¿WSERV32.exe?
¿Al iniciar el windows xp "corporate" me sale un error sobre el archivo wserv32.exe. Alguien sabe de que es este archivo o que función tiene? ¿Qué hago para repararlo?
1 Respuesta
Respuesta de epinopc
1
W32/Rbot-W es un gusano que procura separarse a las partes de la red alejada. También contiene la funcionalidad backdoor de Trojan, permitiendo el acceso alejado desautorizado a la computadora infectada vía los canales del IRC mientras que funciona en el fondo como proceso del servicio.
W32/Rbot-W se separa a las partes de la red con contraseñas débiles como resultado del elemento backdoor de Trojan que recibe el comando apropiado de un usuario alejado.
W32/Rbot-W se copia a la carpeta del sistema de Windows como WSERV32.EXE y crea entradas en las localizaciones siguientes en el registro para funcionarse en arranque de sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
W32/Rbot-W puede fijar las entradas siguientes del registro:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
W32/Rbot-W puede intentar suprimir las partes de la red de, de D$, de E$, del IP y de ADMIN$ en el ordenador huésped.
W32/Rbot-W puede también intentar registrar golpes de teclado y el texto de la ventana a un archivo llamado KEYS.TXT en la carpeta del sistema de Windows.
Recuperación
Siga por favor las instrucciones para quitar gusanos .
Necesitarás corregir las entradas siguientes del registro, si están presentes. Lea por favor la advertencia sobre corregir el registro .
En el taskbar, comienzo del tecleo|Funcione el tipo ' Regedit ' y presione la vuelta. El redactor del registro se abre.
Antes de que usted corrija el registro, usted debe hacer una reserva(exportar el registro, copia de seguridad). En el menú del ' registro ', tecleo ' archivo del registro de la exportación '. En ' el panel de la gama de la exportación ', chasque ' todos ', después excepto su registro como reserva.
Localice las entradas de HKEY_LOCAL_MACHINE:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Y quite cualquier referencia a cualquier archivo que usted suprimiera.
Cada usuario tiene un área del registro nombrada número de HKEY_USERS\[code que indica ] \. del usuario para cada usuario para localizar la entrada:
Number]\Software\Microsoft\Windows \
CurrentVersion\Run \
Y quite cualquier referencia a cualquier archivo que usted suprimiera.
Cierre el redactor del registro.
Compruebe los puntos siguientes
A DCOM renable usted puede corregir el registro, pero es mejor utilizar Dcomcnfg.exe. Vea el artículo 825750 de Microsoft para los detalles.
El HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" ajuste no permite la enumeración de las cuentas y de los nombres del SAM. El defecto es "0". Puede ser cambiado en la política local de la seguridad. Vea el artículo 246261 de Microsoft para los detalles.
Compruebe sus contraseñas del administrador y repase la seguridad de la red.
Suprima el archivo KEYS.TXT en la carpeta del sistema de Windows, si está presente.
Si no entiendes alguna cosa me lo comentas.
W32/Rbot-W se separa a las partes de la red con contraseñas débiles como resultado del elemento backdoor de Trojan que recibe el comando apropiado de un usuario alejado.
W32/Rbot-W se copia a la carpeta del sistema de Windows como WSERV32.EXE y crea entradas en las localizaciones siguientes en el registro para funcionarse en arranque de sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
W32/Rbot-W puede fijar las entradas siguientes del registro:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
W32/Rbot-W puede intentar suprimir las partes de la red de, de D$, de E$, del IP y de ADMIN$ en el ordenador huésped.
W32/Rbot-W puede también intentar registrar golpes de teclado y el texto de la ventana a un archivo llamado KEYS.TXT en la carpeta del sistema de Windows.
Recuperación
Siga por favor las instrucciones para quitar gusanos .
Necesitarás corregir las entradas siguientes del registro, si están presentes. Lea por favor la advertencia sobre corregir el registro .
En el taskbar, comienzo del tecleo|Funcione el tipo ' Regedit ' y presione la vuelta. El redactor del registro se abre.
Antes de que usted corrija el registro, usted debe hacer una reserva(exportar el registro, copia de seguridad). En el menú del ' registro ', tecleo ' archivo del registro de la exportación '. En ' el panel de la gama de la exportación ', chasque ' todos ', después excepto su registro como reserva.
Localice las entradas de HKEY_LOCAL_MACHINE:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Y quite cualquier referencia a cualquier archivo que usted suprimiera.
Cada usuario tiene un área del registro nombrada número de HKEY_USERS\[code que indica ] \. del usuario para cada usuario para localizar la entrada:
Number]\Software\Microsoft\Windows \
CurrentVersion\Run \
Y quite cualquier referencia a cualquier archivo que usted suprimiera.
Cierre el redactor del registro.
Compruebe los puntos siguientes
A DCOM renable usted puede corregir el registro, pero es mejor utilizar Dcomcnfg.exe. Vea el artículo 825750 de Microsoft para los detalles.
El HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" ajuste no permite la enumeración de las cuentas y de los nombres del SAM. El defecto es "0". Puede ser cambiado en la política local de la seguridad. Vea el artículo 246261 de Microsoft para los detalles.
Compruebe sus contraseñas del administrador y repase la seguridad de la red.
Suprima el archivo KEYS.TXT en la carpeta del sistema de Windows, si está presente.
Si no entiendes alguna cosa me lo comentas.
