tag:blogger.com,1999:blog-431976465776714922024-03-12T15:04:35.165-07:00אנטי וויראלי - המדריך להסרת ווירוסים עקשניםהמדריך להסרת כל אותם ווירוסים עקשנים שהאנטי ווירוס לא יכול להם - פירמוט איננו הברירה היחידה אלא האחרונה!Unknownnoreply@blogger.comBlogger37125tag:blogger.com,1999:blog-43197646577671492.post-39950910474469869932008-10-07T23:56:00.000-07:002008-10-07T23:59:55.641-07:00אנטי וויראלי - איך מורידים ווירוס עקשן כשהאנטי ווירוס לא מצליח?<div style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul><li><span style="color: rgb(255, 102, 0);"><span style="font-weight: bold;">אנטי וויראלי</span> - המדריך להסרת ווירוסים - אלו שתוכנות האנטי ווירוס לא מצליחות להוריד<br /></span></li></ul>אנטי-ווירוס הינו כלי נהדר המשרת את מטרתו ברוב המקרים - אבל מה לעשות? אין אנטי ווירוס שניתן לסמוך עליו בכל מאת האחוזים.<br /><br />מטרתינו היא למלא את אותו מרווח בו האנטי-ווירוס שלכם אינו יכול לספק את התוצאות המבוקשות, על ידי פיתוח התקנים (Patch) שונים לאיתור חיסול והסרת ווירוסים וסוסים טרויאנים אשר אינם מזוהים, או אינם ניתנים לתיקון והסרה על ידי תוכנות האנטי ווירוס השונות.<br /><br />בנוסף, במקרים רבים בהם האנטי-ווירוס מסוגל לזהות ולהסיר ווירוסים וסוסים טרויאנים מן המערכת - אין ביכולתו לבצע שחזור של הנזק שנגרם על ידים במהלך פעולתם. ההתקנים שתמצאו כאן בנויים בצורה כזו שהם מסוגלים לשחזר את הנזקים השונים הנגרמים למערכת על ידי הווירוסים והסוסים הטרויאנים באופן חלקי או מלא.<br /><br />נזקים נפוצים הנגרמים על ידי ווירוסים וטרויאנים שונים ושאינם מתוקנים על ידי האנטי-ווירוס:<br /><ul><li>היעלמות של תפריטים שונים במערכת (הפעלה, חיפוש, אפשרויות תיקייה...)</li><li>הגבלת היכולת להריץ תוכנה מסויימת (regedit, task manager, cmd...)</li><li>הגבלת הגישה אל משאבי מערכת שונים (רשת, מדפסות, יציאות USB, אינטרנט...)</li></ul><span style="font-weight: bold;">זיכרו, העובדה כי תוכנות האנטי-ווירוס השונות אינן חינמיות (כלומר עולות כסף) אינה הופכת אותן לטובות או מוצלחות יותר. בהבה מקרים, אלו הכלים החינמיים שעושים את העבודה טוב יותר :-)</span><br /></div><br /><hr /><br /><span style="font-weight: bold;">לפניכם רשימת ההתקנים הזמינים להסרת ווירוסים וסוסים טרויאנים:</span><br /><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/chickie.html">התקן להסרת (Chickie (chiCkie.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/raila-odinga-raila-odingaexe.html">התקן להסרת (Raila Odinga (Raila Odinga.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/autorun-c-avpoexe-ntde1ectcom.html">התקן להסרת (Autorun-C (avpo.exe, ntde1ect.com</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/bldk-bldk.html">התקן להסרת (@bldk (@bldk</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/hello-bo2k-ne0ksexe-sex-cityjpgwsf.html">התקן להסרת (hello BO2K (ne0kS.exe, Sex City.jpg.wsf</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/taipingtianguov-et-misvh55.html">התקן להסרת (taipingtianguov et MisVH55 (taipingtianguov1.1.exe, MisVH55.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/windows.html">התקן להסרת (טרויאני) (Autorun-G (kavo.exe, ntdeLect.com</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/autorun-xa-amvo-xn1i9xcom.html">התקן להסרת (טרויאני) (Autorun XA (amvo, xn1i9x.com</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/w32wuauc1t-wuauc1texe-win6pif.html">התקן להסרת (W32/wuauc1t (wuauc1t.exe, win6.pif</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/autorun-av-amvoexexadeiectcom.html">התקן להסרת (טרויאני) (Autorun AV (amvo.exe,xadeiect.com</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/win32rjump-adoberexe.html">התקן להסרת (Win32.RJump (AdobeR.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/win32rungbu-rungbuexe.html">התקן להסרת (Win32/RungBu (RungBu.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/safywayblogspot-virusremovalvbs.html">התקן להסרת (Safyway.blogspot (VirusRemoval.vbs</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/killvbs-remover-killvbsvbs.html">התקן להסרת (KillVBS Remover (KillVBS.vbs</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/tratbho-msgnmsexe.html">התקן להסרת (TratBHO (msgnms.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/w32sillydc-rbot-akbwinupexewormwin32mef.html">התקן להסרת (W32.SillyDC (RBOT-AKB,WinUp.exe,Worm.Win32.Mefir.a</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/zlobgen-sbsmexesbmdldll4e17c240exe3c778.html">התקן להסרת (Zlob.gen (sbsm.exe,sbmdl.dll,4E17C240.EXE,3C7780C0.DLL,3C7780C0.DLL ,del.bat,scm.exe,auto.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/amvoexe.html">התקן להסרת Amvo.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/killgodzilla-killgodzillavbs.html">התקן להסרת (KillGodzilla (KillGodzilla.vbs</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/bagle-mdelkexe-wintemsexe-flec006exe.html">התקן להסרת (Bagle (mdelk.exe, wintems.exe, flec006.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/sdbot-fix-ctfmonnexe-backdoorsdbot.html">התקן להסרת (SdBot fix (ctfmonn.exe, Backdoor.SdBot, Sdbot.worm.gen.a</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/sohanad-fix-scvvhsotexe-svchostexe.html">התקן להסרת (Sohanad fix (SCVVHSOT.exe, svchost.exe, W32.Imaut.A, TROJ_AUTORUN.AH, Worm.Sohanad</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/virtumonde-virtumondo-vundo-trojvundo.html">התקן להסרת (VirtuMonde (VirtuMondo, Vundo, TROJ_VUNDO, TROJ_MEREDROP,DL.Small.ADIB</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/kavoexe.html">התקן להסרת Kavo.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/kxvoexe-kxvoexefool0dllfool1dllieso0dll.html">התקן להסרת (Kxvo.exe (Kxvo.exe,fool0.dll,fool1.dll,ieso0.dll</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/pattyexe-s0undmansexe1sasrvdlladsldpsdl.html">התקן להסרת (Patty.exe (S0UNDMANS.EXE,1sasrv.dll,adsldps.dll,twain.dll,realsched.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/tavoexe-tavo0dll-tavo1dll.html">התקן להסרת (Tavo.exe (tavo0.dll, tavo1.dll</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/netsky-fvprotectexefirewallsvrexenetsta.html">התקן להסרת (NetSky (FVProtect.exe,FirewallSvr.exe,netstats.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/noooh-sysexe-comsysdll.html">התקן להסרת (Noooh (Sys.exe, ComSys.dll</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/monaronadona-srvspoolexe.html">התקן להסרת (MonaRonaDona (srvspool.exe, registrycleaner2008.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/virusheat-virusheat-43exe-virusheatexe.html">התקן להסרת (VirusHeat (VirusHeat 4.3.exe, VirusHeat.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/04/virtual-made-virtual-maiddll.html">התקן להסרת (Virtual Made (Virtual Maid.dll, http://www.searchmaid.com</a><span style="text-decoration: underline;"><br /></span><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/10/softhomepagecom-sbsmexe-sbsmdll.html">התקן להסרת softhomepage.com sbsm.exe, sbsm.dll</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/10/cftmonnexe.html">התקן להסרת הווירוס cftmonn.exe</a><br /><a style="font-weight: bold;" href="http://antivirali.blogspot.com/2008/10/cradleoffilthvbe.html">התקן להסרת cradle_of_filth.vbe</a><br /><span style="text-decoration: underline;"><br /><br /></span><span style="font-weight: bold;">עוד על אבטחה והסרת ווירוסים:<br /><br /></span></div><br /><br /></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-45021566632273188262008-10-07T23:48:00.000-07:002008-10-07T23:54:27.885-07:00התקן להסרת cradle_of_filth.vbe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ווירוס מוזר משהו שמונע ומגביל את פעילותן של תוכנות שונות במערכת ואת הגישה לתפריטים. הווירוס מופץ דרך מדיה ניידת. הווירוס יוצר קבצי הפעלה על המדיה הניידת ומשחזר אותם אוטומאטית במקרה של מחיקה.<br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים התיקיה הראשית במדיה הניידת:<br /><startup><br /></startup><ul class="list"><li>autorun.inf</li><li>cradle_of_filth.vbe</li><li><br /></li></ul>הווירוס ישתיל את הקובץ הבא בתיקיית המערכת:<startup><br /></startup><ul class="list"><li><system>\cradle_of_filth.vbe</li></ul><br /><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<windows><system><windows><br /></windows></system></windows><ul><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu</li><li> HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch<br /> </li><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton</li><li>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue</li><li>HKLM\Software\Microsoft\Command Processor\AutoRun</li><li>HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR </li></ul>HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon<br /> Userinit<br /> C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe<br /> Must be<br /> C:\Windows\userinit.exe,<br /><br /><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/cradle_of_filth_fix.rar">התקן להסרת cradle_of_filth.vbe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-34032535803042981892008-10-07T23:43:00.000-07:002008-10-07T23:47:26.605-07:00התקן להסרת הווירוס cftmonn.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל המערכת:<br /><startup><br /></startup><ul class="list"><li><system>\cftmonn.exe</li><li>autorun.inf</li><li>ctfmonn.exe</li></ul><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<windows><system><windows><br /><br /></windows></system></windows>HKLM\Software\Microsoft\Windows\Current\Version\Run <ul><li>cftmonn= <system>\cftmonn.exe</li></ul><br /><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/cftmonn-fix.rar">התקן להסרת cftmonn.exe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-29748657069168812882008-10-07T23:24:00.000-07:002008-10-07T23:35:02.412-07:00התקן להסרת softhomepage.com (sbsm.exe, sbsm.dll)<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr /><ul><li>מוריד קבצים באופן אוטומאטי מהאינטרנט<br /> </li><li>יוצר ערך ב-register שטוען אותו באופן אוטומאטי<br /> </li><li>משתלב בתוך פעילות הדפדפן IE</li><li>רץ קשירות מערכת</li><li>קובע את softhomepage.com כדף הבית בדפדפן ומתחבר אליו דרך פורט 80<br /></li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל המערכת:<br /><startup><br /></startup><ul class="list"><li><system>\sbmdl.dll</system></li><li><system>\sbsm.dll</system></li></ul><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><table style="width: 681px; height: 1034px;" border="0" cellpadding="0" cellspacing="0"><tbody><tr></tr><tr><td height="126"><br /></td> <td class="texte" valign="top"><p><strong>Keys created : </strong></p> <ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run</li><li>HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search</li><li>HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes</li><li>HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}</li></ul> <p><strong>Values created :</strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32]</li><ul><li>(Default) = "%System%\sbmdl.dll"</li><li>ThreadingModel = "Apartment"</li></ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}]</li><ul><li>xxx = "xxx"</li></ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}]</li><ul><li>MenuText = "IE Anti-Spyware"</li><li>Exec = "http://www.gateietool.com/redirect.php"</li><li>CLSID = "{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"</li></ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]</li><ul><li>(Default) = ""</li></ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]</li><ul><li>start = "nom crée aléatoirement "</li></ul><br /><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]</li><ul><li>{9034A523-D068-4BE8-A284-9DF278BE776E} = 0x00002001</li></ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}]</li><ul><li>DisplayName = "Search"</li><li>URL = "http://www.searchagate.com/index.php?b=1&t=0&q={searchTerms}"</li></ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]</li><ul><li>DefaultScope = "{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}"</li></ul></ul> <p><strong>Values created </strong></p> <ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]</li><ul><li>NextId = 0x00002002</li></ul></ul></td></tr></tbody></table><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />גם בהסרה של הווירוס דרך תוכנת האנטי ווירוס, פעילות הדפדפן לא תתוקן והגדרותיו לא ישוחזרו, לשם כך מומלץ להשתמש בהתקן המסופק<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/sbsm-Fix.rar">התקן להסרת Softhomepage.com</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-67402541736728206862008-04-16T22:28:00.000-07:002008-04-16T22:29:59.974-07:00התקן להסרת (Virtual Made (Virtual Maid.dll, http://www.searchmaid.com<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>Adware.Virtual_Maid<br /> </li><li>not-a-virus:AdWare.Win32.MaidBar.d<br /> </li><li>Adware.SearchMaid </li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\perfcii.ini</li><li>Program Files >\Virtual Maid\1.bmp</li><li>Program Files >\Virtual Maid\2.bmp</li><li>Program Files >\Virtual Maid\logo.bmp</li><li>Program Files >\Virtual Maid\uninstall.bat</li><li>Program Files >\Virtual Maid\Virtual Maid.dll</li><li>Program Files >\Virtual Maid\Virtual Maid.xml</li></ul><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><table border="0" cellpadding="0" cellspacing="0" width="100%"><tbody><tr><td height="126"><br /></td> <td class="texte" valign="top"><p><strong> Keys created </strong></p> <ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\InprocServer32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\ProgID</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Programmable</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\VersionIndependentProgID</li><li><br /></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\InprocServer32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\ProgID</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\Programmable</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\VersionIndependentProgID</li><li><br /></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\TypeLib</li><li><br /></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\TypeLib</li><li><br /></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0\win32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\FLAGS</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\HELPDIR</li><li><br /></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CLSID</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CurVer</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1\CLSID</li><li><br /></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CLSID</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CurVer</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1\CLSID</li><li><br /></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual Maid</li><li>HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt</li><li>HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&RSDN Search</li><li>HKEY_CURRENT_USER\Software\Virtual Maid</li><li>HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid</li><li>HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historyfiles</li><li>HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historys1</li></ul> <p><strong>Values created </strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\VersionIndependentProgID] <ul><li>(Default) = "VM.VMObj"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\TypeLib] <ul><li>(Default) = "{42C7653A-5834-45a1-899A-ED0DFA370D21}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\ProgID] <ul><li>(Default) = "VM.VMObj.1"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\InprocServer32] <ul><li>(Default) ="C:\PROGRAM FILES\VIRTUAL MAID\VIRTUAL MAID.DLL"</li><li>ThreadingModel = "Apartment"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}] <ul><li>(Default) = "Virtual Maid"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\VersionIndependentProgID] <ul><li>(Default) = "GoVM.ContextItem"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\TypeLib] <ul><li>(Default) = "{48DA6120-A779-4c12-8584-47B625EFB469}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\ProgID] <ul><li>(Default) = "GoVM.ContextItem.1"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\InprocServer32] <ul><li>(Default) = "C:\PROGRAM FILES\VIRTUAL MAID\VIRTUAL MAID.DLL"</li><li>ThreadingModel = "Apartment"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}] <ul><li>(Default) = "ContextItem Class"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\TypeLib] <ul><li>(Default) = "{42C7653A-5834-45A1-899A-ED0DFA370D21}"</li><li>Version = "1.0"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid32] <ul><li>(Default) = "{00020424-0000-0000-C000-000000000046}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid] <ul><li>(Default) = "{00020424-0000-0000-C000-000000000046}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}] <ul><li>(Default) = "IContextItem"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\TypeLib] <ul><li>(Default) = "{42C7653A-5834-45A1-899A-ED0DFA370D21}"</li><li>Version = "1.0"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid32] <ul><li>(Default) = "{00020424-0000-0000-C000-000000000046}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid] <ul><li>(Default) = "{00020424-0000-0000-C000-000000000046}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}] <ul><li>(Default) = "IVMObj"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0\win32] <ul><li>(Default) = "%ProgramFiles%\Virtual Maid\Virtual Maid.dll"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\HELPDIR] <ul><li>(Default) = "%ProgramFiles%\Virtual Maid\"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\FLAGS] <ul><li>(Default) = "0"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0] <ul><li>(Default) = "VM 1.0 Type Library"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CurVer] <ul><li>(Default) = "GoVM.ContextItem.1"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CLSID] <ul><li>(Default) = "{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem] <ul><li>(Default) = "ContextItem Class"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1\CLSID] <ul><li>(Default) = "{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1] <ul><li>(Default) = "ContextItem Class"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CurVer] <ul><li>(Default) = "VM.VMObj.1"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CLSID] <ul><li>(Default) = "{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj] <ul><li>(Default) = "Virtual Maid"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1\CLSID] <ul><li>(Default) = "{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1] <ul><li>(Default) = "Virtual Maid"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] <ul><li>Local Page = "http://www.searchmaid.com/"</li><li>Search Bar = "http://searchmaid.com/bar/index.html"</li><li>Use Search Asst = "http://www.searchmaid.com/search.php?qq=%s"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] <ul><li>{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} = "Virtual Maid"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion] <ul><li>guid = "AA8214E9-C7E6-4b66-A049-19AD20944CBF"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual MaidVirtual Maid] <ul><li>DisplayName = "Virtual Maid"</li><li>UninstallString = ""%ProgramFiles%\Virtual Maid\uninstall.bat" "%ProgramFiles%\Virtual Maid""</li></ul> </li><li>[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current] <ul><li>(Default) = ""</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] <ul><li>Default_Page_URL = "http://www.searchmaid.com/"</li><li>Search Bar = "http://searchmaid.com/bar/index.html"</li><li>Use Search Asst = "http://www.searchmaid.com/search.php?qq=%s"</li><li>Default_Search_URL = "http://www.searchmaid.com/search.php?qq=%s"</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl] <ul><li>(Default) = "http://www.searchmaid.com/search.php?qq=%s"</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] <ul><li>{77B2F8DE-CB3F-4B6B-839B-807DD1ADBA1C} = DE F8 B2 77 3F CB 6B 4B 83 9B 80 7D D1 AD BA 1C</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&RSDN Search] <ul><li>(Default) = "res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm"</li><li>Contexts = 0x00000030</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historyfiles] <ul><li>C:\PROGRA~1\VIRTUA~1\Virtual Maid.xml = 0x00000001</li><li>C:\PROGRA~1\VIRTUA~1\2.bmp = 0x00000001</li><li>C:\PROGRA~1\VIRTUA~1\1.bmp = 0x00000001</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid] <ul><li>gUpdate = "0"</li><li>NID = ""</li><li>toolbar_id = ""</li><li>Virtual Maid.xml = "168967278"</li><li>2.bmp = "53294105"</li><li>1.bmp = "535982682"</li><li>showcorrupted = "1"</li><li>updateVer = ""</li><li>scope = "-1"</li><li>OpenNew = "0"</li><li>AutoComplete = "1"</li><li>KeepHistory = "1"</li><li>RunSearchAutomatically = "1"</li><li>RunSearchDragAutomatically = "1"</li><li>DescriptiveText = "1"</li><li>ShowHighlightButton = "1"</li><li>MicrosoftWeb = "1"</li><li>GoogleWeb = "1"</li><li>ShowFindButtons = "1"</li><li>(Default) = "1"</li><li>UpdateBegin = "0"</li><li>LastCheckTime = 0x469C649B</li></ul> </li></ul> <p><strong>Values deleted </strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] <ul><li>Local Page = "%SystemRoot%\system32\blank.htm"</li></ul> </li><li>[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current] <ul><li>(Default) = "%SystemRoot%\media\Windows XP Menu Démarrer.wav"</li></ul> </li></ul> <p><strong>Values changed </strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] <ul><li>Default_Page_URL = "http://www.searchmaid.com/"</li><li>Default_Search_URL = "http://www.searchmaid.com/search.php?qq=%s"</li><li>Search Page = "http://www.searchmaid.com/search.php?qq=%s"</li><li>Start Page = "http://www.searchmaid.com/"</li></ul> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] <ul><li>SearchAssistant = "http://www.searchmaid.com/search.php?qq=%s"</li><li>CustomizeSearch = "http://www.searchmaid.com/search.php?qq=%s"</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] <ul><li>Local Page = "http://www.searchmaid.com/"</li><li>Start Page = "http://www.searchmaid.com/"</li><li>Search Page = "http://www.searchmaid.com/search.php?qq=%s"</li></ul> </li><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] <ul><li>{0E5CBF21-D15F-11D0-8301-00AA005B4383} = 21 BF 5C 0E 5F D1 D0 11 83 01 00 AA 00 5B 43 83 22 00 1C 00 08 00 00 00 06 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46 81 00 00 00 10 00 00 00 CE 10 18 3F 01 CE C6 01 58 61 AE 8</li><li>ITBarLayout = 11 00 00 00 36 00 00 00 00 00 00 00 34 00 00 00 1F 00 01 00 56 00 00 00 01 00 00 00 20 07 00 00 A0 0F 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 A0 0F 00 00 04 00 00 00 21 01 00 00 A0 0F 00 00 03 00 00 00 20 03 00 00 00 00 00 0</li></ul> </li></ul></td></tr></tbody></table><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Virtual-Made-Fix.rar">התקן להסרת Virtual Made</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-79272708440160967792008-04-16T22:25:00.000-07:002008-04-16T22:28:07.913-07:00התקן להסרת (VirusHeat (VirusHeat 4.3.exe, VirusHeat.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>x</li></ul><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל המערכת:<br /><startup><br /></startup><ul class="list"><li>Desktop>\VirusHeat 4.3.lnk<br /> </li><li>Programs>\VirusHeat 4.3\Uninstall VirusHeat 4.3.lnk<br /> </li><li>Programs>\VirusHeat 4.3\VirusHeat 4.3 Website.lnk<br /> </li><li>Programs>\VirusHeat 4.3\VirusHeat 4.3.lnk<br /> </li><li>StartMenu>\VirusHeat 4.3.lnk<br /> </li><li>ProgramFiles>\VirusHeat 4.3\blacklist.txt<br /> </li><li>ProgramFiles>\VirusHeat 4.3\Lang\English.ini<br /> </li><li>ProgramFiles>\VirusHeat 4.3\msvcp71.dll<br /> </li><li>ProgramFiles>\VirusHeat 4.3\msvcr71.dll<br /> </li><li>ProgramFiles>\VirusHeat 4.3\uninst.exe<br /> </li><li>ProgramFiles>\VirusHeat 4.3\vht.dat<br /> </li><li>ProgramFiles>\VirusHeat 4.3\VirusHeat 4.3.exe<br /> </li><li>ProgramFiles>\VirusHeat 4.3\VirusHeat 4.3.url</li></ul><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Licenses</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\VirusHeat 4.3</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\TypeLi</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\TypeLi</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\TypeLi</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\TypeLi</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\TypeLi</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\TypeLib</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0\win32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\FLAGS</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\HELPDIR</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusHeat 4.3</li></ul> <p><strong>Values created:</strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32]<br /> (Default) = <system>\wbem\wbemcons.dll<br /> ThreadingModel = Both</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}]<br /> (Default) = Microsoft WBEM Log File Event Consumer Provider</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}]<br /> (Default) = ILog</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}]<br /> (Default) = IThreatEvents</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}]<br /> (Default) = IQuarantineEvents</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}]<br /> (Default) = IBackup</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}]<br /> (Default) = ISearchItem</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}]<br /> (Default) = IThreat</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}]<br /> (Default) = IScannerEvents</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}]<br /> (Default) = ILogRecord</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}]<br /> (Default) = IIgnoreList</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}]<br /> (Default) = IQuarantine</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}]<br /> (Default) = IThreatCollectionEvents</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}]<br /> (Default) = ILogEvents</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}]<br /> (Default) = IThreatCollection</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}]<br /> (Default) = IEngineListener</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}]<br /> (Default) = IRunAs</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\TypeLib]<br /> (Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}<br /> Version = 1.0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid32]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid]<br /> (Default) = {00020424-0000-0000-C000-000000000046}</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}]<br /> (Default) = IPaths</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0\win32]<br /> (Default) = <programfiles>\VirusHeat 4.3\VirusHeat 4.3.exe</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\HELPDIR]<br /> (Default) = <programfiles>\VirusHeat 4.3\</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\FLAGS]<br /> (Default) = 0</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0]<br /> (Default) = AVG 1.0 Type Library</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br /> VirusHeat 4.3 = <programfiles>\VirusHeat 4.3\VirusHeat 4.3.exe /h</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusHeat 4.3]<br /> DisplayName = VirusHeat 4.3<br /> UninstallString = <programfiles>\VirusHeat 4.3\uninst.exe<br /> DisplayIcon = <programfiles>\VirusHeat 4.3\VirusHeat 4.3.exe<br /> DisplayVersion = 4.3<br /> NSIS:StartMenuDir = VirusHeat 4.3<br /> URLInfoAbout = http://www.virusheat.com<br /> Publisher = virusheat.com</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Licenses]<br /> {R7C0DB872A3F777C0} = 4A 8D 7D 4C<br />{K7C0DB872A3F777C0} = B9 CE 35 F0 DD 0C 1F FF FF FF FF 9D C6 25 CF 03 07 99 01 65 14 0F C8 1F F3 29 FB 4A 8D 7D 4C FF FF FF FF 87 30 0C C3 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF F FF FF FF F</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\VirusHeat 4.3]<br /> refid = 1012<br /> FirstStart = 1</li></ul><windows><system><windows><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/VirusHeat-Fix.rar">התקן להסרת VirusHeat</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-65599754865552358382008-04-16T22:22:00.000-07:002008-04-16T22:25:41.922-07:00התקן להסרת (MonaRonaDona (srvspool.exe, registrycleaner2008.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />יוצר את התהליכים:<br /><ul><li>srvspool.exe</li><li>registrycleaner2008.exe</li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>Programs>\RegistryCleanFix2008\RegistryCleanFix2008</li><li>Programs>\RegistryCleanFix2008\RegistryCleanFix2008.lnk</li><li>ProgramFiles>\RegistryCleanFix2008\unins000.exe</li><li>ProgramFiles>\RegistryCleanFix2008\unins000.dat</li><li>Programfiles>\RegistryCleanFix2008\RegistryCleaner2008.exe</li><li>Programs>\RegistryCleanFix2008\Uninstall RegistryCleanFix2008.lnk</li><li>Programs>\Startup\SRVSPOOL.exe</li></ul><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegistryCleanFix2008_is1</li><li>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System</li><li>HKEY_CURRENT_USER\Software\FCR2008MFC</li></ul> <p><strong>Values created:</strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegistryCleanFix2008_is1]<br /> Inno Setup: Setup Version = "5.2.2"<br /> Inno Setup: App Path = "%ProgramFiles%\RegistryCleanFix2008"<br /> InstallLocation = "%ProgramFiles%\RegistryCleanFix2008\"<br /> Inno Setup: Icon Group = "RegistryCleanFix2008"<br /> Inno Setup: User = "%UserName%"<br /> Inno Setup: Selected Tasks = ""<br /> Inno Setup: Deselected Tasks = "desktopicon,quicklaunchicon"<br /> DisplayName = "RegistryCleanFix2008"<br /> UninstallString = ""%ProgramFiles%\RegistryCleanFix2008\unins000.exe""<br /> QuietUninstallString = ""%ProgramFiles%\RegistryCleanFix2008\unins000.exe" /SILENT"<br /> Publisher = "RegistryCleanFix2008"<br /> URLInfoAbout = "http://www.RegistryCleanFix.com/"<br /> HelpLink = "http://www.RegistryCleanFix.com/"<br /> URLUpdateInfo = "http://www.RegistryCleanFix.com/"<br /> NoModify = 0x00000001<br /> NoRepair = 0x00000001<br /> InstallDate = "20080107"</li></ul> <ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]<br /> Window Title = "MonaRonaDona"<br /> </li><li>[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]<br /> SD = "422:/3/9/37/37"</li></ul> <ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]<br /> DisableTaskMgr = "1"</li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/MonaRonaDona-Fix.rar">התקן להסרת MonaRonaDona</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-19890596481725654792008-04-16T22:20:00.000-07:002008-04-16T22:22:15.861-07:00התקן להסרת (Noooh (Sys.exe, ComSys.dll<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>Trojan.VB.DRRX<br /></li><li>Trojan.BAT.Killfiles.OZ<br /> </li><li>Virus.Win32.AutoRun.cb<br /> </li><li>W32.SillyFDC<br /> </li><li>W32/Hooon.worm<br /> </li><li>TROJ_AGENT.SCD<br /></li></ul><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל המערכת:<br /><startup><br /></startup><ul class="list"><li>Windows>\Web\Sys.exe</li><li>System>\ComSys.dll</li><li>System>\KillAll.bat</li><li>All Root Partition>:\autorun.inf</li><li>All Root Partition>:\Sys.exe</li></ul><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore</li><li>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System</li><li>HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows</li><li>HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System</li></ul> <p><strong>Values created: </strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br /> NoooH = <windows>\Web\Sys.exe<br /> Ce qui entraine le lancement de ce programme à chaque démarrage de Windows<br /> </li></ul> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]<br /> DisableSR = 0x00000001<br /> Désactive la restauration système </li></ul> <br /> <ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]<br /> DisableTaskMgr = 0x00000001<br /> DisableRegistryTools = 0x00000002<br /> Désactive le gestionnaire des tâches et les outils d'édition de la base de registre </li></ul> <br /> <ul><li>[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]<br /> DisableCMD = 0x00000001<br /> Désactive cmd.exe </li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Noooh-Fix.rar">התקן להסרת Noooh.exe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-85197786471900026532008-04-16T22:16:00.000-07:002008-04-16T22:20:01.978-07:00התקן להסרת (NetSky (FVProtect.exe,FirewallSvr.exe,netstats.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>Email-Worm.Win32.NetSky.q</li><li>Email-Worm.Win32.NetSky.z<br /> </li><li>Email-Worm.Win32.NetSky.q</li><li>Email-Worm.Win32.NetSky.r<br /></li><li>...<br /> </li><li>Backdoor.Win32.IRCBot.alo<br /> </li><li>Worm.Feebs!sd5<br /> </li><li>Email-Worm.NetSky<br /> </li><li>Email-Worm.NetSky!sd5<br /> </li><li>I-Worm.Netsky.Q2<br /> </li><li>W32.Netsky.gen@mm<br /> </li><li>W32.Netsky.dam<br /> </li><li>W32.Netsky.P@mm<br /> </li><li>W32.Netsky.Y@mm<br /></li><li>...<br /> </li><li>W32/Feebs.gen<br /> </li><li>W32/Opanki.worm.gen<br /> </li><li>W32/Netsky.gen@MM<br /> </li><li>W32/Netsky.y@MM<br /> </li><li>W32/Netsky.p@MM</li><li>...<br /> </li><li>WORM_FEEBS.KV<br /> </li><li>WORM_NETsky.dam<br /> </li><li>WORM_NETSKY.P<br /> </li><li>WORM_NETSKY.BN</li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>nmvcs.exe<br /> </li><li>LegitCheckControl.dll<br /> </li><li>WgaLogon.dll<br /> </li><li>WgaTray.exe<br /> </li><li>ddcbxxv.dll<br /> </li><li>WGA.exe<br /> </li><li>winini.exe<br /> </li><li>opnnljj.dll<br /> </li><li>msij32.dll<br /> </li><li>msoo.exe<br /> </li><li>remote.exe<br /> </li><li>vcmgcd32.dll<br /> </li><li>defender.exe<br /> </li><li>vcmgcd32.dl_<br /> </li><li>msed32.dll<br /> </li><li>mslz.exe<br /> </li><li>msoi.exe<br /> </li><li>mspi32.dll<br /> </li><li>keymaker.exe<br /> </li><li>winini.exe</li></ul><strong>הווירוס יחדיר את הקבצים הבאים אל תיקיית חלונות:</strong><strong> </strong> <ul type="disc"><li>FVProtect.exe</li><li>base64.tmp<br /> </li><li>userconfig9x.dll<br /> </li><li>zip1.tmp<br /> </li><li>zip2.tmp<br /> </li><li>winsystem.exe<br /> </li><li>FirewallSvr.exe<br /> </li><li>zip3.tmp<br /> </li><li>fuck_you_bagle.txt<br /> </li><li>uinmzertinmds.opm<br /> </li><li>winini.exe<br /> </li><li>winlogon.scr<br /> </li><li>zipped.tmp<br /> </li><li>EasyAV.exe <br /> </li><li>netstats.exe<br /> </li><li>system.dll.exe<br /> </li><li>Jammer2nd.exe<br /> </li><li>attachment.zip<br /> </li><li>services.exe<br /> </li><li>winlogs.exe</li></ul> <p><strong><span style="font-weight: normal;">הווירוס יחדיראת הקבצים הבאים אל תיקיית ה-Temp:</span><br /> </strong></p> <ul type="disc"><li>UYF4E7\installer.bat<br /> </li><li>UYF4E7\LegitCheckControl.dll<br /> </li><li>UYF4E7\WgaLogon.dll<br /> </li><li>UYF4E7\WgaTray.exe<br /> </li><li>IXP000.TMP\keymaker.exe<br /> </li><li>Data.txt .exe<br /> </li><li>7C56B4F2.EXE</li><li>*.zip</li><li>*.tmp</li></ul><startup><br />שמות של תהליכי מערכת של הווירוס כוללים:<br /><br /></startup><ul><li>FVProtect.exe<br /> </li><li>netstats.exe<br /> </li><li>system.dll.exe<br /> </li><li>defender.exe<br /> </li><li>winini.exe<br /> </li><li>FirewallSvr.exe<br /> </li><li>msoi.exe<br /> </li><li>keymaker.exe<br /> </li><li>is151287.exe<br /> </li><li>7C56B4F2.EXE<br /> </li><li>qpfu.exe<br /> </li><li>winlogon.scr<br /> </li><li>trvp.exe<br /> </li><li>WGA.exe<br /> </li><li>msoo.exe<br /> </li><li>remote.exe<br /> </li><li>nmvcs.exe<br /> </li><li>winsystem.exe<br /> </li><li>1001 Sex and more.rtf.exe<br /> </li><li>3D Studio Max 6 3dsmax.exe<br /> </li><li>ACDSee 10.exe<br /> </li><li>Adobe Photoshop 10 crack.exe<br /> </li><li>Adobe Photoshop 10 full.exe<br /> </li><li>Adobe Premiere 10.exe<br /> </li><li>Ahead Nero 8.exe<br /> </li><li>Altkins Diet.doc.exe </li><li>American Idol.doc.exe<br /> </li><li>Arnold Schwarzenegger.jpg.exe<br /> </li><li>Best Matrix Screensaver new.scr<br /> </li><li>Britney sex xxx.jpg.exe<br /> </li><li>Britney Spears and Eminem porn.jpg.exe<br /> </li><li>Britney Spears blowjob.jpg.exe<br /> </li><li>Britney Spears cumshot.jpg.exe<br /> </li><li>Britney Spears fuck.jpg.exe<br /> </li><li>Britney Spears full album.mp3.exe<br /> </li><li>Britney Spears porn.jpg.exe<br /> </li><li>Britney Spears Sexy archive.doc.exe<br /> </li><li>Britney Spears Song text archive.doc.exe<br /> </li><li>Britney Spears.jpg.exe<br /> </li><li>Britney Spears.mp3.exe<br /> </li><li>Clone DVD 6.exe<br /> </li><li>Cloning.doc.exe<br /> </li><li>Cracks & Warez Archiv.exe<br /> </li><li>Dark Angels new.pif<br /> </li><li>Dictionary English 2004 - France.doc.exe<br /> </li><li>DivX 8.0 final.exe<br /> </li><li>Doom 3 release 2.exe<br /> </li><li>E-Book Archive2.rtf.exe<br /> </li><li>Eminem blowjob.jpg.exe<br /> </li><li>Eminem full album.mp3.exe<br /> </li><li>Eminem Poster.jpg.exe<br /> </li><li>Eminem sex xxx.jpg.exe<br /> </li><li>Eminem Sexy archive.doc.exe<br /> </li><li>Eminem Song text archive.doc.exe<br /> </li><li>Eminem Spears porn.jpg.exe<br /> </li><li>Eminem.mp3.exe<br /> </li><li>Full album all.mp3.pif<br /> </li><li>Gimp 1.8 Full with Key.exe<br /> </li><li>Harry Potter 1-6 book.txt.exe<br /> </li><li>Harry Potter 5.mpg.exe<br /> </li><li>Harry Potter all e.book.doc.exe<br /> </li><li>Harry Potter e book.doc.exe<br /> </li><li>Harry Potter game.exe<br /> </li><li>Harry Potter.doc.exe<br /> </li><li>How to hack new.doc.exe<br /> </li><li>Internet Explorer 9 setup.exe<br /> </li><li>Kazaa Lite 4.0 new.exe<br /> </li><li>Kazaa new.exe<br /> </li><li>Keygen 4 all new.exe<br /> </li><li>Learn Programming 2004.doc.exe<br /> </li><li>Lightwave 9 Update.exe<br /> </li><li>Magix Video Deluxe 5 beta.exe<br /> </li><li>Matrix.mpg.exe<br /> </li><li>Microsoft Office 2003 Crack best.exe<br /> </li><li>Microsoft WinXP Crack full.exe<br /> </li><li>MS Service Pack 6.exe<br /> </li><li>netsky source code.scr<br /> </li><li>Norton Antivirus 2005 beta.exe<br /> </li><li>Opera 11.exe<br /> </li><li>Partitionsmagic 10 beta.exe<br /> </li><li>Porno Screensaver britney.scr<br /> </li><li>RFC compilation.doc.exe<br /> </li><li>Ringtones.doc.exe<br /> </li><li>Ringtones.mp3.exe<br /> </li><li>Saddam Hussein.jpg.exe<br /> </li><li>Screensaver2.scr<br /> </li><li>Serials edition.txt.exe<br /> </li><li>Smashing the stack full.rtf.exe<br /> </li><li>Star Office 9.exe<br /> </li><li>Teen Porn 15.jpg.pif<br /> </li><li>The Sims 4 beta.exe<br /> </li><li>Ulead Keygen 2004.exe<br /> </li><li>Visual Studio Net Crack all.exe<br /> </li><li>Win Longhorn re.exe<br /> </li><li>WinAmp 13 full.exe<br /> </li><li>Windows 2000 Sourcecode.doc.exe<br /> </li><li>Windows 2003 crack.exe<br /> </li><li>Windows XP crack.exe<br /> </li><li>WinXP eBook newest.doc.exe<br /> </li><li>XXX hardcore pics.jpg.exe </li></ul><br /><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><p><strong>Key deleted </strong></p> <ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32<br /> (Default) = <system>\webcheck.dll<br /> ThreadingModel = Apartment</li></ul> <p><strong>Key created </strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br /> Norton Antivirus AV = <windows>FVProtect.exe</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br /> MSN = system.dll.exe</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br /> Windows Zero Spooler = "nmvcs.exe"</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}\InprocServer32</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcbxxv</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861</li></ul> <p><strong>Value created </strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}\InprocServer32]<br /> (Default) = "%System%\ddcbxxv.dll"<br /> ThreadingModel = "Both"</li></ul> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]<br /> Time = F0 F8 36 23 83 51 C8 01 00 00 00 00</li></ul> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]<br /> {446624E1-B767-4443-AA6E-0F355CAFD21B} = ""</li></ul> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcbxxv]<br /> Asynchronous = 0x00000001<br /> DllName ="ddcbxxv.dll<br /> Impersonate = 0x00000000<br /> Logon = o<br /> Logoff = f</li></ul> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]<br /> (Default) = "A91FE206B0B441D793ADE1C11C88B399&"</li></ul> <ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Installer]<br /> (Default) = 94 6E 12 24 83 51 C8 01</li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Netsky-Fix.rar">התקן להסרת Netsky</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-80918169851328632812008-04-16T22:13:00.000-07:002008-04-16T22:16:20.831-07:00התקן להסרת (Tavo.exe (tavo0.dll, tavo1.dll<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>rojan.Lineage.Gen!Pac.3<br /></li><li>32/Autorun.worm.bx.gen<br /> </li><li>Infostealer.Gampass<br /> </li><li>TSPY_ONLINEG.URC<br /> </li><li>TSPY_LEGMIR.AG<br /> </li><li>TSPY_ONLINEG.MI<br /> </li><li>TSPY_ENCPK.AE<br /> </li><li>TSPY_LEGMIR.VU<br /> </li><li>W32/Autorun.worm.bx.gen<br /> </li><li>PWS-LegMir.gen.k<br /> </li><li>PWS-OnlineGames.a<br /> </li><li>PWS-LegMir<br /> </li><li>PWS-Mmorpg.gen<br /></li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\tavo.exe </li><li>System>\tavo0.dll</li><li>System>\tavo1.dll</li></ul><strong>הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.</strong><strong> </strong> <ul type="disc"><li> g4.dll</li><li>avxah8.dll</li><li>y.dll</li><li>ig4au94g.dll</li><li>iilov9vn.dll</li><li>fk.dll<br /> </li><li>tu58fg.dll<br /> </li><li>xioao.dll </li><li>fobq9vzc.dll<br /> </li><li>2cxs.sys<br /> </li><li>uslvgy2i.dll</li></ul> <p><strong><span style="font-weight: normal;">הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת</span><br /> </strong></p> <ul type="disc"><li>Autorun.inf </li><li> o.exe</li><li>nxvhpc.exe</li><li>ff1q0gw.bat</li><li>i8.com</li><li>ntdeiect</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Run<br /> tava = <system>\tavo.exe<br /> In this way, kavo.exe file is launched each time the system is booted</li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]<br /> CheckedValue = 0x00000000</li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Tavo-Fix.rar">התקן להסרת Tavo.exe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-64802693539734749082008-04-16T22:09:00.000-07:002008-04-16T22:13:54.168-07:00התקן להסרת (Patty.exe (S0UNDMANS.EXE,1sasrv.dll,adsldps.dll,twain.dll,realsched.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />זהו טרויאני הממתיןם להוראות מהשרת שלו לאחר ההתקנה במערכת.<br />הווירוס מסוגל לגנוב סיסמאות ופרטי כרטיס אשראי מהמערכת הנגועה.<br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\S0UNDMANS.EXE</li><li>System>1sasrv.dll</li><li>System>\adsldps.dll</li><li>System>\twain.dll </li><li>System>\realsched.exe </li></ul><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr /><windows><system><windows><br /></windows></system></windows><ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pat</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell\open</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell\open\command</li><li>Les clés suivantes sont crées dans<br /> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options</li><li>360rpt.exe<br />360Safe.exe<br />360tray.exe<br />adam.exe<br />AgentSvr.exe<br />AppSvc32.exe<br />ArSwp.exe<br />ashAvast.exe<br />ashDisp.exe<br />ashMaiSv.exe<br />ashServ.exe<br />ashWebSv.exe<br />aswUpdSv.exe<br />autoruns.exe<br />avcenter.exe<br />avgamsvr.exe<br />avgas.exe<br />avgcc.exe<br />avgemc.exe<br />avgnt.exe<br />avguard.exe<br />avgupsvc.exe<br />avgw.exe<br />AvMonitor.exe<br />bdmcon.exe<br />bdnagent.exe<br />bdoesrv.exe<br />bdss.exe<br />bdswitch.exe<br />ccApp.exe<br />ccEvtMgr.exe<br />ccSetMgr.exe<br />ccSvcHst.exe<br />cureit.exe<br />DefWatch.exe<br />ewido.exe<br />fch32.exe<br />FileDsty.exe<br />fsbwsys.exe<br />FSGK32.EXE<br />fsgk32st.exe<br />FSM32.EXE<br />FTCleanerShell.exe<br />guard.exe<br />HijackThis.exe<br />IceSword.exe<br />iparmo.exe<br />isPwdSvc.exe<br />KaScrScn.SCR<br />KASMain.exe<br />KASTask.exe<br />KAV32.exe<br />KAVDX.exe<br />KAVPFW.exe<br />KAVSetup.exe<br />KAVStart.exe<br />KAVsvc.exe<br />KAVsvcUI.exe<br />KISLnchr.exe<br />KMailMon.exe<br />KMFilter.exe<br />KPFW32.exe<br />KPFW32X.exe<br />KPFWSvc.exe<br />KRegEx.exe<br />KRepair.COM<br />KsLoader.exe<br />KVCenter.kxp<br />KvDetect.exe<br />KvfwMcl.exe<br />KVMonXP.kxp<br />KVMonXP_1.kxp<br />kvol.exe<br />kvolself.exe<br />KvReport.kxp<br />KVScan.kxp<br />KVSrvXP.exe<br />KVStub.kxp<br />kvupload.exe<br />kvwsc.exe<br />KvXP.kxp<br />KvXP_1.kxp<br />KWatch.exe<br />KWatch9x.exe<br />KWatchX.exe<br />loaddll.exe<br />mcconsol.exe<br />Mcshield.exe<br />mmqczj.exe<br />mmsk.exe<br />MPStart.exe<br />NAVSetup.exe<br />nod32.exe<br />nod32krn.exe<br /></li></ul><ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]</li><li> CheckedValue = 0x00000000</li></ul><windows><system><windows><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס עלול לגנוב פרטי גישה וסיסמאות כמו גם פרטי כרטיס אשראי מהמערכת.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Patty-Fix.rar">התקן להסרת Patty.exe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-49989858879071823872008-04-16T22:07:00.000-07:002008-04-16T22:09:38.482-07:00התקן להסרת (Kxvo.exe (Kxvo.exe,fool0.dll,fool1.dll,ieso0.dll<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>Downloader<br /></li><li>nfostealer.Gampass<br /> </li><li>Trojan.Lineage.Gen!Pac.3<br /> </li><li>Trojan.Onlinegames.Gen!Pac.73<br /> </li><li>PWS-OnlineGames.ah<br /> </li><li>New Malware.hw<br /> </li><li>PWS-OnlineGames.a<br /> </li><li>PWS-Mmorpg.gen<br /> </li><li>WORM_ONLINEG.OXB<br /> </li><li>TSPY_ONLINEG.BVZ<br /> </li><li>TSPY_ONLINEGA.YS<br /></li><li>WORM_LEGMIR.DQ<br /> </li><li>WORM_AUTORUN.ACG<br /> </li><li>Cryp_Yayay<br /> </li><li>TSPY_ONLINEG.WX</li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\fool0.dll</li><li>System>\fool1.dll</li><li>System>\ieso0.dll</li><li>System>\kxvo.exe</li></ul><strong>הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.</strong><strong> </strong> <ul type="disc"><li>57heb9v5.dll<br /> </li><li>58b95y4o.dll<br /> </li><li>63j8zs.sys<br /> </li><li>757yropw.dll<br /> </li><li>7uw44.dll<br /> </li><li>8lm5ns.dll<br /> </li><li>9e7ktl.dll<br /> </li><li>an.dll </li><li>cd.dll<br /> </li><li>dwyq.dll<br /> </li><li>e.dll<br /> </li><li>ee.dll<br /> </li><li>kdk.dll<br /> </li><li>lh4yhy4.dll<br /> </li><li>nn.dll<br /> </li><li>omq.dll<br /> </li><li>p8rjys.dll<br /> </li><li>q8xvk.dll<br /> </li><li>t.dll<br /> </li><li>vak94lt9.dll<br /> </li><li>vd.dll<br /> </li><li>wjlg44s8.dll<br /> </li><li>wmyz.dll<br /> </li><li>ybndb.dll<br /> </li><li>z7.dll</li></ul> <p><strong><span style="font-weight: normal;">הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת</span><br /> </strong></p> <ul type="disc"><li>Autorun.inf </li><li>3g.com<br /> </li><li>6krxwx.cmd<br /> </li><li>800dost.com<br /> </li><li>b.bat<br /> </li><li>es.exe<br /> </li><li>fg8m.exe<br /> </li><li>g2lbn.cmd<br /> </li><li>hbq.exe<br /> </li><li>kso6.bat<br /> </li><li>l2quk.exe<br /> </li><li>lg.com<br /> </li><li>lpufwi6.com<br /> </li><li>lqxo8w.cmd<br /> </li><li>nej30aw.exe<br /> </li><li>ojbss9gv.com<br /> </li><li>uulaqvl.cmd<br /> </li><li>vuts0e.cmd<br /> </li><li>vuts0e.cmd<br /> </li><li>w00g.exe</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Run<br /> kxva = <system>\kavo.exe<br /> De cette manière, le fichier kavo.exe est lancé à chaque démarrage du système<br /> </li></ul> <ul><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\InprocServer32<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\Programmable<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}</li></ul> <p><strong>And the values</strong> </p> <ul><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID]<br /> (Default) = "IEHlprObj.IEHlprObj"<br /> </li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID]<br /> (Default) = "IEHlprObj.IEHlprObj.1"<br /> </li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\InprocServer32]<br /> (Default) = "%System%\ieso0.dll"<br /> ThreadingModel = "Apartment"<br /> </li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]<br /> (Default) = "IEHlprObj Class"<br /> </li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer]<br /> (Default) = "IEHlprObj.IEHlprObj.1"<br /> </li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]<br /> (Default) = "IEHlprObj Class"<br /> </li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID]<br /> (Default) = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"<br /> </li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]<br /> (Default) = "IEHlprObj Class" </li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Kxvo-Fix.rar">התקן להסרת Kxvo.exe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-22945860691903550902008-04-16T11:26:00.000-07:002008-04-16T11:30:00.573-07:00התקן להסרת Kavo.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>Cryp_Yayay<br /> </li><li>Generic.dx<br /> </li><li>Infostealer.Gampass<br /> </li><li>New Malware.hw<br /> </li><li>PWS-Gamania<br /> </li><li>PWS-LegMir.gen.k<br /> </li><li>PWS-Mmorpg.gen<br /> </li><li>PWS-OnlineGames.a<br /> </li><li>TROJ_LINEAGE.KB<br /> </li><li>TROJ_NSANTI.MY<br /> </li><li>TROJ_POLYCRYP.AJ<br /> </li><li>Trojan Horse<br /> </li><li>Trojan.Lineage.Gen!Pac.3<br /> </li><li>Trojan.PWS.OnLineGames.BDG<br /> </li><li>Trojan-PSW.Win32.OnLineGames.aes<br /> </li><li>TSPY_ONLINEG.HOQ<br /> </li><li>TSPY_ONLINEG.HOW<br /> </li><li>TSPY_ONLINEG.HQO<br /> </li><li>TSPY_ONLINEG.OXO<br /> </li><li>TSPY_ONLINEG.SMB<br /> </li><li>TSPY_ONLINEG.ULD<br /> </li><li>TSPY_ONLINEG.UNT<br /> </li><li>TSPY_ONLINEGA.DF<br /> </li><li>TSPY_ONLINEGA.DZ<br /> </li><li>WORM_AUTORUN.ANE<br /> </li><li>WORM_ONLINEG.BKE<br /> </li><li>WORM_ONLINEG.CX<br /> </li><li>WORM_ONLINEG.GK<br /></li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\kavo.exe </li><li>System>\kavo0.dll</li><li>System>\kavo1.dll</li></ul><strong>הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.</strong><strong> </strong> <ul type="disc"><li> g4.dll</li><li>avxah8.dll</li><li>y.dll</li><li>ig4au94g.dll</li><li>iilov9vn.dll</li><li>ad.dll</li><li>7z.dll</li><li>or.dll</li><li> kykvfp.dll</li><li>88b4ibhq.dll</li><li>ee2m.dll</li><li>ecoimwht.dll</li><li>o8n4e8g9.dll</li><li>48d.dll</li><li>ufe7kt.dll</li><li>xx.dll</li></ul> <p><strong><span style="font-weight: normal;">הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת</span><br /> </strong></p> <ul type="disc"><li>Autorun.inf </li><li> o.exe</li><li>nxvhpc.exe</li><li>ff1q0gw.bat</li><li>i8.com</li><li>e6ieg.exe</li><li>6qe.com</li><li>cfv90h.com</li><li>ab.cmd</li><li>k2.cmd </li><li>h2.com </li><li>u.exe</li><li> fufb6tq3.cmd</li><li>ekf6dbg0.com</li><li>h2.com</li><li>rtnlpipu.com</li><li>1i.com</li><li>c18vk.exe</li><li>ntphyy.com</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKCU\Software\Microsoft\Windows\CurrentVersion\Run<br /> kava = <system>\kavo.exe<br /> De cette manière, le fichier kavo.exe est lancé à chaque démarrage du système </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]<br /> CheckedValue = 0x00000000</li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Kavo-Variants-Fix.rar">התקן להסרת Kavo.exe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-50387200367426990892008-04-16T11:22:00.000-07:002008-04-16T11:25:58.484-07:00התקן להסרת (VirtuMonde (VirtuMondo, Vundo, TROJ_VUNDO, TROJ_MEREDROP,DL.Small.ADIB<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><br /><ul><li>Vundo<br /></li><li>Generic Downloader.s<br /></li><li>Trojan.Vundo</li><li>Downloader<br /></li><li>TROJ_DROPPER.KOZ<br /></li><li>TROJ_MEREDROP.DY</li><li>TROJ_VUNDO</li><li>TROJ_DLOADER.LIJ<br /></li><li>Trojan.DL.Small.ADIB<br /></li></ul><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\awturom.dll<br /> </li><li>System>\cbxyxxu.dll<br /> </li><li>System>\ljJDSIaY.dll<br /> </li><li>System>\serial.exe<br /> </li><li>System>\ljJDSIaY.dll<br /> </li><li>System>\hgggdda.dll<br /> </li><li>System>\cbxwvsq.dll<br /> </li><li>System>\mljhebb.dll </li><li>System>\readme.bat<br /> </li><li>System>\serial.exe<br /> </li><li>System>\jkkljjj.dll <br /> </li><li>System>\install.exe<br /> </li><li>System>\opnnopn.dll<br /> </li><li>System>\RUNME.bat<br /> </li><li>System>\winwim32.dll <br /> </li><li>System>\efcabaa.dll<br /> </li><li>System>\cbxwvsq.dll<br /> </li><li>System>\yayvsqn.dll<br /> </li><li>System>\fccyaya.dll<br /> </li><li>System>\2231.bat<br /> </li><li>System>\awtrRLBt.dll<br /> </li><li>System>\ljJYOhGv.dll<br /> </li><li>System>\MSINET.oca<br /> </li><li>System>\readme.bat</li><li>System>\crack.exe<br /> </li><li>System>\serial.exe<br /> </li><li>System>\keygen.exe<br /> </li><li>System>\jkkljjj.dll<br /> </li><li>System>\patch.exe<br /> </li><li>System>\install.exe</li><li>System>\vturr.dll</li><li>System>\yayyaaw.dll</li><li>System>\pmtqkmd.dll</li><li>System>\hgggdda.dll</li><li>System>\nnnljih.dll</li><li>System>\nnnllih.dll</li><li>System>\iifefec.dll</li><li>System>\jkklj.dll</li><li>System>\pmnmjhe.dll</li><li>Temp>*.bat</li></ul><strong></strong><p><strong><span style="font-weight: normal;">הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת</span><br /> </strong></p> <ul type="disc"><li>autorun.inf</li><li>svchost.exe</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}<br /> </li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}\InprocServer32<br /> </li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings<br /> </li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ficher (où fichier est le nom du fichier dll sans l'extension)<br /> </li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861 </li></ul> <p><strong>Creates values: </strong></p> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}\InprocServer32]<br /> (Default) = "%System%\awturom.dll"<br /> ThreadingModel = "Both"<br /> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]<br /> Time = 90 97 C9 1F 83 51 C8 01 00 00 00 00<br /> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]<br /> {0B52C7EC-D1A3-4054-923C-DD12567F28B1} = ""<br /> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awturom]<br /> Asynchronous = 0x00000001<br /> DllName = "fichier.dll"<br />Où fichier.dll est l'un des fichiers cités plus haut, de cette manière, fichier.dll est associé à Winlogon et démarre avec Windows.<br /> Impersonate = 0x00000000<br /> Logon = "o"<br /> Logoff = "f"</li></ul> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]<br /> (Default) = "A1D522CFF6884ACC9AB61DE9E145D52B&"<br /> [HKEY_CURRENT_USER\Software\Microsoft\Installer]<br /> (Default) = 38 4E 24 20 83 51 C8 01</li></ul> <ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR]<br /> cmd = ""<br /> version = "66"<br /> nextupdate = 0x4782B328<br /> </li><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br /> runner1 = "%Windir%\fichier.exe "</li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Virtumonde_fix.rar">התקן להסרת VirtuMonde</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-89331789435686671082008-04-16T11:18:00.000-07:002008-04-16T11:21:33.517-07:00התקן להסרת (Sohanad fix (SCVVHSOT.exe, svchost.exe, W32.Imaut.A, TROJ_AUTORUN.AH, Worm.Sohanad<div dir="rtl" style="text-align: right;"><br /></div><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><ul><li>Worm.Sohanad.U<br /></li><li>WORM_SOHANAD.DS<br /></li><li>W32.Imaut.A<br /></li><li>W32/YahLover.worm<br /></li><li> IM-Worm.Win32.Sohanad.as<br /></li><li>TROJ_AUTORUN.AHP</li></ul><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\SCVVHSOT.exe</li><li>Windows>\SCVVHSOT.exe</li><li>System>\autorun.ini</li></ul><strong></strong><p><strong><span style="font-weight: normal;">הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת</span><br /> </strong></p> <ul type="disc"><li>autorun.inf</li><li>SCVVHSOT.exe</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer<br /> NofolderOptions<br /> 0x00000001</li></ul> <ul><li>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System<br /> DisableTaskMgr<br /> 0x00000001<br /> <br /> DisableRegistryTools<br /> 0x00000001</li></ul> <br /> <ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<br /> Yahoo Messengger<br /> %System%\SCVVHSOT.exe</li></ul> <p><strong>Change the value </strong></p> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon<br /> Shell<br /> SCVVHSOT.exe<windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/SCVVHSOT-Fix.rar">התקן להסרת Sohanad</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-26027884348853875022008-04-16T11:13:00.000-07:002008-04-16T11:17:22.664-07:00התקן להסרת (SdBot fix (ctfmonn.exe, Backdoor.SdBot, Sdbot.worm.gen.a<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><br /><ul><li>Backdoor.SdBot</li><li>Backdoor.Win32.SdBot.arn</li><li>W32.Spybot.Worm<br /></li><li> W32/Sdbot.worm.gen.ax </li></ul><br />זהו סוס טרויאני המאפשר שליטה על המחשב באמצעות IRC<br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית חלונות:<br /><startup><br /></startup><ul class="list"><li>Windows>\ctfmonn.exe</li></ul><strong>הווירוס יחדיר את הקבצים הבאים אל תקיית המערכת.</strong><strong> </strong> <ul type="disc"><li>autorun.inf</li><li>ctfmonn.exe</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li> HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile </li><li>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\ProductName<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\ProductName\ProductID<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Security<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Enum</li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Security<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Enum</li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control</li></ul> <p><strong>Created values: </strong></p> <ul><li> HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate<br /> DoNotAllowXPSP2 = 0x00000001<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile<br /> EnableFirewall = 0x00000000<br /> </li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile<br /> EnableFirewall = 0x00000000<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control<br /> *NewlyCreated* = 0x00000000<br /> ActiveService = "NETWORK SERVICE"<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000<br /> Service = "NETWORK SERVICE"<br /> Legacy = 0x00000001<br /> ConfigFlags = 0x00000000<br /> Class = "LegacyDriver"<br /> ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"<br /> DeviceDesc = "NETWORK SERVICE"<br /> </li><li>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE<br /> NextInstance = 0x00000001<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Enum<br /> 0 = "Root\LEGACY_NETWORK_SERVICE\0000"<br /> Count = 0x00000001<br /> NextInstance = 0x00000001<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Security<br />Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE<br /> Type = 0x00000110<br /> Start = 0x00000002<br /> ErrorControl = 0x00000000<br /> ImagePath = "<windows>\ctfmonn.exe"<br /> DisplayName = "NETWORK SERVICE"<br /> ObjectName = "LocalSystem"<br /> FailureActions = 0A 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 B8 0B 00 00<br /> Description = "NETWORK SERVICE"<br /> </li><li>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control<br /> *NewlyCreated* = 0x00000000<br /> ActiveService = "NETWORK SERVICE"<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000<br /> Service = "NETWORK SERVICE"<br /> Legacy = 0x00000001<br /> ConfigFlags = 0x00000000<br /> Class = "LegacyDriver"<br /> ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"<br /> DeviceDesc = "NETWORK SERVICE"<br /> </li><li>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE<br /> NextInstance = 0x00000001<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Enum<br /> 0 = "Root\LEGACY_NETWORK_SERVICE\0000"<br /> Count = 0x00000001<br /> NextInstance = 0x00000001<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Security<br />Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE<br /> Type = 0x00000110<br /> Start = 0x00000002<br /> ErrorControl = 0x00000000<br /> ImagePath = <windows>\ctfmonn.exe"<br /> DisplayName = "NETWORK SERVICE"<br /> ObjectName = "LocalSystem"<br /> FailureActions = 0A 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 B8 0B 00 00<br /> Description = "NETWORK SERVICE"</li></ul> <p><strong>Changed values: </strong></p> <ul><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole<br /> EnableDCOM = "N"</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center<br /> AntiVirusOverride = 0x00000001<br /> FirewallOverride = 0x00000001</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths<br /> Directory = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5"<br /> </li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1<br /> CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"<br /> </li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2<br /> CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3<br /> CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4<br /> CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"</li><li>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control<br /> WaitToKillServiceTimeout = "7000"<br /> </li><li>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa<br /> restrictanonymous = 0x00000001<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent<br /> (Default) = 0x00000015<br /> </li><li>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control<br /> WaitToKillServiceTimeout = "7000"<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa<br /> restrictanonymous = 0x00000001<br /> </li><li> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent<br /> (Default) = 0x00000015</li><li> HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders<br /> Cookies = "%user%\LocalService\Cookies"<br /> Cache = "%user%\LocalService\Local Settings\Temporary Internet Files"<br /> History = "%user%\LocalService\Local Settings\History"</li></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/ctfmonn-fix.rar">התקן להסרת SdBot</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-32139075698983634572008-04-16T11:05:00.000-07:002008-10-08T20:04:11.987-07:00התקן להסרת (Bagle (mdelk.exe, wintems.exe, flec006.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ידוע גם כ:<br /><br /><ul><li>W32/Bagle.gen<br /></li><li>PWS-Bluedit<br /></li><li>Generic.dx<br /> <br /> </li><li>TROJ_BAGLE.OU<br /></li><li>TROJ_BAGLE.AO<br /></li><li>WORM_BAGLE.KO<br /> </li><li>Trojan.DL.VB.ACWT.Gen</li><li>Worm.Bagle.RR<br /></li><li>Email-Worm.Bagle!sd5<br /> <br /> </li><li>Email-Worm.Win32.Bagle.jo<br /> </li><li>Trojan.Lodeight.C</li></ul><br />ברוב המקרים הווירוס ימנע מתוכנת האנטיווירוס המותקנת במחשב מלפעול, יבטל את ה-Firewall ועוד מגוון שירותי מערכת ויהפוך את קבצי המערכת לזמינים לכל דורש ברשת.<br /><br />הווירוס מועבר באמצעות הרשת.<br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\mdelk.exe</li><li>System>\wintems.exe </li><li>System>\IExplorer.dll .dbt</li><li>System>\ansi.exe</li></ul><strong>הווירוס יחדיר את הקובץ הבא אל תיקיית חלונות:</strong><strong> </strong> <ul type="disc"><li>Windows>\fghrtuyjfghr.exe</li></ul> <p><strong><span style="font-weight: normal;">הווירוס יצור את הקובץ והתיקייה:</span><br /> </strong></p> <ul type="disc"><li>AppData>\m\flec006.exe</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul><li>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<br /> mule_st_key<br /> <appdata>\m\flec006.exe</appdata></li><li> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices<br /> IESet<br /> IExplorer.dll .dbt</li><li> HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run<br /> IESet<br /> IExplorer.dll .dbt</li><li> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<br /> IESet<br /> IExplorer.dll .dbt</li></ul> <ul><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command<br /> (Default) = fghrtuyjfghr.exe %1</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command<br /> (Default) = fghrtuyjfghr.exe %1</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command<br /> (Default) = fghrtuyjfghr.exe %1</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command<br /> (Default) = fghrtuyjfghr.exe %1</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt<br /> (Default) = DBTFILE</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command<br /> (Default) = fghrtuyjfghr.exe</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br /> IESet = IExplorer.dll .dbt</li><li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system<br />EnableLUA<br />0x00000000</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc<br /> EnableLUA<br /> 0x00000016</li><li> HKEY_CURRENT_USER\Software\FirstRRRun<br /> First12Ru123n<br /> 0x00000001</li><li> HKEY_CURRENT_USER\Software\FirstRRRun</li><li> HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications</li><li> HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg</li></ul><windows><system><windows>ומוחק את הערכים הבאים:<br /><br /></windows></system></windows><ul><li> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command<br /> (Default)<br /> <system>\System32\NOTEPAD.EXE %1</system></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command<br /> (Default)<br /> <system>\NOTEPAD.EXE %1</system></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command<br /> (Default)<br /> <system32>\NOTEPAD.EXE %1</system32></li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command<br /> (Default)<br /> <system32>\NOTEPAD.EXE %1</system32></li></ul><br /><windows><system><windows><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Bagle-Fixer.rar">התקן להסרת Bagle</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com3tag:blogger.com,1999:blog-43197646577671492.post-2233565141629553732008-04-16T10:59:00.000-07:002008-04-16T11:04:55.685-07:00התקן להסרת (KillGodzilla (KillGodzilla.vbs<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />הווירוס לא עושה שום דבר מיוחד<br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקובץ הבא אל תיקיית חלונות:<br /><startup><br /></startup>Windows>killgodzilla.vbs<br /><br /><strong>הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת:<br /><br /></strong>Root>killgodzilla.vbs<br />Root>autorun.inf<br /><strong></strong><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br />HKCU\Software\Microsoft\Windows\CurrentVersion\Run<br /> KILLMS32DLL<br /> <windows>\killgodzilla.vbs<windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/KillGodzilla-Fix.rar">התקן להסרת killgodzilla</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-48858565643609341612008-04-09T05:46:00.000-07:002008-04-16T10:48:38.441-07:00התקן להסרת Amvo.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />Amvo.exe הינו ווירוס המועבר באמצעות גישה למחיצות במערכת ומדיה ניידת.<br />הווירוס יוצר מספר קבצים המשוחזרים באופן אוטומאטי לאחר הסרתם.<br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li><system>\amvo.exe </system></li><li><system>\amvo0.dll</system></li><li><system>\amvo1.dll</system></li></ul><strong>הווירוס יחדיר את הקבצים הבאים אל תקיית ה-Temp.</strong><strong> </strong> <ul type="disc"><li>fq9.dll</li><li>help.exe</li><li> 2nux4.dll<br /></li><li> 5.dll<br /></li><li> 92izu.dll<br /></li><li> dykvagp.dll<br /></li><li> e.dll<br /></li><li> e7sf4.dll<br /></li><li> ezk.dll<br /></li><li> fqlq.dll<br /></li><li> pelqe.dll<br /></li><li> vupin8b.dll<br /></li><li> w4enx.dll<br /></li><li> zmcc.dll<br /></li><li> k2fvpt.dll<br /></li><li> e7sf4.dll<br /></li><li> fgshabuifhdvmis32.exe<br /></li><li> RarSFX0\32.exe<br /></li><li> 2m9mdmy.dll<br /></li><li>w2e.sys</li></ul> <p><strong><span style="font-weight: normal;">הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת</span><br /> </strong></p> <ul type="disc"><li>Autorun.inf</li><li>3o.exe</li><li>y82td3td.com</li><li>i.cmd</li><li>fppg1.exe</li><li>ekugb3.bat</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul type="disc"><ul type="circle"><li>[<p>HKCU\Software\Microsoft\Windows\CurrentVersion\Run<br /> amva<br /><system>\amvo.exe</system></p> <p> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}<br /> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32</p> <p> <strong>Creates value </strong><br /> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32<br /> (Defaul) = <windows>\HELP\F3C74E3FA248.dll<br /> ThreadingModel = Apartment</windows></p> <p> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}<br /> (Default) = SSUUDL</p> <p> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks<br /> {1DBD6574-D6D0-4782-94C3-69619E719765} = ""</p></li></ul></ul><ul type="circle"><p>]</p></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/Amvo-Variants.rar">התקן להסרת Amvo.exe</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com2tag:blogger.com,1999:blog-43197646577671492.post-56720106542203716452008-04-06T07:32:00.000-07:002008-04-16T10:53:13.177-07:00התקן להסרת (Zlob.gen (sbsm.exe,sbmdl.dll,4E17C240.EXE,3C7780C0.DLL,3C7780C0.DLL<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />זוהי תולעת המנסה לתקשר עם אחת מהכתובות הבאות: http://nx.51ylb.cn/soft, securitypills.com, http://33.xingaide8.cn, gateow.com, www.gatecb.com ומנסה להוריד מהן קבצים אל המערכת המותקפת.