<ul> <li>Mugly.A virus</li> <li>Mugly.A spyware</li> <li>Mugly.A adware</li> <li>W32 Mugly.A virus</li> <li>backdoor Mugly.A</li> <li>Mugly.A worm</li> <li>Mugly.A patch</li> <li>Mugly.A removal tool</li> <li>delete Mugly.A</li> <li>Löschung Mugly.A</li> <li>Mugly.A entfernen</li> <li>Mugly.A tool</li> <li>Mugly.A fix</li> <li>Mugly.A scanner</li> <li>Mugly.A scan</li> <li>Mugly.A antivirus</li> <li>Mugly.A killer</li> <li>Mugly.A spyware doctor</li> <li>free Mugly.A removal</li> <li>gratis Mugly.A entfernen</li> <li>Mugly.A radar</li> <li>Mugly.A detection</li> <li>Mugly.A crack</li> <li>anti virus</li> <li>free virus</li> <li>virus remover</li> <li>online virusscanner Mugly.A</li> </ul>
Viren | Spyware
         

Mugly.A

Mit diesen Internet-Aufstellungsorten können Sie das Mugly.A Virus entfernen:

entfernen Mugly.A virus

Wenn W32.Mugly.A@mm durchgeführt wird, führt es die folgenden Tätigkeiten durch:


Kopien selbst als %System%\xxz.tmp.

Anmerkung: %System% ist eine Variable, die auf das System Heft sich bezieht. Durch Rückstellung ist dieses C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows.xp).


Stellt die folgenden Akten her:

%System% \ attached.zip (Reißverschluss zugemachte Kopie der Endlosschraube)
%System% \ winit.exe (Attribute werden auf read_only eingestellt, versteckt und System. Dieses ist eine Variante von W32.Spybot.Worm.)
%System% \ uglym.jpg
%System% \ ANSMTP.DLL (gültige ActiveX email Maschine)
%System% \ bszip.dll (gültige Archivmaschine)
%System% \ SVKP.sys (nicht Viren)


Öffnet eine Browser Window, um die Akte uglym.jpg anzuzeigen.





Suchen nach den email Adressen in den Akten mit den folgenden Verlängerungen:

wab
adb
tbb
dbx
asp
php
htm
html
sht
txt
doc

Vermeidet Adressen, die irgendwelche der folgenden Zeichenketten enthalten:

adaware
nod32
trendmicro
avguk
grisoft
pandasoftware
sophos
gov
symantec
lavasoft
mcafee
kaspersky


Schickt sich zu den email Adressen, die auf dem Computer mit seiner eigenen smtp Maschine gefunden werden (enthalten in der Akte ANSMTP.DLL).


Verursacht die folgenden Registereintragungen:

HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}

seine eigene smtp Maschine registrieren (enthalten in der Akte ANSMTP.DLL).


Sendet sich, wie ein email Zubehör zu den Adressen auf dem angesteckten Computer fand mit seiner eigenen smtp Maschine. Das email hat die folgenden Eigenschaften:

Von: (Spoofed)

Thema: (eins vom folgenden)

Hhahahah lol!!!!
Ihr Pic Auf Einer Web site!!
Veranschlagen Sie Mein Pic.......
Sie haben einen Bewunderer

Anzeige Körper: (eins vom folgenden)

ich fand dieses auf meinem Computer vom Alter vor
downloaden Sie ihn und sehen Sie, wenn Sie an ihn sich erinnern können
lol I lauging wie wütendes, als ich es sah! :D
email ich zurück Haha...

Ich betrachtete eine Web site und kam herüber
dieses pic schauen sie wie Sie gerecht! infact im sicher
ist es someonce sonst:S? Ive fügte das pic in hinzu
ein Reißverschluß also downloaden es und überprüfen u. email ich zurück!

Hallo sendete ive 5 email jetzt und niemand veranschlägt
mein pic!! : ( bitte downloaden Sie und erklären Sie mir, was Sie
denken Sie aus 10 heraus, sorgen Sie sich nicht, wenn Sie es nicht mögen
gerechtes Sagen bin ich nicht beleidigtes p.s, das, ich als getrunken wurde
es wurde:P genommen

Jemand hat uns dort im Interesse gebeten zu senden
Sie dieses email und erklären Ihnen, sie denken, daß Sie sind
wonderfull!!! Alle Geheimnispersonsonderkommandos
Sie benötigen werden umgeben im Zubehör:)
bitte downloaden Sie und reagieren Sie, erklärend uns wenn Sie
möchte weiteren Kontakt mit diesem bilden
Person.
Respekt-Stempel-Bewunderer-Post Admin.

Der Anzeige Körper kann das folgende auch mit einschließen:
_____
Gegenwärtiges email wurde durch eine Auswertung Lizenz gesendet.
Anmerkung: Dieses Seitenende wird mit genehmigter Version entfernt


Zubehör: attachment.zip

Wo attachment.zip eine der folgenden Akten enthält:

Pic_001.exe
Photo_01.pif
admire_001.exe
is_this_you.scr
love_04.scr
for_you.pif
Scan_04.scr
Sexy_09.scr


Läßt fallen und führt die Akte winit.exe durch, die eine Variante von W32.Spybot.Worm ist. Wenn winit.exe durchgeführt wird, führt es die folgenden Schritte durch.


Addiert den Wert:

"virtual"="winit.exe"

zu den folgenden Registerschlüsseln:

HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

damit die Endlosschraube läuft, wenn Windows beginnt.


Addiert den Wert:

"EnableDCOM"="N"

zum Registerschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

DCOM sperren.


Verursacht die folgende Registereintragung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP

einen Service und den entsprechenden Schlüssel verursachen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP


Öffnet ein heimliches indem das Anschließen an windowss.serveftp.com und das Verbinden einer spezifischen Führung. Hört auf Befehlen von einem Remoteangreifer.


Kopien selbst zu den folgenden Netzanteilen, die mit schwachen Kennwörtern geschützt werden:

ADMIN$
IP

D$


Mai Versuch, durch die Ausnutzung der folgenden Verwundbarkeit zu verbreiten:

Die Workstation-Service-Puffer-Überschuss-Verwundbarkeit (beschrieben in der Microsoft Sicherheit Nachricht MS03-049) TCP Tor 445 verwendend. Windows.xp Benutzer werden gegen diese Verwundbarkeit geschützt, wenn Microsoft Sicherheit Nachricht MS03-043 angewendet worden ist. Windows 2000benutzer müssen MS03-049 anwenden.
Die DCOM RPC Verwundbarkeit (beschrieben in der Microsoft Sicherheit Nachricht MS03-026) TCP Tor 135 verwendend.
Die Verwundbarkeit im Microsoft SQL Bediener 2000 oder MSDE 2000 in der Bilanz (beschrieben in der Microsoft Sicherheit Nachricht MS02-061) UDP Tor 1434 verwendend.
Nutzt den Microsoft Windows lokaler Sicherheit Berechtigung Service-Remotepuffer-Überlauf aus (beschrieben in der Microsoft Sicherheit Nachricht MS04-011).






Symantec Sicherheit Antwort regt alle Benutzer und Verwalter an, die folgende grundlegende Sicherheit "beste Praxis" zu befolgen:

