Supprimer PWS:Win32.Daurso.A / ikowin32.exe

Supprimer PWS:Win32.Daurso.A / ekrn32.exe



PWS:Win32.Daurso.A / rncsys32.exe ou ikowin32 ou …. 32.exe est une infection qui vole les mots de passe et envoie aux pirates (stealer – plus particulièrement le vol de compte FTP depuis les clients FTP installés sur le PC infecté).

Le fichier peut être détecté comme ceci par certains antivirus :
Trojan.Bredolab [Symantec et Dr.Web]
Trojan.Win32.Agent.cnyo [Kaspersky Lab]
Troj/Agent-KHE [Sophos]
Trojan.Win32.Agent [Ikarus]
Win-Trojan/Waledoc.22528 [AhnLab]

Se connecte à l’adresse http://78.109.29.116/new/controller.php?action=bot&entity_list=&uid=1&first=1&guid=xxxx&rnd=xxx pour recevoir/envoyer des informations, voir : http://forum.malekal.com/nonfathighestlocate-208-199-t19499.html

Koobface installant ce malware par un moment, voir : http://forum.malekal.com/net-worm-win32-koobface-sur-facebook-myspace-t14589.html#p158838

Détection de PWS:Win32.Daurso.A / rncsys32.exe

L’infection ajoute le fichier rncsys32.exe dans le Menu Démarrer / Tous les programmes / Démarrage, visible par la ligne suivante sur HijackThis :

O4 – Startup: rncsys32.exe
O4 – Startup: ikowin32.exe
O4 – Startup: ekrn32.exe
O4 – Startup: sysupd32.exe

Il a été vu des fichiers autorun.inf avec cette infection, cette dernière peut donc se propager par disques amovibles.

Suppression de PWS:Win32.Daurso.A / rncsys32.exe

Etant donné que PWS:Win32.Daurso.A vole les mots de passe et notamment ceux de clients FTP, si vous êtes webmaster d’un site WEB, il est conseillé de :

  • Changer le mot de passe d’accès FTP à votre site après avoir déinsfecté votre machine
  • Vérifier l’intégritié de votre site WEB et notamment la présence d’iframe malicieuses dans le code qui sont utilisés dans les exploits sur site WEB.

(Visited 8 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *