Viren | Spyware
Beagle.AX
Mit diesen Internet-Aufstellungsorten können Sie das Beagle.AX Virus entfernen:
entfernen Beagle.AX virus
W32.Beagle.AX@mm ist eine mass-Postsendung Endlosschraube, die auch durch Akte-teilende Netze verbreitet. Die Endlosschraube öffnet ein heimliches auf TCP Tor 2002.Wenn Beagle.AX@mm durchgeführt wird, führt es die folgenden Tätigkeiten durch:
Zeigt die folgende gefälschte Fehlermeldung an. O.K. klicken ergibt mehr erscheinende Anzeigen, wie:
Störung!
Kann nicht einen Projektor finden verbunden mit der Akte
Verursacht die folgenden sieben mutexes:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
' D'r'o'p'p'e'd'S'k'y'N'e't '
_ - oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+ -|XxKOo - _
[ SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>> U<<<< --____
_ - oO]xX|- S-k-y-N-e-t-|Xx[Oo - _
Einige von diesen verhindern Netsky Varianten an ausgestoßen werden.
Löscht die folgenden Werte:
"Mein Handels"
"Zone Laborklient Ex"
"9XHtProtect"
"Antivirus"
"Spezieller Brandmauer-Service"
"Service"
"Kleines Handels"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus Handels"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Netz"
von den Registerschlüsseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
anderes malware an ausgestoßen werden verhindern, wenn Windows beginnt.
Stellt die folgenden Akten her:
%System%\sysinit.exe
%System%\sysinit.exeopen
%System%\sysinit.exeopenopen
%System%\sysinit.exeopenopenopen
%System%\sysinit.exeopenopenopenopen
Addiert den Wert:
"Syskey" = "%System%\sysinit.exe"
zum Registerschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Mai addiert die folgenden Registerschlüssel:
HKEY_CURRENT_USER\Software\Microsoft \DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
Versuche, die folgenden Prozesse zu beenden verbanden mit antivirus und Sicherheit Anwendungen:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
sys_xp.exe
sysxp.exe
UPDATE.EXE
winxp.exe
kavsvc.exe
Öffnet ein heimliches auf TCP Tor 2002 erlaubend, daß die verglichene Maschine als email Relais verwendet wird.
Sendet ein HTTP GELANGEN Antrag über TCP Tor 80 an das Gebiet, webnomey.net, wo es versucht, mit einem php Index in Verbindung zu treten.
Versuche, eine Akte vom Gebiet sash.cc zu downloaden und sie als 1.exe zu speichern. Diese Akte wird dann durchgeführt.
Sucht die Festplatte nach den Heften, welche die "shar" Zeichenkette enthalten und kopiert sich zu ihnen mit einem der folgenden Namen:
Microsoft Office 2003 Sprung, Working!.exe
Microsoft Windows XP, WinXP Sprung, Arbeitskeygen.exe
Microsoft Office XP Arbeitssprung, Keygen.exe
Porno, das Geschlecht, mündlich, anal kühlen, awesome!!.exe ab
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Voran Nero 7.exe
Windown Longhorn Betaleak.exe
Oper 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Prokeygen Sprung Update.exe
Luftgetrockneter Ziegelstein Photoshop 9 full.exe
Revolution Englisches Subtitles.exe Der Matrix-3
ACDSee 9.exe
Suchen nach email Adressen in den Akten mit den folgenden Verlängerungen:
wab
txt
msg
htm
shtm
stm
xml
dbx
mbx
mdx
eml
nch
mmf
ods
cfg
asp
php
pl
wsh
adb
tbb
sht
xls
oft
uin
cgi
mht
dhtm
jsp
Benutzt seine eigene smtp Maschine, um email Anzeigen zu allen möglichen gefundenen Adressen zu schicken.
Das email kann die folgenden Eigenschaften haben:
Von:
< spoofed >
Thema: (eins vom folgenden)
Betr.: Msgantwort
Betr.: Hallo
Betr.: Yahoo!
Betr.: Danke!
Betr.: Dank:)
BETR.: Textanzeige
Betr.: Dokument
Ankommende Anzeige
Betr.: Ankommende Anzeige
BETR.: Ankommende Msg
BETR.: Anzeige Teilen Mit
Mitteilung
Änderungen.
Update
Telefax-Anzeige
Geschützte Anzeige
BETR.: Geschützte Anzeige
Forum teilen mit
Aufstellungsortänderungen
Betr.: Hallo
Verschlüsseltes Dokument
Anzeige Körper: (eins vom folgenden)
Lesen Sie die Befestigung.
Ihre Akte wird angebracht.
Mehr Info ist in der Befestigung
Sehen Sie Befestigung.
Bitte haben Sie einen Blick an der angebrachten Akte.
Ihr Dokument wird angebracht.
Bitte lesen Sie das Dokument.
Befestigung erklärt alles.
Angebrachte Akte erklärt alles.
Überprüfen Sie angebrachte Akte auf Details.
Überprüfen Sie angebrachte Akte.
Zahlen Sie Aufmerksamkeit an der Befestigung.
Sehen Sie die angebrachte Akte für Details.
Anzeige ist in der Befestigung
Ist hier die Akte.
Gefolgt von einem der folgenden Texte, wenn das Zubehör eine Zip Datei ist:
Aus Sicherheit Gründen ist angebrachte Akte das geschützte Kennwort.
Das Kennwort ist [ die Bildakte, die Kennwort enthält ]
Zu den Sicherheit Zwecken ist die angebrachte Akte das geschützte Kennwort.
Kennwort - -- [ Bildakte, die Kennwort enthält ]<
Anmerkung: Verwenden Sie Kennwort [ die Bildakte, die Kennwort enthält ] um Archiv zu öffnen.
Angebrachte Akte wird mit dem Kennwort aus Sicherheit Gründen geschützt.
Kennwort ist [ die Bildakte, die Kennwort enthält ]
Um die Befestigung zu lesen müssen Sie das folgende Kennwort verwenden:
[ Bildakte, die Kennwort enthält ]
Akte des Archivs password:[image, die Kennwort enthält ]
Kennwort - [ Bildakte, die Kennwort enthält ]
Kennwort: [ Bildakte, die Kennwort enthält ]
Zubehör: (eins vom folgenden)
Informationen
Details
text_document
Updates
Readme
Dokument
Info
Details
MoreInfo
Anzeige
gefolgt von einer der Verlängerungen:
.hta
vbs
exe
scr
com
cpl
zip
Zusätzlich kann eine Bildakte, die das Kennwort enthält, auch angebracht werden.
Vermeidet, email zu den Adressen zu schicken, die irgendwelche der folgenden Zeichenketten enthalten:
@hotmail
@msn
@Microsoft
Veranschlagen @
f-secur
Nachrichten
Update
jedermann @
Wanzen @
Vertrag @
feste
Gold-certs @
Hilfe @
Info @
niemand @
noone @
kasp
admin
icrosoft
Unterstützung
ntivi
Unix
Bd
linux
listserv
certific
sopho
@foo
@iana
frei-Handels
@messagelab
winzip
winrar
Proben
Mißbrauch
Panda
cafee
Spam
PGP
@avp.
noreply
lokal
Wurzel @
Postmeister @
Symantec Sicherheit Antwort regt alle Benutzer und Verwalter an, die folgende grundlegende Sicherheit "beste Praxis" zu befolgen:
Stellen Sie ab und entfernen Sie nicht benötigte Dienstleistungen. Durch Rückstellung bringen viele Betriebssysteme zusätzliche Dienstleistungen, die nicht, wie ein ftp server, telnet kritisch sind, und ein web server an. Diese Dienstleistungen sind Alleen des Angriffs. Wenn sie entfernt werden, haben gemischte Drohungen weniger Alleen des Angriffs und Sie haben wenige durch Fleckenupdates beizubehalten Dienstleistungen.
Wenn eine gemischte Drohung einen oder mehr Vermittlungsdienste ausnutzt, sperren Sie oder blockieren Sie Zugang zu, jene Dienstleistungen, bis ein Flecken angewendet ist.