Stellen Sie ab und entfernen Sie nicht benötigte Dienstleistungen. Durch Rückstellung bringen viele Betriebssysteme zusätzliche Dienstleistungen, die nicht, wie ein ftp server, telnet kritisch sind, und ein web server an. Diese Dienstleistungen sind Alleen des Angriffs. Wenn sie entfernt werden, haben gemischte Drohungen weniger Alleen des Angriffs und Sie haben wenige durch Fleckenupdates beizubehalten Dienstleistungen.
Wenn eine gemischte Drohung einen oder mehr Vermittlungsdienste ausnutzt, sperren Sie oder blockieren Sie Zugang zu, jene Dienstleistungen, bis ein Flecken angewendet ist.
Halten Sie immer Ihre Fleckenniveaus aktuell, besonders auf Computern, die allgemeine Dienstleistungen bewirten und durch die Brandmauer, wie HTTP, ftp, Post und DNS Dienstleistungen zugänglich sind (zum Beispiel, sollten alle Windows-basierten Computer den gegenwärtigen angebrachten Service-Satz haben). Zusätzlich wenden Sie bitte alle mögliche Sicherheit Updates an, die in dieser Darstellung, in verläßlichen Sicherheit Nachrichten oder auf Verkäufer Netzaufstellungsorten erwähnt werden.
Erzwingen Sie eine Kennwortpolitik. Komplizierte Kennwörter bilden es schwierig, Kennwortakten auf verglichenen Computern zu knacken. Dieses hilft, Beschädigung zu verhindern oder zu begrenzen, wenn ein Computer verglichen wird.
Bauen Sie Ihren email Bediener zusammen, um email zu blockieren oder zu entfernen, das Akte Zubehöre enthält, die allgemein benutzt werden, um Viren, wie vbs, bat, exe, pif und scr Akten zu verbreiten.
Lokalisieren Sie angesteckte Computer schnell, um Ihre Organisation weiter sich vergleichen zu verhindern. Führen Sie eine gerichtliche Analyse durch und stellen Sie die Computer mit verläßlichen Mitteln wieder her.
Bilden Sie Angestellte, um aus Zubehöre nicht zu öffnen, es sei denn sie sie erwarten. Auch führen Sie nicht Software durch, die vom Internet downloadet wird, es sei denn es auf Viren abgelichtet worden ist. Eine verglichene Web site einfach besichtigen kann Infektion verursachen, wenn bestimmte Datenbanksuchroutineverwundbarkeit nicht ausgebessert wird.


Die folgenden Anweisungen betreffen alle gegenwärtigen und neuen Symantec antivirus Produkte, einschließlich Symantec AntiVirus und Norton AntiVirus Produktserien.


Sperren Sie System Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Lassen Sie einen vollen System Scan laufen und löschen Sie alle Akten, die als W32.Mugly.A@mm ermittelt werden.
Löschen Sie den Wert, der dem Register hinzugefügt wurde.
Löschen Sie die Akten, die die Drohung herstellte.

Für spezifische Details über jeden dieser Schritte, lesen Sie die folgenden Anweisungen.

1. System Wiederherstellung (Windows Me/XP) sperren
Wenn Sie Windows ich oder Windows.xp laufen lassen, empfehlen wir, daß Sie vorübergehend System Wiederherstellung abstellen. Windows Me/XP benutzt diese Funktion, die durch Rückstellung ermöglicht wird, um die Akten auf Ihrem Computer wieder herzustellen, falls sie beschädigt werden. Wenn ein Virus, eine Endlosschraube oder ein Trojan einen Computer ansteckt, kann System Wiederherstellung das Virus, die Endlosschraube oder das Trojan auf dem Computer unterstützen.

Windows verhindert äußere Programme, einschließlich antivirus Programme, an ändernder System Wiederherstellung. Folglich können antivirus Programme oder Werkzeuge nicht Drohungen im System Wiederherstellung Heft entfernen. Infolgedessen hat System Wiederherstellung das Potential der Wiederherstellung einer angesteckten Akte auf Ihrem Computer, selbst nachdem Sie die angesteckten Akten von allen anderen Positionen gesäubert haben.

Auch ein Virusscan kann eine Drohung im System Wiederherstellung Heft ermitteln, obwohl Sie die Drohung entfernt haben.

Für Anweisungen in, wie man System Wiederherstellung, lesen Sie Ihre Windows Unterlagen oder einen der folgenden Artikel abstellt:
",wie man Windows ich System Wiederherstellung sperrt oder ermöglicht"
",wie man abstellt oder Windows.xp System Wiederherstellung einschaltet"

Anmerkung: Wenn Sie vollständig das Abbauverfahren beendet sind und erfüllt sind, das die Drohung entfernt worden ist, re-enable System Wiederherstellung durch nach die Anweisungen in den vorher erwähnten Dokumenten.

Zu zusätzlicher Information und einer Alternative zur Sperrung von von Windows sehe ich System Wiederherstellung, den Microsoft Wissensbasisartikel, "Antivirus Werkzeuge kann nicht angesteckte Akten im _ Wiederherstellung Heft säubern," Artikel Identifikation: Q263455.


