Virus | Spyware
Inzae.B
À l'aide de ces sites Web, vous pouvez écarter le virus Inzae.B:
écarter Inzae.B virus
W32.Inzae.B@mm est un ver d'masse-expédition qui utilise son propre moteur de smtp pour s'envoyer à toutes les adresses d'email qu'il recherche de la machine infectée.En outre Connu En tant que: Email-Worm.Win32.Pawur.a [ Kaspersky ], W32/Anzae.worm.c [ McAfee ], W32/Anzae.worm.d [ McAfee ], W32/Tasin.B.worm [ Panda ], W32/Tasin.C.worm [ Panda ], W32/Anzae-B [ Sophos ], W32/Anzae-C [ Sophos ]
Quand W32.Inzae.B@mm est exécuté, il fait ce qui suit :
Copies elle-même comme %System%\Command.pif, si le name"Svchost de valeur d'enregistrement" n'existe pas dans la clef folllowing d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Note : %System% est une variable qui se rapporte à la chemise de système. Par défaut c'est C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows.xp).
Ajoute la valeur :
"Messenger6" = "%System% \command.pif"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de sorte que le ver fonctionne quand Windows commence.
S'il existe, supprime la valeur :
"Messenger6"
de la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Montre le message suivant :
Titre : Interno d'erreur
Message : Danado d'interno de Documento, visualizarlo de poder de Para. d'asociada d'aplication de La de reinstale
Informacion http:/ /www.microsoft.com de Mas
De EL de programa cerrara ainsi.
Envoie un HTTP OBTIENNENT la demande de télécharger le dossier msvbvm60.dll, aux chemises suivantes, et puis l'exécutent :
%Windir%\System32
%Windir%\System
Note : %Windir% est une variable qui se rapporte à la chemise d'installation de Windows. Par défaut, c'est C:\Windows ou C:\Winnt.
Crée le dossier suivant et l'exécute si le dossier, msvbvm60.dll, est téléchargé avec succès :
%System%\Paula.pif
Note : %System% est une variable qui se rapporte à la chemise de système. Par défaut c'est C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows.xp).
Quand %System%\Paula.pif est exécuté, il fait ce qui suit :
Copies elle-même comme %System%\Svchosl.pif.
Crée les dossiers suivants :
%Windir%\System32\m.zip
%Windir%\System32\sw.exe
%Windir%\System32\sx.exe
%Windir%\System32\ss.exe
%Windir%\System32\sz.exe
Ajoute la valeur :
"Svchost"="%System%\svchosl.pif"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Supprime les dossiers avec les prolongements suivants :
asm
asp
bat
bdsproj
bmp
c
css
doc
dot
dpr
gif
h
htm
html
inf
ini
iso
jpeg
jpg
log
mdb
mp3
msi
nfm
nrg
pas
pcx
php
ppt
rar
reg
rpt
txt
vb
vbs
wav
xls
Copies elle-même aux commandes de C, de D, de E, et de F en tant que ce qui suit :
Absolutismo.bmp
Lo_mejor.bmp
Q_mas_da.bmp
Que_puede_ser.bmp
Siempre_juntos.bmp
Sientelo.bmp
Envoie un HTTP OBTIENNENT la demande à un emplacement de Web sur le domaine xxxxx.org.
Utilise son propre moteur de smtp pour s'envoyer à toutes les adresses d'email qu'il trouve. L'email a les caractéristiques suivantes :
De : (Charrié)
Objet : (un du suivant)
XD d'aire de EL de FW:Como...
Amor de FW:El, amor de EL, jajaja
FW:Miralo ! ! ! !
FW:Más de los mismo, pena de La de vallée de pero...
Yo :P, jajaja de quise de te de FW:Más
Cosasssssss de que de FW:Pero, jajajaja
Cierto du silicium es de FW:Pero ! ! !
Dormir??jajaja de FW:Podrás
Disfrutes de que de FW:Venga bas ;) jajaja
Impresiona ! ! ! !
Message : (un du suivant)
Esto aucun je bas creo, joeee, jajajaj
Miralo y je luego de comentas, jajajaja
Reenvia!!!!!jajajaja de Miralo y, leñe de comparte !
Mirame !, jajaja
Aucun commentaire, xDD, vemos de numéros ! !
Vea!jajaja de tu de la PA q
Cosasssss de que de Pero !
Tu de silicium je vieras....
Pongo de Te des 100, jajaja
jajajaja, aucun ser de pue !
Attachements : (un du suivant)
Basta_YA.zip
Claro_que_lo_se.zip
Con_mas_amor.zip
Las_cosas_cambian.zip
Lo_que_te_mereces.zip
Lo_que_ves.zip
No_me_lo_creo.zip
Nunca_estamos.zip
Para_ti_mas.zip
Siempre_estas_ahi.zip
L'attachement contient un des dossiers suivants :
Absolutismo.bmp
Lo_mejor.bmp
Q_mas_da.bmp
Que_puede_ser.bmp
Siempre_juntos.bmp
Sientelo.bmp
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Remettez en marche l'ordinateur en mode sûr ou mode de VGA.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme W32.Inzae.B@mm.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées quotidiennement. Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour remettre en marche l'ordinateur en mode sûr ou mode de VGA
Arrêtez l'ordinateur et coupez le courant. Attendez au moins 30 en second lieu, et puis remettez en marche l'ordinateur en mode sûr ou mode de VGA.
Pour Windows 95, 98, moi, 2000, ou les utilisateurs de XP, remettent en marche l'ordinateur en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr."
Pour Windows NT 4 utilisateurs, remettent en marche l'ordinateur en mode de VGA.
4. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de W32.Inzae.B@mm, effacement de clic.
5. Pour supprimer la valeur de l'enregistrement
Important : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
Cliquez Le Début > Couru.
Dactylographiez le regedit
Cliquez Alors BIEN.
Dirigez à la clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le carreau droit, supprimez les valeurs :
"Messenger6" = "%System% \command.pif"
"Svchost"="%System%\svchosl.pif"
Sortez le rédacteur d'enregistrement.