Halten Sie immer Ihre Fleckenniveaus aktuell, besonders auf Computern, die allgemeine Dienstleistungen bewirten und durch die Brandmauer, wie HTTP, ftp, Post und DNS Dienstleistungen zugänglich sind (zum Beispiel, sollten alle Windows-basierten Computer den gegenwärtigen angebrachten Service-Satz haben). Zusätzlich wenden Sie bitte alle mögliche Sicherheit Updates an, die in dieser Darstellung, in verläßlichen Sicherheit Nachrichten oder auf Verkäufer Netzaufstellungsorten erwähnt werden.
Erzwingen Sie eine Kennwortpolitik. Komplizierte Kennwörter bilden es schwierig, Kennwortakten auf verglichenen Computern zu knacken. Dieses hilft, Beschädigung zu verhindern oder zu begrenzen, wenn ein Computer verglichen wird.
Bauen Sie Ihren email Bediener zusammen, um email zu blockieren oder zu entfernen, das Akte Zubehöre enthält, die allgemein benutzt werden, um Viren, wie vbs, bat, exe, pif und scr Akten zu verbreiten.
Lokalisieren Sie angesteckte Computer schnell, um Ihre Organisation weiter sich vergleichen zu verhindern. Führen Sie eine gerichtliche Analyse durch und stellen Sie die Computer mit verläßlichen Mitteln wieder her.
Bilden Sie Angestellte, um aus Zubehöre nicht zu öffnen, es sei denn sie sie erwarten. Auch führen Sie nicht Software durch, die vom Internet downloadet wird, es sei denn es auf Viren abgelichtet worden ist. Eine verglichene Web site einfach besichtigen kann Infektion verursachen, wenn bestimmte Datenbanksuchroutineverwundbarkeit nicht ausgebessert wird.
Die folgenden Anweisungen betreffen alle gegenwärtigen und neuen Symantec antivirus Produkte, einschließlich Symantec AntiVirus und Norton AntiVirus Produktserien.
Sperren Sie System Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Lassen Sie einen vollen System Scan laufen und löschen Sie alle Akten, die als W32.Beagle.AX@mm ermittelt werden.
Löschen Sie den Wert, der dem Register hinzugefügt wurde.
Für spezifische Details über jeden dieser Schritte, lesen Sie die folgenden Anweisungen.
1. System Wiederherstellung (Windows Me/XP) sperren
Wenn Sie Windows ich oder Windows.xp laufen lassen, empfehlen wir, daß Sie vorübergehend System Wiederherstellung abstellen. Windows Me/XP benutzt diese Funktion, die durch Rückstellung ermöglicht wird, um die Akten auf Ihrem Computer wieder herzustellen, falls sie beschädigt werden. Wenn ein Virus, eine Endlosschraube oder ein Trojan einen Computer ansteckt, kann System Wiederherstellung das Virus, die Endlosschraube oder das Trojan auf dem Computer unterstützen.
Windows verhindert äußere Programme, einschließlich antivirus Programme, an ändernder System Wiederherstellung. Folglich können antivirus Programme oder Werkzeuge nicht Drohungen im System Wiederherstellung Heft entfernen. Infolgedessen hat System Wiederherstellung das Potential der Wiederherstellung einer angesteckten Akte auf Ihrem Computer, selbst nachdem Sie die angesteckten Akten von allen anderen Positionen gesäubert haben.
Auch ein Virusscan kann eine Drohung im System Wiederherstellung Heft ermitteln, obwohl Sie die Drohung entfernt haben.
Für Anweisungen in, wie man System Wiederherstellung, lesen Sie Ihre Windows Unterlagen oder einen der folgenden Artikel abstellt:
",wie man Windows ich System Wiederherstellung sperrt oder ermöglicht"
",wie man abstellt oder Windows.xp System Wiederherstellung einschaltet"
Anmerkung: Wenn Sie vollständig das Abbauverfahren beendet sind und erfüllt sind, das die Drohung entfernt worden ist, re-enable System Wiederherstellung durch nach die Anweisungen in den vorher erwähnten Dokumenten.
