Viren | Spyware
Sdbot.AG
Mit diesen Internet-Aufstellungsorten können Sie das Sdbot.AG Virus entfernen:
entfernen Sdbot.AG virus
Wenn Backdoor.Sdbot.AG durchgeführt wird, führt es die folgenden Tätigkeiten durch:Kopien selbst als die folgende Akte:
%System%\wimsqaad.exe
Anmerkung: %System% ist eine Variable, die auf das System Heft sich bezieht. Durch Rückstellung ist dieses C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows.xp).
Addiert den Wert:
"Miosf Update"="wimsqaad.exe"
zu den folgenden Registerschlüsseln:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
damit die Endlosschraube jedesmal durchgeführt wird, beginnt Windows.
Öffnet ein heimliches auf dem angesteckten Computer indem das Anschließen an einen IRC Bediener an TCP Tor 6631 auf einem oder mehr der folgenden Wirte:
ronz1.afraid.org
ronz2.afraid.org
Hört auf Befehlen von einem Remoteangreifer, einige der folgenden Tätigkeiten durchzuführen:
Führen Sie eine Leistungsverweigerung (DOS) Angriffe gegen einen Zielwirt durch
Schließen Sie an ein URL an
Hochladen Sie und downloaden Sie Akten
Führen Sie Programme durch
Leiten Sie Portscans
Stellen Sie einen HTTP Bediener an
Stellen Sie ein ftp server an
Holen Sie System Informationen zurück
Holen Sie das Windows Produkt Identifikation zurück
Nehmen Sie Schirmschüsse gefangen und ziehen Sie von Webcams ein
Schnüffeln Sie Pakete im lokalen Netzwerk
Verbreitungen zu den folgenden Netzanteilen:
IP
Admin%\system32
\winnt\system32
\windows\system32
auf nach dem zufall erzeugten IP Adressen mit den Benutzernamen erhalten durch das NetUserEnum API und der folgenden Liste von Kennwörtern:
007
121
123
1234
12346
123467
1234678
12346789
123467890
Zugang
Buchhaltung
Konten
adm
admin
Verwalter
Afro
asd
Unterstützung
Barbara
Rechnung
freier Raum
brian
bruce
Kapitol
changeme
Cisco
compaq
Steuerung
ctx
Daten
Datenbank
databasepass
databasepassword
db1
db1234
dbpass
dbpassword
Rückstellung
enges Tal
Gebiet
domainpass
domainpassword
Austausch
exchnge
Fische
Freivermerk
fred
fred
freddy
Bumsen
george
Glen
Gott
Gast
headoffice
Himmel
Hölle
Haupt
homeuser
ian
Internet
Internet
Intranet
joan
Joe
John
kate
katie
lan
Schutze
LOGON
loginpass
Luke
Post
hauptsächlich
Mary
Masse
Mikrophon
neil
nokia
keine
Null
Soem
oeminstall
oemuser
Büro
orange
Aussicht
owa
Durchlauf
pass1234
pass1234
passwd
Kennwort
password1
peter
peter
Pink
pwd
qaz
qwe
QWERTY
ron
Salbei
SAM
Bediener
Geschlecht
Siemens
spencer
sql
sqlpass
Personal
Kursteilnehmer
student1
klagen Sie
susan
System
Lehrer
technisch
Test
Rübe
Benutzer
user1
user1
userpassword
Netz
win2000
win2k
win98
Fenster
winnt
winpass
winxp
WWW
Gelb
zxc
Stiehlt CD-Schlüssel für die folgenden Spiele:
Neverwinter Nächte (Horden des Underdark)
Neverwinter Nächte (Schatten von Undrentide)
Neverwinter Nächte
Soldat von Vermögen II - doppelte Schnecke
Software\Activision\Soldier von Vermögen II - doppelte Schnecke
Versteckte U. Gefährliche 2
Chrom
NOX
Befehlen Sie und erobern Sie: Roter Alarm 2
Befehlen Sie und erobern Sie: Roter Alarm
Befehlen Sie und erobern Sie: Tiberian Sonne
Regenbogen Sechs III RavenShield
Nascar, das 2003 Läuft
Nascar, das 2002 Läuft
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Shogun: Gesamtkrieg: Kriegsherr-Ausgabe
Notwendigkeit An der Geschwindigkeit: Unterirdisch
Notwendigkeit An Geschwindigkeit Heißer Verfolgung 2
Ehrenmedaille: Verbündeter Angriff: Speerspitze
Ehrenmedaille: Verbündeter Angriff: Durchbruch
Ehrenmedaille: Verbündeter Angriff
Globale Betriebe
Befehlen Sie und erobern Sie: Generäle
James Bindung 007: Nightfire
Befehlen Sie und erobern Sie: Generäle (Nullstunde)
Schwarzes und Weiß
Schlachtfeld Vietnam
Schlachtfeld 1942 (geheime Waffen von WWII)
Schlachtfeld 1942 (Straße Nach Rom)
Schlachtfeld 1942
Freiheit Kraft
IGI 2: Verborgener Schlag
Unwirkliches Turnier 2004
Unwirkliches Turnier 2003
Soldaten Der Anarchie
Legenden der Macht und der Magie
Industrie-Riese 2
Halbwertzeit
Bandit-Chroniken
Die Gladiatoren
Kostenzähler-Schlagen Sie an
Symantec Sicherheit Antwort regt alle Benutzer und Verwalter an, die folgende grundlegende Sicherheit "beste Praxis" zu befolgen:
Stellen Sie ab und entfernen Sie nicht benötigte Dienstleistungen. Durch Rückstellung bringen viele Betriebssysteme zusätzliche Dienstleistungen, die nicht, wie ein ftp server, telnet kritisch sind, und ein web server an. Diese Dienstleistungen sind Alleen des Angriffs. Wenn sie entfernt werden, haben gemischte Drohungen weniger Alleen des Angriffs und Sie haben wenige durch Fleckenupdates beizubehalten Dienstleistungen.
