אנטי וויראלי - המדריך להסרת ווירוסים עקשנים

אנטי וויראלי - איך מורידים ווירוס עקשן כשהאנטי ווירוס לא מצליח?

2008-10-07T23:56:00.000-07:00

אנטי וויראלי - המדריך להסרת ווירוסים - אלו שתוכנות האנטי ווירוס לא מצליחות להוריד

אנטי-ווירוס הינו כלי נהדר המשרת את מטרתו ברוב המקרים - אבל מה לעשות? אין אנטי ווירוס שניתן לסמוך עליו בכל מאת האחוזים.

מטרתינו היא למלא את אותו מרווח בו האנטי-ווירוס שלכם אינו יכול לספק את התוצאות המבוקשות, על ידי פיתוח התקנים (Patch) שונים לאיתור חיסול והסרת ווירוסים וסוסים טרויאנים אשר אינם מזוהים, או אינם ניתנים לתיקון והסרה על ידי תוכנות האנטי ווירוס השונות.

בנוסף, במקרים רבים בהם האנטי-ווירוס מסוגל לזהות ולהסיר ווירוסים וסוסים טרויאנים מן המערכת - אין ביכולתו לבצע שחזור של הנזק שנגרם על ידים במהלך פעולתם. ההתקנים שתמצאו כאן בנויים בצורה כזו שהם מסוגלים לשחזר את הנזקים השונים הנגרמים למערכת על ידי הווירוסים והסוסים הטרויאנים באופן חלקי או מלא.

נזקים נפוצים הנגרמים על ידי ווירוסים וטרויאנים שונים ושאינם מתוקנים על ידי האנטי-ווירוס:

היעלמות של תפריטים שונים במערכת (הפעלה, חיפוש, אפשרויות תיקייה...)
הגבלת היכולת להריץ תוכנה מסויימת (regedit, task manager, cmd...)
הגבלת הגישה אל משאבי מערכת שונים (רשת, מדפסות, יציאות USB, אינטרנט...)

זיכרו, העובדה כי תוכנות האנטי-ווירוס השונות אינן חינמיות (כלומר עולות כסף) אינה הופכת אותן לטובות או מוצלחות יותר. בהבה מקרים, אלו הכלים החינמיים שעושים את העבודה טוב יותר :-)

התקן להסרת cradle_of_filth.vbe

2008-10-07T23:48:00.000-07:00

מידע על הווירוס

ווירוס מוזר משהו שמונע ומגביל את פעילותן של תוכנות שונות במערכת ואת הגישה לתפריטים. הווירוס מופץ דרך מדיה ניידת. הווירוס יוצר קבצי הפעלה על המדיה הניידת ומשחזר אותם אוטומאטית במקרה של מחיקה.

קבצים

הווירוס יחדיר את הקבצים הבאים התיקיה הראשית במדיה הניידת:

autorun.inf
cradle_of_filth.vbe

הווירוס ישתיל את הקובץ הבא בתיקיית המערכת:

\cradle_of_filth.vbe

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue
HKLM\Software\Microsoft\Command Processor\AutoRun
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe
Must be
C:\Windows\userinit.exe,

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת cradle_of_filth.vbe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת הווירוס cftmonn.exe

2008-10-07T23:43:00.000-07:00

מידע על הווירוס

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

\cftmonn.exe
autorun.inf
ctfmonn.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKLM\Software\Microsoft\Windows\Current\Version\Run

cftmonn= \cftmonn.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת cftmonn.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת softhomepage.com (sbsm.exe, sbsm.dll)

2008-10-07T23:24:00.000-07:00

מידע על הווירוס

מוריד קבצים באופן אוטומאטי מהאינטרנט
יוצר ערך ב-register שטוען אותו באופן אוטומאטי
משתלב בתוך פעילות הדפדפן IE
רץ קשירות מערכת
קובע את softhomepage.com כדף הבית בדפדפן ומתחבר אליו דרך פורט 80

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

\sbmdl.dll
\sbsm.dll

Registry

הווירוס יוצר את הערכים הבאים:

Keys created :

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}

Values created :

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32]

(Default) = "%System%\sbmdl.dll"
ThreadingModel = "Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}]

xxx = "xxx"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}]

MenuText = "IE Anti-Spyware"
Exec = "http://www.gateietool.com/redirect.php"
CLSID = "{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]

(Default) = ""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

start = "nom crée aléatoirement "

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]

{9034A523-D068-4BE8-A284-9DF278BE776E} = 0x00002001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}]

DisplayName = "Search"
URL = "http://www.searchagate.com/index.php?b=1&t=0&q={searchTerms}"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

DefaultScope = "{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}"

Values created

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]

NextId = 0x00002002

אזהרה

גם בהסרה של הווירוס דרך תוכנת האנטי ווירוס, פעילות הדפדפן לא תתוקן והגדרותיו לא ישוחזרו, לשם כך מומלץ להשתמש בהתקן המסופק

התקן להסרת Softhomepage.com
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Virtual Made (Virtual Maid.dll, http://www.searchmaid.com

2008-04-16T22:28:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Adware.Virtual_Maid
not-a-virus:AdWare.Win32.MaidBar.d
Adware.SearchMaid

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

System>\perfcii.ini
Program Files >\Virtual Maid\1.bmp
Program Files >\Virtual Maid\2.bmp
Program Files >\Virtual Maid\logo.bmp
Program Files >\Virtual Maid\uninstall.bat
Program Files >\Virtual Maid\Virtual Maid.dll
Program Files >\Virtual Maid\Virtual Maid.xml

Registry

הווירוס יוצר את הערכים הבאים:

Keys created

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0\win32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\FLAGS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual Maid
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&RSDN Search
HKEY_CURRENT_USER\Software\Virtual Maid
HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid
HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historyfiles
HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historys1

