.net
-
sebra.com
-
yimg.com
-
acadiau.ca
-
adultfriendfinder.com
-
advisor.com
-
authorize.net
-
bearshare.com
-
betbanking.com
-
bnpparibas.net
-
c1hrapps.com
-
customersvc.com
-
konetic.org
-
delias.com
-
deluxepass.com
-
directnic.com
-
directsex.com
-
earthport.com
-
elance.com
-
element5.com
-
elsevier
-
emetrix.com
-
e-registernow.com
-
europeonline.com
-
ezpeer.com
-
fredericks.com
-
gevalia.com
-
hilton.com
-
hostdozy.com
-
hotbar.com
-
idx.com .au
-
indigosp.com
-
infusion-studios.com
-
intuitcanada.com
-
reuters.com
-
kent.net lkw-walter.com
-
medibank.com.au
-
mouse2mobile.com
-
mysylvan.com
-
nacelink.com
-
netbilling.com
-
netfirms.com
-
netspeed.com.au
-
nike.com.hk
-
novuslink.net
-
nzqa.govt.nz
-
oberon-media.com
-
onlineaccess.net
-
optusnet.com.au
-
orcon.net
-
ordering.co.uk
-
oztralia.com
-
register.com
-
safesite.com
-
shaw.ca
-
billerweb.com
-
sms.ac
-
sparkart.com
-
sparknotes.com
-
starbiz.net.sg
-
telusmobility.com
-
thewheelconnection.com
-
tickle.com
-
trekblue.com
-
tsn.cc
-
ubi.com
-
vandyke.com
-
w2express.com
-
mgm-mirage.com
-
webeweb.net
-
wn.com.au
-
securecart.net
-
secureordering.com
-
secureserver.net
-
imrworldwide.com
-
playstation.com
-
western-inventory.com
-
securewebexchange.com
-
securitymetrics.com
-
selfmgmt.com
-
t-mobile.co.uk
-
xtra.co.nz
-
canon-europe.com
-
senecac.on.ca
-
sephora.com
-
liveperson.net
-
ariba.com
-
sympatico.ca
-
xs4all.nl
-
macau.ctm.net
-
rogers.com
-
sfgov.org
-
cic.gc.ca
-
vodafone.co.uk
-
hku.hk
-
sfa.prudential.com.sg
-
shkcorpws5.shkp.com
-
ecompanystore.com
-
o2online.de
-
shopadmin.daum.net
-
shoppersoptimum.ca
-
go-fia.com
-
zoovy.com
-
shopundco.com
-
shutterfly.com
-
signup.sprint.ca
-
silicon-power.com
-
singnet.com.sg
-
simplyhotels.com
-
sims.sfu.ca
-
singaporeair.com
-
site-secure.com
-
esdlife.com
-
flextronics.com
-
cometsystems.com
-
snapfish.com
-
solo3.nordea.fi soccer.com
-
hkuspace.org
-
soundclick.com
-
swamp.lan spiritair.com
-
sportingbet.com
-
sportodds.com
-
worldgaming.net adaptec.com
-
sqnet.com.sg srp.org.sg
-
ains.com.au
-
campoints.net
-
ingrammicro.com
-
kundenserver.de
-
speedera.net
-
farlep.net
-
lanck.net .sok
-
monster.com
-
ihost.com
-
gigaisp.net
-
webtrendslive.com
-
a-net.com
-
puma.com
-
apple.com
-
streamload.com
-
maximonline.com
-
look.ca
-
supergo.com
-
cablebg.net
-
dell
-
sony
-
inlandrevenue.gov.uk
-
tbihosting.com
-
quickbooks.com
-
techdata.com
-
telpacific.com.au
-
telstra.com
-
freedom.net
-
recruitsoft.com
-
tepore.com
-
theaa.com
-
three.com.hk
-
ticketmaster.com
-
ultrastar.com
-
ti.com
-
tirerack.com
-
tm.net.my
-
tmi-wwa.com
-
tdcwww.net
-
stanfordalumni.org
-
012.net
-
starhubshop.com.sg
-
datasvit.net
-
ssdcl.com.sg
-
music
-
iinet.net.au
-
iprimus.com.au
-
hp.com
-
game
-
towerhobbies.com
-
travel.com.au
-
travel.priceline.com
-
travelclub.swiss.com
-
travelcommunications.co.uk
-
trivita.com
-
trust1.com
-
trustinternational.com
-
yorku.ca
-
preschoicefinancial.com
-
united.intranet.ual.com
-
unixcore.com
-
uwindsor.ca
-
ucas.co.uk
-
ups.com
-
yesasia.com
-
usafis.org
-
Mscdex.exe
-
uscitizenship.info
-
va-bank.com
-
vasa.slsp.sk
-
veloz.com
-
victoriassecret.com
-
videotron.com
-
mcafee.com
-
virginblue.com.au
-
virginmobileusa.com
-
vodafone vpost.com.sg
-
vutbr.cz
-
opusit.com.sg
-
ibm.com
-
aircanada.ca
-
walgreens.com
-
watchguard.com
-
icq.com
-
ych.com
-
uottawa.ca
-
uoguelph.ca
-
there.com
-
webassign.net
-
comcast.net
-
douglas.bc.ca
-
carleton.ca
-
mcgill.ca
-
mcmaster.ca
-
queensu.ca
-
sheridanc.on.ca
-
ubc.ca
-
unb.ca
-
.ac.at
-
.ac.nz
-
.ust.hk
-
microsoft.com
-
guidehome.com
-
sap-ag.de
-
nwa.com
-
webzdarma.cz
-
intel.com
-
bigpond.net.au
-
willhill.com
-
.ac.uk
-
t-mobile.com
-
uwaterloo.ca
-
delawarenorth.com
-
worldwinner.com
-
worth1000.com
-
wrem.sis.yorku.ca
-
sierraclub.org
-
serviticket.com
-
yagma.com
-
yes.com.hk .edu
-
yourastrologysite.com
-
ytv.com .o2.co.uk
-
zwallet.com
-
Program TrojanSpy:Win32/Banker jest instalowany w programie Internet Explorer jako obiekt pomocnika przeglądarki.
Aby automatycznie ułatwiać ochronę komputera przed infekcją, należy zawsze uruchamiać program antywirusowy, korzystając z najnowszych sygnatur plików. Aby dowiedzieć się, jak chronić komputer przed obecnymi i przyszłymi zagrożeniami, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/poland/athome/security/default.mspx