Viren | Spyware
Vannulieren
Mit diesen Internet-Aufstellungsorten können Sie das Vannulieren Virus entfernen:
entfernen Vannulieren virus
Trojan.Vannulieren besteht aus vier Bestandteilen:HTML Code, der die Microsoft Internet Explorer mißgebildete IFRAME Remotepuffer-Sammelverwundbarkeit ausnutzt (wie in Bugtraq Identifikation 11515 beschrieben)
Ein Download-Programm Bestandteil
Adware
Ein DLL Modul, das das adware anbrachte
Der HTML Code nutzt die Microsoft Internet Explorer mißgebildete IFRAME Remotepuffer-Sammelverwundbarkeit (wie in Bugtraq Identifikation 11515 beschrieben) und die Versuche aus, die Akte, C:\bla.exe zu downloaden und durchzuführen, von der Adresse 83.149.86.132. Dieses ist der Download-Programm Bestandteil des Trojan.
Sobald dieses Trojan auf dem angesteckten Computer durchgeführt wird, führt er die folgenden Tätigkeiten durch:
Stellt eine exe Akte mit einem Dateinamen her, daß sie aus den folgenden Zeichenketten hergestellt wird:
abr
Handels
Anti-
Wechselstrom
Akkumulator
Anzeige
AP
wie
Sortierfach
bas
bak
Fahrerhaus
Katze
cmd
COM
Cr
c
drv
DB
Scheibe
DLL
DNS
DOS
Doc.
dvd
eula
exp
Telefax
Schriftkegel
ftp
stark
iis
img
inet
Info
IP
Java
KB
Schlüssel
Bibliothek
Maschinenbordbuch
hauptsächlich
Ms
Lux
Kraftstoffregler
mp3
msvc
Netz
Nuß
odbc
ole
PC
ps
Spiel
ras
Ausrichtung
Durchlauf
System
srv
svr
Organisationsprogrammaufruf
s
tapi
TCP
Aufgabe
un
URL
util
vb
vga
Seitenflossenstation
xml
Welle
Netz
W
Gewinn
wms
Speichert und führt die oben genannte Akte in irgendwelchen der folgenden Verzeichnisse durch:
%Windir%\addins \
%Windir%\AppPatch \
%Windir%\assembly \
%Windir%\Config \
%Windir%\Cursors \
%Windir%\Driver Pufferspeicher \
%Windir%\Drivers \
%Windir%\Fonts \
%Windir%\Help \
%Windir%\inf \
%Windir%\java \
%Windir%\Microsoft.NET \
%Windir%\msagent \
%Windir%\Registration \
%Windir%\repair \
%Windir%\security \
%Windir%\ServicePackFiles \
%Windir%\Speech \
%Windir%\system \
%Windir%\system32 \
%Windir%\Tasks \
%Windir%\Web \
%Windir%\Windows Update-Einstellung Akten \
%Windir%\Microsoft \
Anmerkung: %Windir% ist eine Variable, die auf das Windows Installation Heft sich bezieht. Durch Rückstellung ist dieses C:\Windows oder C:\Winnt.
Löscht den Wert:
"* MS Gegründet"
vom Registerschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Addiert den Wert:
"* WinLogon" = "[ Trojan voller Wegdateiname ] ren time:[random Zahl ]"
zum Registerschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Verursacht die folgende Registereintragung:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active Zustand
Versuche, eine Akte vom IP address 62.4.84.41 zu downloaden und durchzuführen.
Die zurückgeholte Akte ist ein adware Modul mit einem eingebetteten DLL Bestandteil.
Scheint, die URL Liste zu speichern und kann versuchen, HTTP Antrag bis eine der folgenden IP Adressen zu schicken:
62.4.84.53
62.4.84.56
Läßt das eingebettete DLL wie %Temp%\[reversed Trojan Akte name].dat fallen.
Spritzt das eingebettete DLL in den Adressbereich einiger laufender Prozesse ein, und jeder Prozeß, der nach der Drohung durchgeführt wird, fängt an zu laufen.
Stellt die folgenden temporären Akten her, die nicht böswillig sind:
[ aufgehobene Trojan Akte name].bak1
[ aufgehobene Trojan Akte name].bak2
[ aufgehobene Trojan Akte name].ini
Addiert den Wert:
"* [ Trojan Dateiname ]" = "[ Trojan voller Wegdateiname ] lassen Sie" wieder laufen
zum Registerschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Addiert den Wert:
"[Default-Wert ]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
zu den Registerschlüsseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID
Verursacht die folgenden Registereintragungen:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \
Datenbanksuchroutine-Helfer Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
Zeigt Reklameanzeigen auf dem angesteckten Computer an.
Beginnt den adware Bestandteil wieder, wenn das Trojan ermittelt, daß der adware Bestandteil das Laufen gestoppt hat.
Nachdem ein Neuladen, das Trojan mit "Wiederholung" Parameter durchgeführt wird, (sehen Sie Schritt 10). Wenn das Trojan mit "Wiederholung" Parameter durchgeführt wird, addiert er den Wert:
"* [ Trojan Dateiname ]" = "[ Trojan voller Wegdateiname ]"
zum Registerschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Vermindert die Leistung des Computers indem das Verringern der Menge des virtuellen Speichers vorhanden. Dieses ist ein Resultat des Trojan, welches die Microsoft Internet Explorer mißgebildete IFRAME Remotepuffer-Sammelverwundbarkeit ausnutzt (wie in Bugtraq Identifikation 11515 beschrieben).
Symantec Sicherheit Antwort regt alle Benutzer und Verwalter an, die folgende grundlegende Sicherheit "beste Praxis" zu befolgen:
Stellen Sie ab und entfernen Sie nicht benötigte Dienstleistungen. Durch Rückstellung bringen viele Betriebssysteme zusätzliche Dienstleistungen, die nicht, wie ein ftp server, telnet kritisch sind, und ein web server an. Diese Dienstleistungen sind Alleen des Angriffs. Wenn sie entfernt werden, haben gemischte Drohungen weniger Alleen des Angriffs und Sie haben wenige durch Fleckenupdates beizubehalten Dienstleistungen.
Wenn eine gemischte Drohung einen oder mehr Vermittlungsdienste ausnutzt, sperren Sie oder blockieren Sie Zugang zu, jene Dienstleistungen, bis ein Flecken angewendet ist.
Halten Sie immer Ihre Fleckenniveaus aktuell, besonders auf Computern, die allgemeine Dienstleistungen bewirten und durch die Brandmauer, wie HTTP, ftp, Post und DNS Dienstleistungen zugänglich sind (zum Beispiel, sollten alle Windows-basierten Computer den gegenwärtigen angebrachten Service-Satz haben). Zusätzlich wenden Sie bitte alle mögliche Sicherheit Updates an, die in dieser Darstellung, in verläßlichen Sicherheit Nachrichten oder auf Verkäufer Netzaufstellungsorten erwähnt werden.
Erzwingen Sie eine Kennwortpolitik. Komplizierte Kennwörter bilden es schwierig, Kennwortakten auf verglichenen Computern zu knacken. Dieses hilft, Beschädigung zu verhindern oder zu begrenzen, wenn ein Computer verglichen wird.
Bauen Sie Ihren email Bediener zusammen, um email zu blockieren oder zu entfernen, das Akte Zubehöre enthält, die allgemein benutzt werden, um Viren, wie vbs, bat, exe, pif und scr Akten zu verbreiten.
Lokalisieren Sie angesteckte Computer schnell, um Ihre Organisation weiter sich vergleichen zu verhindern. Führen Sie eine gerichtliche Analyse durch und stellen Sie die Computer mit verläßlichen Mitteln wieder her.
Bilden Sie Angestellte, um aus Zubehöre nicht zu öffnen, es sei denn sie sie erwarten. Auch führen Sie nicht Software durch, die vom Internet downloadet wird, es sei denn es auf Viren abgelichtet worden ist. Eine verglichene Web site einfach besichtigen kann Infektion verursachen, wenn bestimmte Datenbanksuchroutineverwundbarkeit nicht ausgebessert wird.
Abbau, das Abbau-Werkzeug verwendend
Symantec Sicherheit Antwort hat ein Abbau werkzeug entwickelt , um die Infektion von Trojan.Vannulieren zu säubern. Dieses ist die bevorzugte Methode in den meisten Fällen.
Manueller Abbau
Die folgenden Anweisungen betreffen alle gegenwärtigen und neuen Symantec antivirus Produkte, einschließlich Symantec AntiVirus und Norton AntiVirus Produktserien.
Sperren Sie System Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Beginnen Sie den Computer im sicheren Modus oder IM VGA Modus wieder.
Lassen Sie einen vollen System Scan laufen und löschen Sie alle Akten, die als Trojan.Vannulieren ermittelt werden.
Heben Sie die Änderungen auf, die am Register vorgenommen werden.
Für Details über jeden dieser Schritte, lesen Sie die folgenden Anweisungen.
1. System Wiederherstellung (Windows Me/XP) sperren
Wenn Sie Windows ich oder Windows.xp laufen lassen, empfehlen wir, daß Sie vorübergehend System Wiederherstellung abstellen. Windows Me/XP benutzt diese Funktion, die durch Rückstellung ermöglicht wird, um die Akten auf Ihrem Computer wieder herzustellen, falls sie beschädigt werden. Wenn ein Virus, eine Endlosschraube oder ein Trojan einen Computer ansteckt, kann System Wiederherstellung das Virus, die Endlosschraube oder das Trojan auf dem Computer unterstützen.
Windows verhindert äußere Programme, einschließlich antivirus Programme, an ändernder System Wiederherstellung. Folglich können antivirus Programme oder Werkzeuge nicht Drohungen im System Wiederherstellung Heft entfernen. Infolgedessen hat System Wiederherstellung das Potential der Wiederherstellung einer angesteckten Akte auf Ihrem Computer, selbst nachdem Sie die angesteckten Akten von allen anderen Positionen gesäubert haben.
Auch ein Virusscan kann eine Drohung im System Wiederherstellung Heft ermitteln, obwohl Sie die Drohung entfernt haben.
Für Anweisungen in, wie man System Wiederherstellung, lesen Sie Ihre Windows Unterlagen oder einen der folgenden Artikel abstellt:
",wie man Windows ich System Wiederherstellung sperrt oder ermöglicht"
",wie man abstellt oder Windows.xp System Wiederherstellung einschaltet"
Anmerkung: Wenn Sie vollständig das Abbauverfahren beendet sind und erfüllt sind, das die Drohung entfernt worden ist, re-enable System Wiederherstellung durch nach die Anweisungen in den vorher erwähnten Dokumenten.
Zu zusätzlicher Information und einer Alternative zur Sperrung von von Windows sehe ich System Wiederherstellung, den Microsoft Wissensbasisartikel, "Antivirus Werkzeuge kann nicht angesteckte Akten im _ Wiederherstellung Heft säubern," Artikel Identifikation: Q263455.
2. Die Virusdefinitionen aktualisieren
Symantec Sicherheit Antwort prüft völlig alle Virusdefinitionen auf Qualitätssicherung, bevor sie zu unseren Bedienern bekanntgegeben werden. Es gibt zwei Möglichkeiten, die neuesten Virusdefinitionen zu erreichen:
Laufendes LiveUpdate, das die einfachste Weise ist, Virusdefinitionen zu erreichen: Diese Virusdefinitionen werden zu den LiveUpdate Bedienern sobald jede Woche (normalerweise an Mittwoch) bekanntgegeben, es sei denn es einen Hauptvirusausbruch gibt. Um festzustellen ob Definitionen für diese Drohung durch LiveUpdate vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (LiveUpdate).