<br /><br />"מוטציות":<ul><li>Trojan.DL.Zlob.Gen.34<br /></li><li>Trojan-Downloader.Zlob.GEN<br /></li><li>Trojan.DL.Zlob.Gen!Pac.45<br /></li><li> New Poly Win32<br /></li><li> New Malware.aj<br /></li><li> Puper<br /></li><li>TROJ_ZLOB.TH<br /></li><li> WORM_NUCRYPT.GEN<br /></li></ul><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\sbsm.exe</li><li>System>\sbmdl.dll</li><li>System>\4E17C240.EXE</li><li>System>\3C7780C0.DLL</li><li>System>\del.bat</li><li>System>\scm.exe</li><li>Partition>:\auto.exe</li><li>Partition>:\autorun.inf</li></ul><strong>Process </strong><strong>in memory </strong> <ul type="disc"><li>sbsm.exe</li><li>sbmdl.dll</li><li>4E17C240.EXE</li><li>scm.exe</li></ul> <p><strong>Services </strong></p> <ul type="disc"><li>ERSvc (Error Reporting Service)</li><li>F188AD40 (F188AD40)</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><ul type="disc"><ul type="circle"><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}]</li><ul type="square"><li>MenuText = IE Anti-Spyware</li><li>Exec = http://www.iefixgate.com/redirect.php</li><li>CLSID = "{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"</li></ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}\InprocServer32]</li><ul type="square"><li>(Default) = <system>\sbmdl.dll</system></li><li>ThreadingModel = Apartment</li></ul><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}]</li><ul type="square"><li>xxx = xxx</li></ul></ul><ul type="circle"><li>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}]</li><ul type="square"><li>(Default) = ""</li></ul></ul></ul> <ul type="circle"><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]</li><ul type="square"><li>{9034A523-D068-4BE8-A284-9DF278BE776E} = 0x00002001</li></ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}]</li><ul type="square"><li>DisplayName = "Search"</li><li>URL = "http://www.searchinggate.com/index.php?b=1&t=0&q={searchTerms}"</li></ul><li>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]</li><ul type="square"><li>DefaultScope = "{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}"</li></ul><p>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]<br /> start = [directory name.exe]</p></ul><windows><system><windows><br /><br /><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />תולעת זו עשויה לבקש מכם להוריד "תוכנה להסרת רוגלה", לעולם אל תסכימו להתקנת תוכנה שלא ביקשתם!<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/ZLOB-Fix.rar">התקן להסרת Zlob.GEN</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים עכשיו!<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-77106198117652750612008-04-06T07:28:00.000-07:002008-04-16T10:54:14.003-07:00התקן להסרת (W32.SillyDC (RBOT-AKB,WinUp.exe,Worm.Win32.Mefir.a<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />זוהי תולעת המנסה להפיץ את עצמה ברחבי הרשת.<span style="font-weight: bold;"><br /><br /><br /></span><span style="font-weight: bold;"></span><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\memsys.dll</li><li>System>\winup.exe</li><li>System>\xtemp1.exe</li><li>System>\xtemp2.exe</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br />[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{990B770D-62AE-5421-DA6D-16033B76258C}<windows><system><windows><br /></windows></system></windows><ul><li>Default = sys info </li><li>stubpath = <system>\winup.exe</system></li></ul><br /><windows><system><windows><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />לעולם לא להוריד קבצים מהכתובת: http://www.faxmodel.com/down<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/WinupFixer.rar">התקן להסרת WinUp</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים עכשיו!<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-34480925681726456112008-04-06T07:21:00.000-07:002008-04-16T10:54:37.260-07:00התקן להסרת (TratBHO (msgnms.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr /><span style="font-weight: bold;">זהו סוס טרוייאני מזיק ביותר המהווה סיכון למערכת ולרשת בה המערכת ממוקמת.<br /></span><br />מתחבר אל: pool.hybridtx.com<br />פורט: 1750<br /><span></span><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr />הווירוס יוצר את הקבצים הבאים בתיקיית המערכת:<br /><br /><ul class="list"><li>System>\msgnms.exe</li><li>Temp>\wjsfldwg.exe</li><li>Temp>\cymqdwmk.exe</li><li>System>\ssttr.dl</li><li>System>\lmllji.dll</li><li>System>\ssttr.dll</li><li>System>\vtstq.dll</li><li>System>\nexdxndep.exe</li><li>System>\vtutq.dll</li><li>System>\vtsts.dll</li><li>System>\jkkji.dll</li><li>System>\tuvtqpq.dll</li><li>System>\moywh.dlll<br /></li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br /> Windows Live<br /> msgnms.exe</p> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br /> nexdxndep<br /> nexdxndep.exe<br /><br /><br /><br /><windows><system><windows></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מסוגל לתקשר גם עם שרתי IRC.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/TratBHO-Remover.rar">התקן להסרת TratBHO</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים עכשיו!<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-36650737654213873412008-04-06T07:14:00.000-07:002008-04-16T10:54:52.693-07:00התקן להסרת (KillVBS Remover (KillVBS.vbs<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />ווירוס זה מועבר על ידי מדיה ניידת.<br /><br />הווירוס מופעל בכל ניסיון גישה למדיה ניידת.<br /><br /><span style="font-weight: bold;"><br /></span><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr />הווירוס יוצר שני קבצים בכל מחיצה במערכת:<br /><br /><ul class="list"><li>autorun.inf</li><li>KillVBS.vbs</li></ul><startup>הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>KillVBS.vbs</li><li>System>WScript.exe</li></ul><startup><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /> HKLM\Software\Microsoft\Windows\CurrentVersion\Run<br /> MS32DLL <windows><system><windows><br /><br /></windows></system></windows> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon<br /> Shell <br /> <system>\wscript.exe <system>\killVBS.vbs<br /><br /> Userinit<br /> <system>\wscript.exe <system>\killVBS.vbs<br /> The right value is <system>\userinit.exe,<br /><br /> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main<br /> Window Title<br /> " "<br /> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main<br /> Start Page<br /> " "<br /><br /><br /></system></system></system></system></system><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/KillVbs-Remover.rar">התקן להסרת KillVBS</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים עכשיו!<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-28720157399718455692008-04-06T06:55:00.000-07:002008-04-16T10:55:33.665-07:00התקן להסרת (Safyway.blogspot (VirusRemoval.vbs<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />safeway.blogspot הינו סוס טרוייאני המתחבר אל הרשת ברגע שהוא פעיל במערכת ומנסה להפעיל אתרים ברשת.<br /><br />ווירוס זה משבש את פעילות ה- Task Manager ו Windows Registry.<br /><span></span><br /><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr />הווירוס יוצר שני קבצים בכל מחיצה ניידת:<br /><br /><ul class="list"><li>autorun.inf</li><li>VirusRemoval.vbs</li></ul><startup><br />הווירוס </startup> יחדיר את הקבצים הבאים אל תיקיית המערכת:<br /><startup><br /></startup><ul class="list"><li>System>\VirusRemoval.vbs </li><li>System>\wscript.exe<br /></li></ul><startup><br /><br /><br /></startup><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br />HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon<br /> Shell<br /> VirusRemoval.vbs<windows><system><windows><br /><br /></windows></system></windows> Software\Microsoft\Internet Explorer\Main<br /><br />HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main<br /> Start Page<br /> http://www.safyway.blogspot.com/<br /><br /><br /><br /><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן USB, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד. יש לחבר את כל כונני ה USB שברשותכם במהלך הרצת התקן ההסרה על מנת להסיר את הווירוס גם מהם.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/safyway.blogspot.rar">התקן להסרת Safyway.blogspot</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים עכשיו!<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0tag:blogger.com,1999:blog-43197646577671492.post-18736039851672320522008-04-06T06:50:00.000-07:002008-04-16T10:55:39.137-07:00התקן להסרת (Win32/RungBu (RungBu.exe<div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><div dir="rtl" style="text-align: right;"><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">מידע על הווירוס</span></li></ul><hr />אינו זמין.<span style="font-weight: bold;"><br /><br /></span><span style="font-weight: bold;"></span><br /><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">קבצים</span></li></ul><hr /><startup><br /></startup><p>C:\Recycled\spoolsv.exe<br /> C:\Recycled\svchost.exe</p> <p>C:\Recycled\ctfmon.exe<br /> C:\Recycled\smss.exe</p> <p>Temp>\Flu Burung.txt</p> <p>Program Files>\Microsoft Office\Office\docicon.exe</p> <p><br /></p><br /><ul style="font-weight: bold;"><li><span style="color: rgb(255, 102, 0);">Registry</span></li></ul> <hr />הווירוס יוצר את הערכים הבאים:<br /><br /><p>HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon<br /> Shell<br /> Explorer.exe "C:\recycled\SVCHOST.exe"<br /> The real value is <br /> Explorer.exe "C:\Windows\explorer.exe"</p> <p>HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon<br /> Userinit<br /> C:\Recycled\SVCHOST.exe<br /> Should be <br /> C:\Windows\userinit.exe</p> <p>HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced<br /> HideFileExt<br /> 1</p> <p>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt<br /> UncheckedValue<br /> 1</p><br /><p><span style="font-weight: bold;">הווירוס יוצר את הערכים הבאים על מנת להסתיר קבצים:</span><br /></p><br />HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced<br /><p> ShowSuperHidden<br /> 0</p> <p>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden<br /> UncheckedValue<br /> 0</p> <p> HKCR\scrfile<br /> (default)<br /> Microsoft Word Document</p> <p>HKCR\Word.Document.8\DefaultIcon<br /> (default)<br /> <program>\Microsoft Office\Office\docicon.exe</program></p><windows><system><windows><br /></windows></system></windows><ul><li><span style="color: rgb(255, 102, 0); font-weight: bold;">אזהרה</span><br /></li></ul> <hr />הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.<br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);font-size:85%;" ><a href="http://www.apnea.co.il/antivirali/RungBu.rar">התקן להסרת התקן להסרת Win32/RungBu</a></span><br /><span style="font-size:85%;">להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו<br />על קישור ההורדה המתאים עכשיו!<br /><br /></span></div></div></div>Anonhttp://www.blogger.com/profile/02783461866604152774noreply@blogger.com0