Values created

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\VersionIndependentProgID]
- (Default) = "VM.VMObj"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\TypeLib]
- (Default) = "{42C7653A-5834-45a1-899A-ED0DFA370D21}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\ProgID]
- (Default) = "VM.VMObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\InprocServer32]
- (Default) ="C:\PROGRAM FILES\VIRTUAL MAID\VIRTUAL MAID.DLL"
- ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}]
- (Default) = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\VersionIndependentProgID]
- (Default) = "GoVM.ContextItem"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\TypeLib]
- (Default) = "{48DA6120-A779-4c12-8584-47B625EFB469}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\ProgID]
- (Default) = "GoVM.ContextItem.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\InprocServer32]
- (Default) = "C:\PROGRAM FILES\VIRTUAL MAID\VIRTUAL MAID.DLL"
- ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}]
- (Default) = "ContextItem Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\TypeLib]
- (Default) = "{42C7653A-5834-45A1-899A-ED0DFA370D21}"
- Version = "1.0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid32]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}]
- (Default) = "IContextItem"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\TypeLib]
- (Default) = "{42C7653A-5834-45A1-899A-ED0DFA370D21}"
- Version = "1.0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid32]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}]
- (Default) = "IVMObj"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0\win32]
- (Default) = "%ProgramFiles%\Virtual Maid\Virtual Maid.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\HELPDIR]
- (Default) = "%ProgramFiles%\Virtual Maid\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\FLAGS]
- (Default) = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0]
- (Default) = "VM 1.0 Type Library"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CurVer]
- (Default) = "GoVM.ContextItem.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CLSID]
- (Default) = "{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem]
- (Default) = "ContextItem Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1\CLSID]
- (Default) = "{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1]
- (Default) = "ContextItem Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CurVer]
- (Default) = "VM.VMObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CLSID]
- (Default) = "{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj]
- (Default) = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1\CLSID]
- (Default) = "{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1]
- (Default) = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
- Local Page = "http://www.searchmaid.com/"
- Search Bar = "http://searchmaid.com/bar/index.html"
- Use Search Asst = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
- {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
- guid = "AA8214E9-C7E6-4b66-A049-19AD20944CBF"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual MaidVirtual Maid]
- DisplayName = "Virtual Maid"
- UninstallString = ""%ProgramFiles%\Virtual Maid\uninstall.bat" "%ProgramFiles%\Virtual Maid""
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]
- (Default) = ""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
- Default_Page_URL = "http://www.searchmaid.com/"
- Search Bar = "http://searchmaid.com/bar/index.html"
- Use Search Asst = "http://www.searchmaid.com/search.php?qq=%s"
- Default_Search_URL = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
- (Default) = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
- {77B2F8DE-CB3F-4B6B-839B-807DD1ADBA1C} = DE F8 B2 77 3F CB 6B 4B 83 9B 80 7D D1 AD BA 1C
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&RSDN Search]
- (Default) = "res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm"
- Contexts = 0x00000030
[HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historyfiles]
- C:\PROGRA~1\VIRTUA~1\Virtual Maid.xml = 0x00000001
- C:\PROGRA~1\VIRTUA~1\2.bmp = 0x00000001
- C:\PROGRA~1\VIRTUA~1\1.bmp = 0x00000001
[HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid]
- gUpdate = "0"
- NID = ""
- toolbar_id = ""
- Virtual Maid.xml = "168967278"
- 2.bmp = "53294105"
- 1.bmp = "535982682"
- showcorrupted = "1"
- updateVer = ""
- scope = "-1"
- OpenNew = "0"
- AutoComplete = "1"
- KeepHistory = "1"
- RunSearchAutomatically = "1"
- RunSearchDragAutomatically = "1"
- DescriptiveText = "1"
- ShowHighlightButton = "1"
- MicrosoftWeb = "1"
- GoogleWeb = "1"
- ShowFindButtons = "1"
- (Default) = "1"
- UpdateBegin = "0"
- LastCheckTime = 0x469C649B

Values deleted

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
- Local Page = "%SystemRoot%\system32\blank.htm"
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]
- (Default) = "%SystemRoot%\media\Windows XP Menu Démarrer.wav"

Values changed

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
- Default_Page_URL = "http://www.searchmaid.com/"
- Default_Search_URL = "http://www.searchmaid.com/search.php?qq=%s"
- Search Page = "http://www.searchmaid.com/search.php?qq=%s"
- Start Page = "http://www.searchmaid.com/"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
- SearchAssistant = "http://www.searchmaid.com/search.php?qq=%s"
- CustomizeSearch = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
- Local Page = "http://www.searchmaid.com/"
- Start Page = "http://www.searchmaid.com/"
- Search Page = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
- {0E5CBF21-D15F-11D0-8301-00AA005B4383} = 21 BF 5C 0E 5F D1 D0 11 83 01 00 AA 00 5B 43 83 22 00 1C 00 08 00 00 00 06 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46 81 00 00 00 10 00 00 00 CE 10 18 3F 01 CE C6 01 58 61 AE 8
- ITBarLayout = 11 00 00 00 36 00 00 00 00 00 00 00 34 00 00 00 1F 00 01 00 56 00 00 00 01 00 00 00 20 07 00 00 A0 0F 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 A0 0F 00 00 04 00 00 00 21 01 00 00 A0 0F 00 00 03 00 00 00 20 03 00 00 00 00 00 0

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Virtual Made
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (VirusHeat (VirusHeat 4.3.exe, VirusHeat.exe

2008-04-16T22:25:00.000-07:00

מידע על הווירוס

ידוע גם כ:

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

Desktop>\VirusHeat 4.3.lnk
Programs>\VirusHeat 4.3\Uninstall VirusHeat 4.3.lnk
Programs>\VirusHeat 4.3\VirusHeat 4.3 Website.lnk
Programs>\VirusHeat 4.3\VirusHeat 4.3.lnk
StartMenu>\VirusHeat 4.3.lnk
ProgramFiles>\VirusHeat 4.3\blacklist.txt
ProgramFiles>\VirusHeat 4.3\Lang\English.ini
ProgramFiles>\VirusHeat 4.3\msvcp71.dll
ProgramFiles>\VirusHeat 4.3\msvcr71.dll
ProgramFiles>\VirusHeat 4.3\uninst.exe
ProgramFiles>\VirusHeat 4.3\vht.dat
ProgramFiles>\VirusHeat 4.3\VirusHeat 4.3.exe
ProgramFiles>\VirusHeat 4.3\VirusHeat 4.3.url

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Licenses
HKEY_LOCAL_MACHINE\SOFTWARE\VirusHeat 4.3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0\win32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\FLAGS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusHeat 4.3

Values created:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32]
(Default) = \wbem\wbemcons.dll
ThreadingModel = Both
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}]
(Default) = Microsoft WBEM Log File Event Consumer Provider
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}]
(Default) = ILog
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}]
(Default) = IThreatEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}]
(Default) = IQuarantineEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}]
(Default) = IBackup
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}]
(Default) = ISearchItem
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}]
(Default) = IThreat
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}]
(Default) = IScannerEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}]
(Default) = ILogRecord
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}]
(Default) = IIgnoreList
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}]
(Default) = IQuarantine
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}]
(Default) = IThreatCollectionEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}]
(Default) = ILogEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}]
(Default) = IThreatCollection
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}]
(Default) = IEngineListener
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}]
(Default) = IRunAs
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}]
(Default) = IPaths
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0\win32]
(Default) = \VirusHeat 4.3\VirusHeat 4.3.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\HELPDIR]
(Default) = \VirusHeat 4.3\
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\FLAGS]
(Default) = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0]
(Default) = AVG 1.0 Type Library
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
VirusHeat 4.3 = \VirusHeat 4.3\VirusHeat 4.3.exe /h
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusHeat 4.3]
DisplayName = VirusHeat 4.3
UninstallString = \VirusHeat 4.3\uninst.exe
DisplayIcon = \VirusHeat 4.3\VirusHeat 4.3.exe
DisplayVersion = 4.3
NSIS:StartMenuDir = VirusHeat 4.3
URLInfoAbout = http://www.virusheat.com
Publisher = virusheat.com
[HKEY_LOCAL_MACHINE\SOFTWARE\Licenses]
{R7C0DB872A3F777C0} = 4A 8D 7D 4C
{K7C0DB872A3F777C0} = B9 CE 35 F0 DD 0C 1F FF FF FF FF 9D C6 25 CF 03 07 99 01 65 14 0F C8 1F F3 29 FB 4A 8D 7D 4C FF FF FF FF 87 30 0C C3 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF F FF FF FF F
[HKEY_LOCAL_MACHINE\SOFTWARE\VirusHeat 4.3]
refid = 1012
FirstStart = 1

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת VirusHeat
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (MonaRonaDona (srvspool.exe, registrycleaner2008.exe

2008-04-16T22:22:00.000-07:00

מידע על הווירוס

יוצר את התהליכים:

srvspool.exe
registrycleaner2008.exe

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

Programs>\RegistryCleanFix2008\RegistryCleanFix2008
Programs>\RegistryCleanFix2008\RegistryCleanFix2008.lnk
ProgramFiles>\RegistryCleanFix2008\unins000.exe
ProgramFiles>\RegistryCleanFix2008\unins000.dat
Programfiles>\RegistryCleanFix2008\RegistryCleaner2008.exe
Programs>\RegistryCleanFix2008\Uninstall RegistryCleanFix2008.lnk
Programs>\Startup\SRVSPOOL.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegistryCleanFix2008_is1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\FCR2008MFC

Values created:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegistryCleanFix2008_is1]
Inno Setup: Setup Version = "5.2.2"
Inno Setup: App Path = "%ProgramFiles%\RegistryCleanFix2008"
InstallLocation = "%ProgramFiles%\RegistryCleanFix2008\"
Inno Setup: Icon Group = "RegistryCleanFix2008"
Inno Setup: User = "%UserName%"
Inno Setup: Selected Tasks = ""
Inno Setup: Deselected Tasks = "desktopicon,quicklaunchicon"
DisplayName = "RegistryCleanFix2008"
UninstallString = ""%ProgramFiles%\RegistryCleanFix2008\unins000.exe""
QuietUninstallString = ""%ProgramFiles%\RegistryCleanFix2008\unins000.exe" /SILENT"
Publisher = "RegistryCleanFix2008"
URLInfoAbout = "http://www.RegistryCleanFix.com/"
HelpLink = "http://www.RegistryCleanFix.com/"
URLUpdateInfo = "http://www.RegistryCleanFix.com/"
NoModify = 0x00000001
NoRepair = 0x00000001
InstallDate = "20080107"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Window Title = "MonaRonaDona"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
SD = "422:/3/9/37/37"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = "1"

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת MonaRonaDona
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Noooh (Sys.exe, ComSys.dll

2008-04-16T22:20:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Trojan.VB.DRRX
Trojan.BAT.Killfiles.OZ
Virus.Win32.AutoRun.cb
W32.SillyFDC
W32/Hooon.worm
TROJ_AGENT.SCD

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

Windows>\Web\Sys.exe
System>\ComSys.dll
System>\KillAll.bat
All Root Partition>:\autorun.inf
All Root Partition>:\Sys.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

Values created:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NoooH = \Web\Sys.exe
Ce qui entraine le lancement de ce programme à chaque démarrage de Windows

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
DisableSR = 0x00000001
Désactive la restauration système

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000002
Désactive le gestionnaire des tâches et les outils d'édition de la base de registre

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
DisableCMD = 0x00000001
Désactive cmd.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Noooh.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (NetSky (FVProtect.exe,FirewallSvr.exe,netstats.exe

2008-04-16T22:16:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Email-Worm.Win32.NetSky.q
Email-Worm.Win32.NetSky.z
Email-Worm.Win32.NetSky.q
Email-Worm.Win32.NetSky.r
...
Backdoor.Win32.IRCBot.alo
Worm.Feebs!sd5
Email-Worm.NetSky
Email-Worm.NetSky!sd5
I-Worm.Netsky.Q2
W32.Netsky.gen@mm
W32.Netsky.dam
W32.Netsky.P@mm
W32.Netsky.Y@mm
...
W32/Feebs.gen
W32/Opanki.worm.gen
W32/Netsky.gen@MM
W32/Netsky.y@MM
W32/Netsky.p@MM
...
WORM_FEEBS.KV
WORM_NETsky.dam
WORM_NETSKY.P
WORM_NETSKY.BN

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

nmvcs.exe
LegitCheckControl.dll
WgaLogon.dll
WgaTray.exe
ddcbxxv.dll
WGA.exe
winini.exe
opnnljj.dll
msij32.dll
msoo.exe
remote.exe
vcmgcd32.dll
defender.exe
vcmgcd32.dl_
msed32.dll
mslz.exe
msoi.exe
mspi32.dll
keymaker.exe
winini.exe

הווירוס יחדיר את הקבצים הבאים אל תיקיית חלונות:

FVProtect.exe
base64.tmp
userconfig9x.dll
zip1.tmp
zip2.tmp
winsystem.exe
FirewallSvr.exe
zip3.tmp
fuck_you_bagle.txt
uinmzertinmds.opm
winini.exe
winlogon.scr
zipped.tmp
EasyAV.exe
netstats.exe
system.dll.exe
Jammer2nd.exe
attachment.zip
services.exe
winlogs.exe

הווירוס יחדיראת הקבצים הבאים אל תיקיית ה-Temp:

UYF4E7\installer.bat
UYF4E7\LegitCheckControl.dll
UYF4E7\WgaLogon.dll
UYF4E7\WgaTray.exe
IXP000.TMP\keymaker.exe
Data.txt .exe
7C56B4F2.EXE
*.zip
*.tmp

שמות של תהליכי מערכת של הווירוס כוללים:

FVProtect.exe
netstats.exe
system.dll.exe
defender.exe
winini.exe
FirewallSvr.exe
msoi.exe
keymaker.exe
is151287.exe
7C56B4F2.EXE
qpfu.exe
winlogon.scr
trvp.exe
WGA.exe
msoo.exe
remote.exe
nmvcs.exe
winsystem.exe
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe

Registry

הווירוס יוצר את הערכים הבאים:

Key deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
(Default) = \webcheck.dll
ThreadingModel = Apartment

Key created

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Norton Antivirus AV = FVProtect.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSN = system.dll.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Zero Spooler = "nmvcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcbxxv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861

Value created

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}\InprocServer32]
(Default) = "%System%\ddcbxxv.dll"
ThreadingModel = "Both"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]
Time = F0 F8 36 23 83 51 C8 01 00 00 00 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{446624E1-B767-4443-AA6E-0F355CAFD21B} = ""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcbxxv]
Asynchronous = 0x00000001
DllName ="ddcbxxv.dll
Impersonate = 0x00000000
Logon = o
Logoff = f

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]
(Default) = "A91FE206B0B441D793ADE1C11C88B399&"

[HKEY_CURRENT_USER\Software\Microsoft\Installer]
(Default) = 94 6E 12 24 83 51 C8 01

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Netsky
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Tavo.exe (tavo0.dll, tavo1.dll

2008-04-16T22:13:00.000-07:00

מידע על הווירוס

ידוע גם כ:

rojan.Lineage.Gen!Pac.3
32/Autorun.worm.bx.gen
Infostealer.Gampass
TSPY_ONLINEG.URC
TSPY_LEGMIR.AG
TSPY_ONLINEG.MI
TSPY_ENCPK.AE
TSPY_LEGMIR.VU
W32/Autorun.worm.bx.gen
PWS-LegMir.gen.k
PWS-OnlineGames.a
PWS-LegMir
PWS-Mmorpg.gen

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\tavo.exe
System>\tavo0.dll
System>\tavo1.dll

הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.

g4.dll
avxah8.dll
y.dll
ig4au94g.dll
iilov9vn.dll
fk.dll
tu58fg.dll
xioao.dll
fobq9vzc.dll
2cxs.sys
uslvgy2i.dll

הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת

Autorun.inf
o.exe
nxvhpc.exe
ff1q0gw.bat
i8.com
ntdeiect

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
tava = \tavo.exe
In this way, kavo.exe file is launched each time the system is booted
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0x00000000

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Tavo.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Patty.exe (S0UNDMANS.EXE,1sasrv.dll,adsldps.dll,twain.dll,realsched.exe

2008-04-16T22:09:00.000-07:00

מידע על הווירוס

זהו טרויאני הממתיןם להוראות מהשרת שלו לאחר ההתקנה במערכת.
הווירוס מסוגל לגנוב סיסמאות ופרטי כרטיס אשראי מהמערכת הנגועה.

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\S0UNDMANS.EXE
System>1sasrv.dll
System>\adsldps.dll
System>\twain.dll
System>\realsched.exe

Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell\open\command
Les clés suivantes sont crées dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
ArSwp.exe
ashAvast.exe
ashDisp.exe
ashMaiSv.exe
ashServ.exe
ashWebSv.exe
aswUpdSv.exe
autoruns.exe
avcenter.exe
avgamsvr.exe
avgas.exe
avgcc.exe
avgemc.exe
avgnt.exe
avguard.exe
avgupsvc.exe
avgw.exe
AvMonitor.exe
bdmcon.exe
bdnagent.exe
bdoesrv.exe
bdss.exe
bdswitch.exe
ccApp.exe
ccEvtMgr.exe
ccSetMgr.exe
ccSvcHst.exe
cureit.exe
DefWatch.exe
ewido.exe
fch32.exe
FileDsty.exe
fsbwsys.exe
FSGK32.EXE
fsgk32st.exe
FSM32.EXE
FTCleanerShell.exe
guard.exe
HijackThis.exe
IceSword.exe
iparmo.exe
isPwdSvc.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KAVsvc.exe
KAVsvcUI.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
mcconsol.exe
Mcshield.exe
mmqczj.exe
mmsk.exe
MPStart.exe
NAVSetup.exe
nod32.exe
nod32krn.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0x00000000

אזהרה

הווירוס עלול לגנוב פרטי גישה וסיסמאות כמו גם פרטי כרטיס אשראי מהמערכת.

התקן להסרת Patty.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Kxvo.exe (Kxvo.exe,fool0.dll,fool1.dll,ieso0.dll

2008-04-16T22:07:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Downloader
nfostealer.Gampass
Trojan.Lineage.Gen!Pac.3
Trojan.Onlinegames.Gen!Pac.73
PWS-OnlineGames.ah
New Malware.hw
PWS-OnlineGames.a
PWS-Mmorpg.gen
WORM_ONLINEG.OXB
TSPY_ONLINEG.BVZ
TSPY_ONLINEGA.YS
WORM_LEGMIR.DQ
WORM_AUTORUN.ACG
Cryp_Yayay
TSPY_ONLINEG.WX

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\fool0.dll
System>\fool1.dll
System>\ieso0.dll
System>\kxvo.exe

הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.

57heb9v5.dll
58b95y4o.dll
63j8zs.sys
757yropw.dll
7uw44.dll
8lm5ns.dll
9e7ktl.dll
an.dll
cd.dll
dwyq.dll
e.dll
ee.dll
kdk.dll
lh4yhy4.dll
nn.dll
omq.dll
p8rjys.dll
q8xvk.dll
t.dll
vak94lt9.dll
vd.dll
wjlg44s8.dll
wmyz.dll
ybndb.dll
z7.dll

הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת

Autorun.inf
3g.com
6krxwx.cmd
800dost.com
b.bat
es.exe
fg8m.exe
g2lbn.cmd
hbq.exe
kso6.bat
l2quk.exe
lg.com
lpufwi6.com
lqxo8w.cmd
nej30aw.exe
ojbss9gv.com
uulaqvl.cmd
vuts0e.cmd
vuts0e.cmd
w00g.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
kxva = \kavo.exe
De cette manière, le fichier kavo.exe est lancé à chaque démarrage du système

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}

And the values

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID]
(Default) = "IEHlprObj.IEHlprObj"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID]
(Default) = "IEHlprObj.IEHlprObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\InprocServer32]
(Default) = "%System%\ieso0.dll"
ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
(Default) = "IEHlprObj Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer]
(Default) = "IEHlprObj.IEHlprObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
(Default) = "IEHlprObj Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID]
(Default) = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
(Default) = "IEHlprObj Class"

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Kxvo.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת Kavo.exe

2008-04-16T11:26:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Cryp_Yayay
Generic.dx
Infostealer.Gampass
New Malware.hw
PWS-Gamania
PWS-LegMir.gen.k
PWS-Mmorpg.gen
PWS-OnlineGames.a
TROJ_LINEAGE.KB
TROJ_NSANTI.MY
TROJ_POLYCRYP.AJ
Trojan Horse
Trojan.Lineage.Gen!Pac.3
Trojan.PWS.OnLineGames.BDG
Trojan-PSW.Win32.OnLineGames.aes
TSPY_ONLINEG.HOQ
TSPY_ONLINEG.HOW
TSPY_ONLINEG.HQO
TSPY_ONLINEG.OXO
TSPY_ONLINEG.SMB
TSPY_ONLINEG.ULD
TSPY_ONLINEG.UNT
TSPY_ONLINEGA.DF
TSPY_ONLINEGA.DZ
WORM_AUTORUN.ANE
WORM_ONLINEG.BKE
WORM_ONLINEG.CX
WORM_ONLINEG.GK

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\kavo.exe
System>\kavo0.dll
System>\kavo1.dll

הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.

g4.dll
avxah8.dll
y.dll
ig4au94g.dll
iilov9vn.dll
ad.dll
7z.dll
or.dll
kykvfp.dll
88b4ibhq.dll
ee2m.dll
ecoimwht.dll
o8n4e8g9.dll
48d.dll
ufe7kt.dll
xx.dll

הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת

Autorun.inf
o.exe
nxvhpc.exe
ff1q0gw.bat
i8.com
e6ieg.exe
6qe.com
cfv90h.com
ab.cmd
k2.cmd
h2.com
u.exe
fufb6tq3.cmd
ekf6dbg0.com
h2.com
rtnlpipu.com
1i.com
c18vk.exe
ntphyy.com

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
kava = \kavo.exe
De cette manière, le fichier kavo.exe est lancé à chaque démarrage du système
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0x00000000

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Kavo.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (VirtuMonde (VirtuMondo, Vundo, TROJ_VUNDO, TROJ_MEREDROP,DL.Small.ADIB

2008-04-16T11:22:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Vundo
Generic Downloader.s
Trojan.Vundo
Downloader
TROJ_DROPPER.KOZ
TROJ_MEREDROP.DY
TROJ_VUNDO
TROJ_DLOADER.LIJ
Trojan.DL.Small.ADIB

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\awturom.dll
System>\cbxyxxu.dll
System>\ljJDSIaY.dll
System>\serial.exe
System>\ljJDSIaY.dll
System>\hgggdda.dll
System>\cbxwvsq.dll
System>\mljhebb.dll
System>\readme.bat
System>\serial.exe
System>\jkkljjj.dll
System>\install.exe
System>\opnnopn.dll
System>\RUNME.bat
System>\winwim32.dll
System>\efcabaa.dll
System>\cbxwvsq.dll
System>\yayvsqn.dll
System>\fccyaya.dll
System>\2231.bat
System>\awtrRLBt.dll
System>\ljJYOhGv.dll
System>\MSINET.oca
System>\readme.bat
System>\crack.exe
System>\serial.exe
System>\keygen.exe
System>\jkkljjj.dll
System>\patch.exe
System>\install.exe
System>\vturr.dll
System>\yayyaaw.dll
System>\pmtqkmd.dll
System>\hgggdda.dll
System>\nnnljih.dll
System>\nnnllih.dll
System>\iifefec.dll
System>\jkklj.dll
System>\pmnmjhe.dll
Temp>*.bat

הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת

autorun.inf
svchost.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ficher (où fichier est le nom du fichier dll sans l'extension)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861

Creates values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}\InprocServer32]
(Default) = "%System%\awturom.dll"
ThreadingModel = "Both"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]
Time = 90 97 C9 1F 83 51 C8 01 00 00 00 00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{0B52C7EC-D1A3-4054-923C-DD12567F28B1} = ""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awturom]
Asynchronous = 0x00000001
DllName = "fichier.dll"
Où fichier.dll est l'un des fichiers cités plus haut, de cette manière, fichier.dll est associé à Winlogon et démarre avec Windows.
Impersonate = 0x00000000
Logon = "o"
Logoff = "f"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]
(Default) = "A1D522CFF6884ACC9AB61DE9E145D52B&"
[HKEY_CURRENT_USER\Software\Microsoft\Installer]
(Default) = 38 4E 24 20 83 51 C8 01

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR]
cmd = ""
version = "66"
nextupdate = 0x4782B328
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
runner1 = "%Windir%\fichier.exe "

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת VirtuMonde
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Sohanad fix (SCVVHSOT.exe, svchost.exe, W32.Imaut.A, TROJ_AUTORUN.AH, Worm.Sohanad

2008-04-16T11:18:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Worm.Sohanad.U
WORM_SOHANAD.DS
W32.Imaut.A
W32/YahLover.worm
IM-Worm.Win32.Sohanad.as
TROJ_AUTORUN.AHP

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\SCVVHSOT.exe
Windows>\SCVVHSOT.exe
System>\autorun.ini

הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת

autorun.inf
SCVVHSOT.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NofolderOptions
0x00000001

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
0x00000001

DisableRegistryTools
0x00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Yahoo Messengger
%System%\SCVVHSOT.exe

Change the value

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
SCVVHSOT.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Sohanad
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (SdBot fix (ctfmonn.exe, Backdoor.SdBot, Sdbot.worm.gen.a

2008-04-16T11:13:00.000-07:00

מידע על הווירוס

ידוע גם כ:

Backdoor.SdBot
Backdoor.Win32.SdBot.arn
W32.Spybot.Worm
W32/Sdbot.worm.gen.ax

זהו סוס טרויאני המאפשר שליטה על המחשב באמצעות IRC

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית חלונות:

Windows>\ctfmonn.exe

הווירוס יחדיר את הקבצים הבאים אל תקיית המערכת.

autorun.inf
ctfmonn.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control
HKEY_LOCAL_MACHINE\SOFTWARE\ProductName
HKEY_LOCAL_MACHINE\SOFTWARE\ProductName\ProductID
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control

Created values:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control
*NewlyCreated* = 0x00000000
ActiveService = "NETWORK SERVICE"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE\0000
Service = "NETWORK SERVICE"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "NETWORK SERVICE"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_SERVICE
NextInstance = 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Enum
0 = "Root\LEGACY_NETWORK_SERVICE\0000"
Count = 0x00000001
NextInstance = 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETWORK SERVICE
Type = 0x00000110
Start = 0x00000002
ErrorControl = 0x00000000
ImagePath = "\ctfmonn.exe"
DisplayName = "NETWORK SERVICE"
ObjectName = "LocalSystem"
FailureActions = 0A 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 B8 0B 00 00
Description = "NETWORK SERVICE"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000\Control
*NewlyCreated* = 0x00000000
ActiveService = "NETWORK SERVICE"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE\0000
Service = "NETWORK SERVICE"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "NETWORK SERVICE"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_SERVICE
NextInstance = 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Enum
0 = "Root\LEGACY_NETWORK_SERVICE\0000"
Count = 0x00000001
NextInstance = 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETWORK SERVICE
Type = 0x00000110
Start = 0x00000002
ErrorControl = 0x00000000
ImagePath = \ctfmonn.exe"
DisplayName = "NETWORK SERVICE"
ObjectName = "LocalSystem"
FailureActions = 0A 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 B8 0B 00 00
Description = "NETWORK SERVICE"

Changed values:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = 0x00000001
FirewallOverride = 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths
Directory = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1
CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2
CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3
CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4
CachePath = "%user%\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
WaitToKillServiceTimeout = "7000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
restrictanonymous = 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent
(Default) = 0x00000015
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
WaitToKillServiceTimeout = "7000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent
(Default) = 0x00000015
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Cookies = "%user%\LocalService\Cookies"
Cache = "%user%\LocalService\Local Settings\Temporary Internet Files"
History = "%user%\LocalService\Local Settings\History"

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת SdBot
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Bagle (mdelk.exe, wintems.exe, flec006.exe

2008-04-16T11:05:00.000-07:00

מידע על הווירוס

ידוע גם כ:

W32/Bagle.gen
PWS-Bluedit
Generic.dx
TROJ_BAGLE.OU
TROJ_BAGLE.AO
WORM_BAGLE.KO
Trojan.DL.VB.ACWT.Gen
Worm.Bagle.RR
Email-Worm.Bagle!sd5
Email-Worm.Win32.Bagle.jo
Trojan.Lodeight.C

ברוב המקרים הווירוס ימנע מתוכנת האנטיווירוס המותקנת במחשב מלפעול, יבטל את ה-Firewall ועוד מגוון שירותי מערכת ויהפוך את קבצי המערכת לזמינים לכל דורש ברשת.

הווירוס מועבר באמצעות הרשת.

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\mdelk.exe
System>\wintems.exe
System>\IExplorer.dll .dbt
System>\ansi.exe

הווירוס יחדיר את הקובץ הבא אל תיקיית חלונות:

Windows>\fghrtuyjfghr.exe

הווירוס יצור את הקובץ והתיקייה:

AppData>\m\flec006.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
mule_st_key
\m\flec006.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
IESet
IExplorer.dll .dbt
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
IESet
IExplorer.dll .dbt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
IESet
IExplorer.dll .dbt

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command
(Default) = fghrtuyjfghr.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
(Default) = fghrtuyjfghr.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
(Default) = fghrtuyjfghr.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
(Default) = fghrtuyjfghr.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt
(Default) = DBTFILE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command
(Default) = fghrtuyjfghr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IESet = IExplorer.dll .dbt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA
0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc
EnableLUA
0x00000016
HKEY_CURRENT_USER\Software\FirstRRRun
First12Ru123n
0x00000001
HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg

ומוחק את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command
(Default)
\System32\NOTEPAD.EXE %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
(Default)
\NOTEPAD.EXE %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
(Default)
\NOTEPAD.EXE %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
(Default)
\NOTEPAD.EXE %1

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Bagle
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (KillGodzilla (KillGodzilla.vbs

2008-04-16T10:59:00.000-07:00

מידע על הווירוס

הווירוס לא עושה שום דבר מיוחד

קבצים

הווירוס יחדיר את הקובץ הבא אל תיקיית חלונות:

Windows>killgodzilla.vbs

הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת:

Root>killgodzilla.vbs
Root>autorun.inf

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
KILLMS32DLL
\killgodzilla.vbs

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת killgodzilla
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת Amvo.exe

2008-04-09T05:46:00.000-07:00

מידע על הווירוס

Amvo.exe הינו ווירוס המועבר באמצעות גישה למחיצות במערכת ומדיה ניידת.
הווירוס יוצר מספר קבצים המשוחזרים באופן אוטומאטי לאחר הסרתם.

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

\amvo.exe
\amvo0.dll
\amvo1.dll

הווירוס יחדיר את הקבצים הבאים אל תקיית ה-Temp.

fq9.dll
help.exe
2nux4.dll
5.dll
92izu.dll
dykvagp.dll
e.dll
e7sf4.dll
ezk.dll
fqlq.dll
pelqe.dll
vupin8b.dll
w4enx.dll
zmcc.dll
k2fvpt.dll
e7sf4.dll
fgshabuifhdvmis32.exe
RarSFX0\32.exe
2m9mdmy.dll
w2e.sys

הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת

Autorun.inf
3o.exe
y82td3td.com
i.cmd
fppg1.exe
ekugb3.bat

Registry

הווירוס יוצר את הערכים הבאים:

[
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
amva
\amvo.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32

Creates value
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32
(Defaul) = \HELP\F3C74E3FA248.dll
ThreadingModel = Apartment

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}
(Default) = SSUUDL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{1DBD6574-D6D0-4782-94C3-69619E719765} = ""

]

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Amvo.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Zlob.gen (sbsm.exe,sbmdl.dll,4E17C240.EXE,3C7780C0.DLL,3C7780C0.DLL

2008-04-06T07:32:00.000-07:00

מידע על הווירוס

זוהי תולעת המנסה לתקשר עם אחת מהכתובות הבאות: http://nx.51ylb.cn/soft, securitypills.com, http://33.xingaide8.cn, gateow.com, www.gatecb.com ומנסה להוריד מהן קבצים אל המערכת המותקפת.

"מוטציות":

Trojan.DL.Zlob.Gen.34
Trojan-Downloader.Zlob.GEN
Trojan.DL.Zlob.Gen!Pac.45
New Poly Win32
New Malware.aj
Puper
TROJ_ZLOB.TH
WORM_NUCRYPT.GEN

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\sbsm.exe
System>\sbmdl.dll
System>\4E17C240.EXE
System>\3C7780C0.DLL
System>\del.bat
System>\scm.exe
Partition>:\auto.exe
Partition>:\autorun.inf

Process in memory

sbsm.exe
sbmdl.dll
4E17C240.EXE
scm.exe

Services

ERSvc (Error Reporting Service)
F188AD40 (F188AD40)

Registry

הווירוס יוצר את הערכים הבאים:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}]

MenuText = IE Anti-Spyware
Exec = http://www.iefixgate.com/redirect.php
CLSID = "{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}\InprocServer32]

(Default) = \sbmdl.dll
ThreadingModel = Apartment

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}]

xxx = xxx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}]

(Default) = ""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]

{9034A523-D068-4BE8-A284-9DF278BE776E} = 0x00002001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}]

DisplayName = "Search"
URL = "http://www.searchinggate.com/index.php?b=1&t=0&q={searchTerms}"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

DefaultScope = "{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
start = [directory name.exe]

אזהרה

תולעת זו עשויה לבקש מכם להוריד "תוכנה להסרת רוגלה", לעולם אל תסכימו להתקנת תוכנה שלא ביקשתם!

התקן להסרת Zlob.GEN
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (W32.SillyDC (RBOT-AKB,WinUp.exe,Worm.Win32.Mefir.a

2008-04-06T07:28:00.000-07:00

מידע על הווירוס

זוהי תולעת המנסה להפיץ את עצמה ברחבי הרשת.

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\memsys.dll
System>\winup.exe
System>\xtemp1.exe
System>\xtemp2.exe

Registry

הווירוס יוצר את הערכים הבאים:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{990B770D-62AE-5421-DA6D-16033B76258C}

Default = sys info
stubpath = \winup.exe

אזהרה

לעולם לא להוריד קבצים מהכתובת: http://www.faxmodel.com/down

התקן להסרת WinUp
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (TratBHO (msgnms.exe

2008-04-06T07:21:00.000-07:00

מידע על הווירוס

זהו סוס טרוייאני מזיק ביותר המהווה סיכון למערכת ולרשת בה המערכת ממוקמת.

מתחבר אל: pool.hybridtx.com
פורט: 1750

קבצים

הווירוס יוצר את הקבצים הבאים בתיקיית המערכת:

System>\msgnms.exe
Temp>\wjsfldwg.exe
Temp>\cymqdwmk.exe
System>\ssttr.dl
System>\lmllji.dll
System>\ssttr.dll
System>\vtstq.dll
System>\nexdxndep.exe
System>\vtutq.dll
System>\vtsts.dll
System>\jkkji.dll
System>\tuvtqpq.dll
System>\moywh.dlll

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Live
msgnms.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nexdxndep
nexdxndep.exe

אזהרה

הווירוס מסוגל לתקשר גם עם שרתי IRC.

התקן להסרת TratBHO
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (KillVBS Remover (KillVBS.vbs

2008-04-06T07:14:00.000-07:00

מידע על הווירוס

ווירוס זה מועבר על ידי מדיה ניידת.

הווירוס מופעל בכל ניסיון גישה למדיה ניידת.

קבצים

הווירוס יוצר שני קבצים בכל מחיצה במערכת:

autorun.inf
KillVBS.vbs

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>KillVBS.vbs
System>WScript.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MS32DLL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
\wscript.exe \killVBS.vbs

Userinit
\wscript.exe \killVBS.vbs
The right value is \userinit.exe,

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Window Title
" "
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page
" "

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת KillVBS
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (Safyway.blogspot (VirusRemoval.vbs

2008-04-06T06:55:00.000-07:00

מידע על הווירוס

safeway.blogspot הינו סוס טרוייאני המתחבר אל הרשת ברגע שהוא פעיל במערכת ומנסה להפעיל אתרים ברשת.

ווירוס זה משבש את פעילות ה- Task Manager ו Windows Registry.

קבצים

הווירוס יוצר שני קבצים בכל מחיצה ניידת:

autorun.inf
VirusRemoval.vbs

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\VirusRemoval.vbs
System>\wscript.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
VirusRemoval.vbs

Software\Microsoft\Internet Explorer\Main

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page
http://www.safyway.blogspot.com/

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן USB, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד. יש לחבר את כל כונני ה USB שברשותכם במהלך הרצת התקן ההסרה על מנת להסיר את הווירוס גם מהם.

התקן להסרת Safyway.blogspot
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (Win32/RungBu (RungBu.exe

2008-04-06T06:50:00.000-07:00

מידע על הווירוס

אינו זמין.

קבצים

C:\Recycled\spoolsv.exe
C:\Recycled\svchost.exe

C:\Recycled\ctfmon.exe
C:\Recycled\smss.exe

Temp>\Flu Burung.txt

Program Files>\Microsoft Office\Office\docicon.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "C:\recycled\SVCHOST.exe"
The real value is
Explorer.exe "C:\Windows\explorer.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
C:\Recycled\SVCHOST.exe
Should be
C:\Windows\userinit.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
UncheckedValue
1

הווירוס יוצר את הערכים הבאים על מנת להסתיר קבצים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden
0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
UncheckedValue
0

HKCR\scrfile
(default)
Microsoft Word Document

HKCR\Word.Document.8\DefaultIcon
(default)
\Microsoft Office\Office\docicon.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת התקן להסרת Win32/RungBu
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (Win32.RJump (AdobeR.exe

2008-04-06T06:41:00.000-07:00

מידע על הווירוס

ווירוס זה פותח פורט (נקודת גישה אל המחשב מהרשת), מאשר את ההשתלטות על המחשב וממתין להוראות. ה-Firewall של Windows אינו עוזר נגד ווירוס זה.

ווירוס ה-Win32.RJump מועבר על ידי מדיה ניידת ומחדיר מספר קבצים אשר משוחזרים מיידית עם הסרתם.

קבצים

קבצים נוספים המזוהים עם הווירוס: RavMon.exe ou RavMonE.exe

הווירוס מחדיר את הקובץ הבא אל תיקיית Windows:

Windows>\AdobeR.exe

הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת:

Autorun.inf
AdobeR.exe
or RavMon.exe
or RavMonE.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
RavAv
\AdobeR.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת AdobeR
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (טרויאני) (Autorun AV (amvo.exe,xadeiect.com

2008-04-06T06:34:00.000-07:00

מידע על הווירוס

ווירוס זה מועבר על ידי גישה למחיצות במערכת ובמדיה ניידת.

הווירוס יוצר מספר קבצים אשר משוחזרים מיידית לאחר המחיקה בכל המחיצות במערכת.

קבצים

הווירוס מחדיר שני קבצים אל תיקיית מערכת:

System>\amvo.exe
System>\amvo0.dll

הווירוס יחדיר את הקבצים הבאים אל תיקיית ה-Temp:

Temp>\fq9.dll
Temp>\w2e.sys

בנוסף, הווירוס יחדיר את הקבצים הבאים אל כל מדיה ניידת:

Autorun.inf
xn1i9x.com

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
amva
\amvo.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Autorun-AV
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (W32/wuauc1t (wuauc1t.exe, win6.pif

2008-04-06T06:28:00.000-07:00

מידע על הווירוס

אינו זמין.

קבצים

הווירוס יוצר שני קבצים בכל מחיצה במערכת:

Windows\system32\wuauc1t.ex

הווירוס יחדיר את הקבצים הבאים אל כל מדיה ניידת:

WinX.pif כאשר X הינו ממספר בין 1 ל 9 (לדוגמא: Win3.pif, Win6.pif)
autorun.inf

Registry

הווירוס יוצר את הערכים הבאים:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
wuauc1t.exe
"C:\Windows\system32\wuauc1t.exe"

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Wuauc1t
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (טרויאני) (Autorun XA (amvo, xn1i9x.com

2008-04-06T06:19:00.000-07:00

מידע על הווירוס

ווירוס זה מועבר על ידי גישה למחיצות במערכת ובמדיה ניידת.

הווירוס יוצר מספר קבצים אשר משוחזרים מיידית לאחר המחיקה בכל המחיצות במערכת.

ווירוס זה גונב סיסמאות גישה לאתרי אינטרנט!

קבצים

הווירוס יוצר שני קבצים בכל מחיצה במערכת:

autorun.inf
XAdeIect.com

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

\kavo.exe
\kavo0.dll

בנוסף, קובץ אחד יוחדר אל תיקיית ה-Temp:

Temp>\nfrbg.dl

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Kava
\Kavo.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Autorun-XA
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (טרויאני) (Autorun-G (kavo.exe, ntdeLect.com

2008-04-06T06:02:00.000-07:00

מידע על הווירוס

קבצים

הווירוס יוצר שני קבצים בכל מחיצה במערכת:

autorun.inf
ntdelect.com

הווירוס יריץ את קובץ ה-ntdelect.com בכל ניסיון גישה למחיצה ויגרום להחדרת הקבצים הבאים אל תיקיית המערכת:

System>\kavo.exe
System>\kavo0.exe
System>\kavo0.dll
System>\kavo1.exe

בנוסף, שני קבצים יוחדרו אל תיקיית ה-Temp:

\b88d9jce.sys
\zjtxwj.dl

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
kava
\kavo.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Autorun-G
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (taipingtianguov et MisVH55 (taipingtianguov1.1.exe, MisVH55.exe

2008-04-06T05:53:00.000-07:00

מידע על הווירוס

אינו זמין.

קבצים

הווירוס יוצר שלושה קבצים בכל מדיה ניידת:

MisVh55.exe
taipingtianguov1.1.exe
Autorun.inf

הווירוס יוצר שלושה קבצים בסיפריית Windows:

taipingtianguov1.1.exe
taipingtime.txt
taipingtime_flag.txt

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
aa
\taipingtianguov1.1.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Taipingtianguov and MisVH55
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (hello BO2K (ne0kS.exe, Sex City.jpg.wsf

2008-04-06T05:48:00.000-07:00

מידע על הווירוס

ווירוס זה מציג הודעה בכל הפעלה של מערכת Windows.

הווירוס מועבר במדיה ניידת.

קבצים

הווירוס יוצר שלושה קבצים:

System>\ne0kS.dll.wsf
System>\ne0kS.exe
Windows>\MS32DLL.dll.vbs

ושלושה קבצים נוספים בכל מחיצה במערכת

Root>\ne0kS.exe
Root>\Sex City.jpg.wsf
Root>\Autorun.inf

Registry

הווירוס יוצר את הערכים הבאים:

HKLM\..\Run: [System12] C:\WINDOWS\system32\ne0kS.exe
HKLM\..\Run: [System64] C:\WINDOWS\system32\ne0kS.dll.wsf

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Hello BO2k
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (@bldk (@bldk

2008-04-04T11:49:00.000-07:00

מידע על הווירוס

ווירוס זה טוען עמוד אינטרנט מסויים עם כל הפעלה של Windows.

הווירוס מועבר ברשת ובמדיה ניידת.

קבצים

הווירוס יוצר ארבעה קבצים:

\Application Data\svchost.exe
\Sexy Girls.scr
\inf\smss.exe
\@bldk@.htm

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoRun
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
1
cmd.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
2
mmc.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
3
rstrui.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
4
regedit.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
5
regedt32.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת (@bldk (@bldk
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (Autorun-C (avpo.exe, ntde1ect.com

2008-04-04T11:38:00.000-07:00

מידע על הווירוס

ווירוס זה מועבר באמצעות מדיה ניידת וגישה למחיצות במחשב. הוא מעתיק שני קבצים אל כל מחיצה במערכת, אשר חוזרים למקומם מספר שניות לאחר ההסרה.

קבצים

הווירוס מחדיר שלושה קבצים אל ספריית System:

System>\avpo.exe
System>\avpo0.dll
System>\avpo1.exe

הווירוס מאחסן שני קבצים בתיקית Temp:

Temp>\b88d9jce.sys
Temp>\zjtxwj.dll

הווירוס מעתיק שני קבצים לכל מחיצה במערכת:

Autorun.inf
ntde1ect.com

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
avpa
\avpo.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת (Autorun-C (avpo.exe, ntde1ect.com
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (Raila Odinga (Raila Odinga.exe

2008-04-04T11:22:00.000-07:00

מידע על הווירוס

זהו ווירוס שנוצר לכאורה על ידי האקרים התומכים במועמדותו (לשעבר) לנשיאות קניה של ראילה אודינגה. הווירוס הופיע בתחילת שנת 2007.

הווירוס גורם להופעת תמונותו של אודינגה בכל פעם שהמחשב מודלק. הווירוס הינו בלתי מזיק יחסית, בניגוד לווירוסים אחרים הוא אינו מתנהג כ"סרטן" של המחשב ואינו מתפתח בהדרגה עד ל"חנק" של משאבי המחשב ללא ידיעת המשתמש.

הווירוס מועבר באמצעות מדיה ניידת.

קבצים

הווירוס יוצר קובץ על שולחן העבודה:

Raila Odinga.gif

הווירוס יוצר קובץ בשם System.dll ומעתיק אותו אל:
F

Documents and Settings\%user%\Local Settings\Temp\nsf5.tmp\System.dll
Documents and Settings\%user%\Local Settings\Temp\nsv3.tmp\System.dll

הווירוס מעתיק שלושה קבצים אל כל מדיה ניידת:

Rail Odinga.exe
Raila Odinga.gif
Autorun.inf

הווירוס יוצר קישור בתפריט האתחול:

Raila Odinga.lnk

Registry

הווירוס יוצר את הערכים הבאים:

HKLM\Software\Microsoft\Windows\Current Version\Run\
Raila Odinga
\system32\drivers\Raila Odinga.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת (Raila Odinga (Raila Odinga.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

התקן להסרת (Chickie (chiCkie.exe

2008-04-04T10:39:00.000-07:00

מידע על הווירוס

זהו התקן להסרת הווירוס chiCkie.
מדובר בתולעת (Worm) המתקיפה מערכות Windows שהופיעה לראשונה בתחילת שנת 2007.

הסימפטומים העיקריים של פעולת התולעת הינם חוסר זמינות של אפשרויות ה"הפעלה" ו"חיפוש" בתפריט התחל בWindows, כמו גם חוסר זמינותם בניסיון להפעילם באמצעות מקשי הקישור (F3 ו Ctrl+R), כמו כן, התולעת מבטלת את אפשרות השיחזור בWindows.

התולעת מונעת גם את הפעלתן של תוכנות ניהוליות שונות במערכת כגון task manager, msconfig, cmd, regedit ועוד...

כמו כן התולעת מחדיר אל ה-registry את הערך: "I just want to say I love Milko and I need a drink"

התולעת מועברת באמצעות מדיה ניידת.

קבצים

התולעת יוצרת קובץ בסיפריית Windows:

Windows\chiCkie.exe

התולעת יוצרת שלושה קבצים בכל מדיה ניידת:
F

1_Saves.exe
1_Saves_Fichiers.exe
Administrateur_Fichiers.exe

Registry

התולעת יוצרת את הערכים הבאים:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
chiCkie
\chiCkie.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
I just want to say I love Milko and I need a drink
\svchost.exe

אזהרה

התולעת מריצה את הקוד הזדוני בכל פעם שאתם ניגשים לכונן USB, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.
יש לחבר את כל כונני ה USB בזמן הרצת ההתקן על מנת להסיר את התולעת מהם.

התקן להסרת (Chickie (chiCkie.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים עכשיו!

אנטי וויראלי - איך מורידים ווירוס עקשן כשהאנטי ווירוס לא מצליח?

2008-04-03T21:54:00.000-07:00

אנטי וויראלי - המדריך להסרת ווירוסים - אלו שתוכנות האנטי ווירוס לא מצליחות להוריד

היעלמות של תפריטים שונים במערכת (הפעלה, חיפוש, אפשרויות תיקייה...)
הגבלת היכולת להריץ תוכנה מסויימת (regedit, task manager, cmd...)
הגבלת הגישה אל משאבי מערכת שונים (רשת, מדפסות, יציאות USB, אינטרנט...)