Downloading der Definitionen mit dem intelligenten Updater: Die intelligenten Updater Virusdefinitionen werden täglich bekanntgegeben. Sie sollten die Definitionen von der Symantec Sicherheit Warteweb site downloaden und sie manuell anbringen. Um festzustellen ob Definitionen für diese Drohung durch das intelligente Updater vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (intelligentes Updater).
Die intelligenten Updater Virusdefinitionen sind vorhanden: Gelesen ",wie man Virusdefinition einordnet mit dem intelligenten Updater "für ausführliche Anweisungen aktualisiert.
3. Den Computer im sicheren Modus oder IM VGA Modus wiederbeginnen
Schließen Sie den Computer und stellen Sie den Strom ab. Warten Sie mindestens 30 Sekunden, und beginnen Sie dann den Computer im sicheren Modus mit Befehlseingabeformat oder VGA Modus wieder.
Für Windows 95 beginnen 98, ich, 2000 oder XP Benutzer, den Computer im sicheren Modus wieder. Für Anweisungen lesen Sie das Dokument, ",wie man anstellt den Computer im sicheren Modus."
Für Windows NT beginnen 4 Benutzer, den Computer im VGA Modus wieder.
4. Auf ablichten und die angesteckten Akten löschen
Starten Sie Ihr Symantec antivirus Programm und überprüfen Sie, ob es zusammengebaut wird, um alle Akten abzulichten.
Für Norton AntiVirus Verbraucherprodukte: Lesen Sie das Dokument, ",wie man Norton AntiVirus zusammenbaut, um alle Akten abzulichten."
Für Symantec AntiVirus Unternehmenprodukte: Lesen Sie das Dokument, ",wie man überprüft, daß ein Symantec korporatives antivirus Produkt eingestellt ist, um alle Akten abzulichten."
Lassen Sie einen vollen System Scan laufen.
Wenn irgendwelche Akten ermittelt werden, wie mit Trojan.Vannulieren angesteckt, Klicken Löschung.
5. Die Änderungen vorgenommen am Register aufheben
Wichtig: Symantec empfiehlt stark, daß Sie das Register unterstützen, bevor Sie irgendwelche Änderungen an ihm vornehmen. Falsche Änderungen am Register können dauerhaften Datenverlust oder verdorbene Akten ergeben. Ändern Sie nur die angegebenen Schlüssel. Lesen Sie das Dokument, ",wie man eine Unterstützung vom Windows Register," für Anweisungen bildet.
Klicken Sie Anfang > GelaufenAn.
Schreiben Sie regedit
Klicken Sie dann O.K..
Steuern Sie zu den Schlüsseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID
In der rechten Scheibe löschen Sie den Wert:
"[ Default-Wert ]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
Steuern Sie zum Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Wenn es, in der rechten Scheibe besteht, löschen Sie den Wert:
"* WinLogon =" [ Trojan voller Wegdateiname ] ren time:[random Zahl ] "
Steuern Sie zum Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Wenn es, in der rechten Scheibe besteht, löschen Sie den Wert:
"* [ Trojan Dateiname ]" = "[ Trojan voller Wegdateiname ] lassen Sie" wieder laufen
Steuern Sie zum Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \
Wenn es, in der rechten Scheibe besteht, löschen Sie den Wert:
"* [ Trojan Dateiname ]" = "[ Trojan voller Wegdateiname ]"
Steuern Sie zu und löschen Sie die folgenden Registereintragungen:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ActiveState
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \
Datenbanksuchroutine-Helfer Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
Nehmen Sie den Register-Herausgeber heraus.
Beginnen Sie den Computer im normalen Modus wieder. Für Anweisungen lesen Sie den Abschnitt auf dem Zurückbringen zum normalen Modus im Dokument, ",wie man anstellt den Computer im sicheren Modus."