Zu zusätzlicher Information und einer Alternative zur Sperrung von von Windows sehe ich System Wiederherstellung, den Microsoft Wissensbasisartikel, "Antivirus Werkzeuge kann nicht angesteckte Akten im _ Wiederherstellung Heft säubern," Artikel Identifikation: Q263455.
2. Die Virusdefinitionen aktualisieren
Symantec Sicherheit Antwort prüft völlig alle Virusdefinitionen auf Qualitätssicherung, bevor sie zu unseren Bedienern bekanntgegeben werden. Es gibt zwei Möglichkeiten, die neuesten Virusdefinitionen zu erreichen:
Laufendes LiveUpdate, das die einfachste Weise ist, Virusdefinitionen zu erreichen: Diese Virusdefinitionen werden zu den LiveUpdate Bedienern sobald jede Woche (normalerweise an Mittwoch) bekanntgegeben, es sei denn es einen Hauptvirusausbruch gibt. Um festzustellen ob Definitionen für diese Drohung durch LiveUpdate vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (LiveUpdate).
Downloading der Definitionen mit dem intelligenten Updater: Die intelligenten Updater Virusdefinitionen werden täglich bekanntgegeben. Sie sollten die Definitionen von der Symantec Sicherheit Warteweb site downloaden und sie manuell anbringen. Um festzustellen ob Definitionen für diese Drohung durch das intelligente Updater vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (intelligentes Updater).
Die intelligenten Updater Virusdefinitionen sind vorhanden: Gelesen ",wie man Virusdefinition einordnet mit dem intelligenten Updater "für ausführliche Anweisungen aktualisiert.
3. Auf ablichten und die angesteckten Akten löschen
Starten Sie Ihr Symantec antivirus Programm und überprüfen Sie, ob es zusammengebaut wird, um alle Akten abzulichten.
Für Norton AntiVirus Verbraucherprodukte: Lesen Sie das Dokument, ",wie man Norton AntiVirus zusammenbaut, um alle Akten abzulichten."
Für Symantec AntiVirus Unternehmenprodukte: Lesen Sie das Dokument, ",wie man überprüft, daß ein Symantec korporatives antivirus Produkt eingestellt ist, um alle Akten abzulichten."
Lassen Sie einen vollen System Scan laufen.
Wenn irgendwelche Akten ermittelt werden, wie mit W32.Beagle.AX@mm angesteckt, Klicken Löschung.
Anmerkung: Wenn Ihr Symantec antivirus Produkt berichtet, daß es nicht eine angesteckte Akte löschen kann, kann Windows die Akte benutzen. Um dieses zu regeln, lassen Sie den Scan im sicheren Modus laufen. Für Anweisungen lesen Sie das Dokument, ",wie man anstellt den Computer im sicheren Modus." Sobald Sie im sicheren Modus wiederbegonnen haben, lassen Sie den Scan wieder laufen.
(nachdem die Akten gelöscht sind, können Sie den Computer im sicheren Modus lassen und mit Abschnitt 4 fortfahren. Wenn das getan wird, beginnen Sie den Computer im normalen Modus.) wieder
4. Den Wert aus dem Register löschen
Wichtig: Symantec empfiehlt stark, daß Sie das Register unterstützen, bevor Sie irgendwelche Änderungen an ihm vornehmen. Falsche Änderungen am Register können dauerhaften Datenverlust oder verdorbene Akten ergeben. Ändern Sie nur die angegebenen Schlüssel. Lesen Sie das Dokument, ",wie man eine Unterstützung vom Windows Register," für Anweisungen bildet.
Klicken Sie Anfang > GelaufenAn.
Schreiben Sie regedit
Klicken Sie dann O.K..
Steuern Sie zum Schlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In der rechten Scheibe löschen Sie den Wert:
"Syskey" = "%System%\sysinit.exe"
Steuern Sie zu den folgenden Schlüsseln, wenn sie sie bestehen und löschen:
HKEY_CURRENT_USER\Software\Microsoft\DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager