Virus | Spyware
Beagle.AX
À l'aide de ces sites Web, vous pouvez écarter le virus Beagle.AX:
écarter Beagle.AX virus
Quand Beagle.AX@mm est exécuté, il effectue les actions suivantes :Montre le message d'erreur faux suivant. Cliquer BIEN aura comme conséquence plus de messages apparaissant, comme :
Erreur !
Ne peut pas trouver une visionneuse liée au dossier
Crée les sept mutexes suivants :
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't '
_ - oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+ -|XxKOo - _
[ SkyNet.cz]SystemsMutex
AdmSkynetJklS003
--____ d'U<<<< de ____--->>>>
_ - oO]xX|- S-k-y-N-e-t-|Xx[Oo - _
Certaines de ces derniers empêcheront des variantes de Netsky d'être lancé.
Supprime les valeurs suivantes :
"Mon Poids du commerce"
"Client De Laboratoires De Zone Ex"
"9XHtProtect"
"Antivirus"
"Service Spécial De Mur à l'épreuve du feu"
"service"
"Poids du commerce Minuscule"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus Poids du commerce"
"KasperskyAVEng"
"SkynetsRevenge"
"Filet d'ICQ"
des clefs d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
pour empêcher l'autre malware d'être lancé quand Windows commence.
Crée les dossiers suivants :
%System%\sysinit.exe
%System%\sysinit.exeopen
%System%\sysinit.exeopenopen
%System%\sysinit.exeopenopenopen
%System%\sysinit.exeopenopenopenopen
Ajoute la valeur :
"Syskey" = "%System%\sysinit.exe"
à la clef d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Mai ajoute les clefs suivantes d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft \DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
Les tentatives de terminer les processus suivants se sont associées aux applications d'antivirus et de sécurité :
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
sys_xp.exe
sysxp.exe
UPDATE.EXE
winxp.exe
kavsvc.exe
Ouvre un secret sur le port 2002 de TCP permettant à la machine compromise d'être employé comme relais d'email.
Envoie un HTTP OBTIENNENT la demande par l'intermédiaire du port 80 au domaine, webnomey.net de TCP, où il essaye d'entrer en contact avec un manuscrit de php.
Tentatives de télécharger un dossier du domaine sash.cc et de le sauver comme 1.exe. Ce dossier est alors exécuté.
Recherche le disque dur des chemises contenant la corde "shar" et se copie à elles avec un des noms suivants :
Fente De Microsoft Office 2003, Working!.exe
Microsoft Windows XP, fente de WinXP, Keygen.exe fonctionnant
Fente fonctionnante de Microsoft Office XP, Keygen.exe
Le porno, sexe, oral, anal se refroidissent, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
PICS de porno arhive, xxx.exe
Windows Sourcecode update.doc.exe
En avant Nero 7.exe
Longhorn Bêta Leak.exe De Windown
Opéra 8 New!.exe
XXX images.exe inconditionnel
WinAmp 6 New!.exe
Pro Keygen Fente Update.exe De WinAmp 5
Adobe Photoshop 9 full.exe
Révolution Subtitles.exe Anglais De Matrix 3
ACDSee 9.exe
Recherches des adresses d'email dans les dossiers avec les prolongements suivants :
wab
txt
msg
htm
shtm
stm
xml
dbx
mbx
mdx
eml
nch
mmf
ods
cfg
asp
php
pl
wsh
adb
tbb
sht
xls
oft
uin
cgi
mht
dhtm
jsp
Utilise son propre moteur de smtp pour envoyer des messages d'email à toutes les adresses trouvées.
L'email peut avoir les caractéristiques suivantes :
De :
< charrié >
Objet : (un du suivant)
Re : Réponse de msg
Re : Bonjour
Re : Yahoo !
Re : Merci !
Re : Merci :)
RE : Message des textes
Re : Document
Message entrant
Re : Message Entrant
RE : Msg Entrants
RE : Le Message Annoncent
Avis
Changements.
Mise à jour
Message De Fax
Message protégé
RE : Message protégé
Le forum annoncent
Changements d'emplacement
Re : Bonjour
Document chiffré
Corps de message : (un du suivant)
Lisez l'attache.
Votre dossier est joint.
Plus d'information est dans l'attache
Voir l'attache.
Svp, allez voir le dossier ci-joint.
Votre document est joint.
Svp, lisez le document.
L'attache indique tout.
Le dossier joint indique tout.
Examinez le dossier ci-joint pour assurer les détails.
Vérifiez le dossier ci-joint.
Prêtez l'attention à l'attache.
Voyez le dossier ci-joint pour des détails.
Le message est dans l'attache
Voici le dossier.
Suivi d'un des textes suivants si l'attachement est un dossier de fermeture éclair :
Pour des raisons de sécurité le dossier joint est mot de passe protégé.
Le mot de passe est [ dossier d'image contenant le mot de passe ]
Pour la sécurité le dossier joint est mot de passe protégé.
Mot de passe - -- [ dossier d'image contenant le mot de passe ]<
Note : Employez le mot de passe [ dossier d'image contenant le mot de passe ] pour ouvrir des archives.
Le dossier joint est protégé avec le mot de passe pour des raisons de sécurité.
Le mot de passe est [ dossier d'image contenant le mot de passe ]
Afin de lire l'attache vous devez employer le mot de passe suivant :
[ dossier d'image contenant le mot de passe ]
Dossier des archives password:[image contenant le mot de passe ]
Mot de passe - [ dossier d'image contenant le mot de passe ]
Mot de passe : [ dossier d'image contenant le mot de passe ]
Attachement: (un du suivant)
L'information
Détails
text_document
Mises à jour
Readme
Document
Information
Détails
MoreInfo
Message
suivi d'un des prolongements :
.hta
vbs
exe
scr
com
cpl
zip
En outre, un dossier d'image contenant le mot de passe peut également être joint.
Évite d'envoyer l'email aux adresses contenant n'importe laquelle des cordes suivantes :
@hotmail
@msn
@Microsoft
évaluation @
f-secur
nouvelles
mise à jour
n'importe qui @
bogues @
contrat @
feste
or-certs @
aide @
information @
personne @
aucun @
kasp
admin
icrosoft
appui
ntivi
unix
schéma
linux
listserv
certific
sopho
@foo
@iana
libre-poids du commerce
@messagelab
winzip
winrar
échantillons
abus
panda
cafee
Spam
PGP
@avp.
noreply
local
racine @
maître de poste @
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme W32.Beagle.AX@mm.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées quotidiennement. Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de W32.Beagle.AX@mm, effacement de clic.
Note : Si votre produit d'antivirus de Symantec signale qu'il ne peut pas supprimer un dossier infecté, Windows peut employer le dossier. Pour fixer ceci, courez le balayage en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr." Une fois que vous vous êtes remis en marche en mode sûr, courez le balayage encore.
(après que les dossiers soient supprimés, vous pouvez laisser l'ordinateur dans le mode sûr et poursuivre la section 4. Quand cela est fait, remettez en marche l'ordinateur en "copie normale".)
4. Pour supprimer la valeur de l'enregistrement
Important : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
Cliquez Le Début > Couru.
Dactylographiez le regedit
Cliquez Alors BIEN.
Dirigez à la clef :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le carreau droit, supprimez la valeur :
"Syskey" = "%System%\sysinit.exe"
Dirigez aux clefs suivantes s'ils existent et les suppriment :
HKEY_CURRENT_USER\Software\Microsoft\DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
Sortez le rédacteur d'enregistrement.