Wenn eine gemischte Drohung einen oder mehr Vermittlungsdienste ausnutzt, sperren Sie oder blockieren Sie Zugang zu, jene Dienstleistungen, bis ein Flecken angewendet ist.
Halten Sie immer Ihre Fleckenniveaus aktuell, besonders auf Computern, die allgemeine Dienstleistungen bewirten und durch die Brandmauer, wie HTTP, ftp, Post und DNS Dienstleistungen zugänglich sind (zum Beispiel, sollten alle Windows-basierten Computer den gegenwärtigen angebrachten Service-Satz haben). Zusätzlich wenden Sie bitte alle mögliche Sicherheit Updates an, die in dieser Darstellung, in verläßlichen Sicherheit Nachrichten oder auf Verkäufer Netzaufstellungsorten erwähnt werden.
Erzwingen Sie eine Kennwortpolitik. Komplizierte Kennwörter bilden es schwierig, Kennwortakten auf verglichenen Computern zu knacken. Dieses hilft, Beschädigung zu verhindern oder zu begrenzen, wenn ein Computer verglichen wird.
Bauen Sie Ihren email Bediener zusammen, um email zu blockieren oder zu entfernen, das Akte Zubehöre enthält, die allgemein benutzt werden, um Viren, wie vbs, bat, exe, pif und scr Akten zu verbreiten.
Lokalisieren Sie angesteckte Computer schnell, um Ihre Organisation weiter sich vergleichen zu verhindern. Führen Sie eine gerichtliche Analyse durch und stellen Sie die Computer mit verläßlichen Mitteln wieder her.
Bilden Sie Angestellte, um aus Zubehöre nicht zu öffnen, es sei denn sie sie erwarten. Auch führen Sie nicht Software durch, die vom Internet downloadet wird, es sei denn es auf Viren abgelichtet worden ist. Eine verglichene Web site einfach besichtigen kann Infektion verursachen, wenn bestimmte Datenbanksuchroutineverwundbarkeit nicht ausgebessert wird.
Die folgenden Anweisungen betreffen alle gegenwärtigen und neuen Symantec antivirus Produkte, einschließlich Symantec AntiVirus und Norton AntiVirus Produktserien.
Sperren Sie System Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Lassen Sie einen vollen System Scan laufen und löschen Sie alle Akten, die als Backdoor.Sdbot.AG ermittelt werden.
Löschen Sie den Wert, der dem Register hinzugefügt wurde.
Für spezifische Details über jeden dieser Schritte, lesen Sie die folgenden Anweisungen.
1. System Wiederherstellung (Windows Me/XP) sperren
Wenn Sie Windows ich oder Windows.xp laufen lassen, empfehlen wir, daß Sie vorübergehend System Wiederherstellung abstellen. Windows Me/XP benutzt diese Funktion, die durch Rückstellung ermöglicht wird, um die Akten auf Ihrem Computer wieder herzustellen, falls sie beschädigt werden. Wenn ein Virus, eine Endlosschraube oder ein Trojan einen Computer ansteckt, kann System Wiederherstellung das Virus, die Endlosschraube oder das Trojan auf dem Computer unterstützen.
Windows verhindert äußere Programme, einschließlich antivirus Programme, an ändernder System Wiederherstellung. Folglich können antivirus Programme oder Werkzeuge nicht Drohungen im System Wiederherstellung Heft entfernen. Infolgedessen hat System Wiederherstellung das Potential der Wiederherstellung einer angesteckten Akte auf Ihrem Computer, selbst nachdem Sie die angesteckten Akten von allen anderen Positionen gesäubert haben.
Auch ein Virusscan kann eine Drohung im System Wiederherstellung Heft ermitteln, obwohl Sie die Drohung entfernt haben.
Für Anweisungen in, wie man System Wiederherstellung, lesen Sie Ihre Windows Unterlagen oder einen der folgenden Artikel abstellt:
",wie man Windows ich System Wiederherstellung sperrt oder ermöglicht"
",wie man abstellt oder Windows.xp System Wiederherstellung einschaltet"
Anmerkung: Wenn Sie vollständig das Abbauverfahren beendet sind und erfüllt sind, das die Drohung entfernt worden ist, re-enable System Wiederherstellung durch nach die Anweisungen in den vorher erwähnten Dokumenten.
Zu zusätzlicher Information und einer Alternative zur Sperrung von von Windows sehe ich System Wiederherstellung, den Microsoft Wissensbasisartikel, "Antivirus Werkzeuge kann nicht angesteckte Akten im _ Wiederherstellung Heft säubern," Artikel Identifikation: Q263455.
2. Die Virusdefinitionen aktualisieren
Symantec Sicherheit Antwort prüft völlig alle Virusdefinitionen auf Qualitätssicherung, bevor sie zu unseren Bedienern bekanntgegeben werden. Es gibt zwei Möglichkeiten, die neuesten Virusdefinitionen zu erreichen:
Laufendes LiveUpdate, das die einfachste Weise ist, Virusdefinitionen zu erreichen: Diese Virusdefinitionen werden zu den LiveUpdate Bedienern sobald jede Woche (normalerweise an Mittwoch) bekanntgegeben, es sei denn es einen Hauptvirusausbruch gibt. Um festzustellen ob Definitionen für diese Drohung durch LiveUpdate vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (LiveUpdate).
Downloading der Definitionen mit dem intelligenten Updater: Die intelligenten Updater Virusdefinitionen werden täglich bekanntgegeben. Sie sollten die Definitionen von der Symantec Sicherheit Warteweb site downloaden und sie manuell anbringen. Um festzustellen ob Definitionen für diese Drohung durch das intelligente Updater vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (intelligentes Updater).
Die intelligenten Updater Virusdefinitionen sind vorhanden: Gelesen ",wie man Virusdefinition einordnet mit dem intelligenten Updater "für ausführliche Anweisungen aktualisiert.
3. Auf ablichten und die angesteckten Akten löschen
Starten Sie Ihr Symantec antivirus Programm und überprüfen Sie, ob es zusammengebaut wird, um alle Akten abzulichten.
Für Norton AntiVirus Verbraucherprodukte: Lesen Sie das Dokument, ",wie man Norton AntiVirus zusammenbaut, um alle Akten abzulichten."
Für Symantec AntiVirus Unternehmenprodukte: Lesen Sie das Dokument, ",wie man überprüft, daß ein Symantec korporatives antivirus Produkt eingestellt ist, um alle Akten abzulichten."
Lassen Sie einen vollen System Scan laufen.
Wenn irgendwelche Akten ermittelt werden, wie mit Backdoor.Sdbot.AG angesteckt, Klicken Löschung.
Anmerkung: Wenn Ihr Symantec antivirus Produkt berichtet, daß es nicht eine angesteckte Akte löschen kann, kann Windows die Akte benutzen. Um dieses zu regeln, lassen Sie den Scan im sicheren Modus laufen. Für Anweisungen lesen Sie das Dokument, ",wie man anstellt den Computer im sicheren Modus." Sobald Sie im sicheren Modus wiederbegonnen haben, lassen Sie den Scan wieder laufen.
(nachdem die Akten gelöscht sind, können Sie den Computer im sicheren Modus lassen und mit Abschnitt 4 fortfahren. Wenn das getan wird, beginnen Sie den Computer im normalen Modus.) wieder
4. Den Wert aus dem Register löschen
Wichtig: Symantec empfiehlt stark, daß Sie das Register unterstützen, bevor Sie irgendwelche Änderungen an ihm vornehmen. Falsche Änderungen am Register können dauerhaften Datenverlust oder verdorbene Akten ergeben. Ändern Sie nur die angegebenen Schlüssel. Lesen Sie das Dokument, ",wie man eine Unterstützung vom Windows Register," für Anweisungen bildet.
Klicken Sie Anfang > GelaufenAn.
Schreiben Sie regedit
Klicken Sie dann O.K..
Steuern Sie zum Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
In der rechten Scheibe löschen Sie den Wert:
"Miosf Update"="wimsqaad.exe"
Nehmen Sie den Register-Herausgeber heraus.