2. Die Virusdefinitionen aktualisieren
Symantec Sicherheit Antwort prüft völlig alle Virusdefinitionen auf Qualitätssicherung, bevor sie zu unseren Bedienern bekanntgegeben werden. Es gibt zwei Möglichkeiten, die neuesten Virusdefinitionen zu erreichen:
Laufendes LiveUpdate, das die einfachste Weise ist, Virusdefinitionen zu erreichen: Diese Virusdefinitionen werden zu den LiveUpdate Bedienern sobald jede Woche (normalerweise an Mittwoch) bekanntgegeben, es sei denn es einen Hauptvirusausbruch gibt. Um festzustellen ob Definitionen für diese Drohung durch LiveUpdate vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (LiveUpdate).
Downloading der Definitionen mit dem intelligenten Updater: Die intelligenten Updater Virusdefinitionen werden täglich bekanntgegeben. Sie sollten die Definitionen von der Symantec Sicherheit Warteweb site downloaden und sie manuell anbringen. Um festzustellen ob Definitionen für diese Drohung durch das intelligente Updater vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (intelligentes Updater).

Die intelligenten Updater Virusdefinitionen sind vorhanden: Gelesen ",wie man Virusdefinition einordnet mit dem intelligenten Updater "für ausführliche Anweisungen aktualisiert.


3. Auf ablichten und die angesteckten Akten löschen
Starten Sie Ihr Symantec antivirus Programm und überprüfen Sie, ob es zusammengebaut wird, um alle Akten abzulichten.
Für Norton AntiVirus Verbraucherprodukte: Lesen Sie das Dokument, ",wie man Norton AntiVirus zusammenbaut, um alle Akten abzulichten."
Für Symantec AntiVirus Unternehmenprodukte: Lesen Sie das Dokument, ",wie man überprüft, daß ein Symantec korporatives antivirus Produkt eingestellt ist, um alle Akten abzulichten."
Lassen Sie einen vollen System Scan laufen.
Wenn irgendwelche Akten ermittelt werden, wie mit W32.Mugly.A@mm angesteckt, Klicken Löschung.

Anmerkung: Wenn Ihr Symantec antivirus Produkt berichtet, daß es nicht eine angesteckte Akte löschen kann, kann Windows die Akte benutzen. Um dieses zu regeln, lassen Sie den Scan im sicheren Modus laufen. Für Anweisungen lesen Sie das Dokument, ",wie man anstellt den Computer im sicheren Modus." Sobald Sie im sicheren Modus wiederbegonnen haben, lassen Sie den Scan wieder laufen.

(nachdem die Akten gelöscht sind, können Sie den Computer im sicheren Modus lassen und mit Abschnitt 4 fortfahren. Wenn das getan wird, beginnen Sie den Computer im normalen Modus.) wieder


4. Den Wert aus dem Register löschen
Wichtig: Symantec empfiehlt stark, daß Sie das Register unterstützen, bevor Sie irgendwelche Änderungen an ihm vornehmen. Falsche Änderungen am Register können dauerhaften Datenverlust oder verdorbene Akten ergeben. Ändern Sie nur die angegebenen Schlüssel. Lesen Sie das Dokument, ",wie man eine Unterstützung vom Windows Register," für Anweisungen bildet.

Klicken Sie Anfang > GelaufenAn.
Schreiben Sie regedit

Klicken Sie dann O.K..


Steuern Sie zum Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


In der rechten Scheibe löschen Sie den Wert:

"virtual"="winit.exe"


Steuern Sie zum Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices


In der rechten Scheibe löschen Sie den Wert:

"virtual"="winit.exe"


Steuern Sie zum Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\OLE


In der rechten Scheibe löschen Sie den Wert:

"virtual"="winit.exe"


Steuern Sie zu und löschen Sie die folgenden Registerschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP


Wenn Sie nicht ANSMTP verwenden, steuern Sie zu und löschen Sie die folgenden Registereintragungen:

HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}


Steuern Sie zu und stellen Sie den Registerschlüssel zurück:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\"EnableDCOM"="N"

zum Wert:

"EnableDCOM" = "Y"


Nehmen Sie den Register-Herausgeber heraus.


5. Die Akten löschen, die die Drohung herstellte
Steuern Sie zu und löschen Sie die folgenden Akten:

%System% \ uglym.jpg
%System% \ ANSMTP.DLL (gültige ActiveX email Maschine)
%System% \ bszip.dll (gültige Archivmaschine)
%System% \ SVKP.sys (nicht Viren)

freier Löschung W32.Mugly.A@mm viren
Verwendete Quellen: VirusAlert | Norman | Symantec