אנטי וויראלי - המדריך להסרת ווירוסים עקשנים: 2008

יום שלישי, 7 באוקטובר 2008

אנטי וויראלי - איך מורידים ווירוס עקשן כשהאנטי ווירוס לא מצליח?

אנטי וויראלי - המדריך להסרת ווירוסים - אלו שתוכנות האנטי ווירוס לא מצליחות להוריד

אנטי-ווירוס הינו כלי נהדר המשרת את מטרתו ברוב המקרים - אבל מה לעשות? אין אנטי ווירוס שניתן לסמוך עליו בכל מאת האחוזים.

מטרתינו היא למלא את אותו מרווח בו האנטי-ווירוס שלכם אינו יכול לספק את התוצאות המבוקשות, על ידי פיתוח התקנים (Patch) שונים לאיתור חיסול והסרת ווירוסים וסוסים טרויאנים אשר אינם מזוהים, או אינם ניתנים לתיקון והסרה על ידי תוכנות האנטי ווירוס השונות.

בנוסף, במקרים רבים בהם האנטי-ווירוס מסוגל לזהות ולהסיר ווירוסים וסוסים טרויאנים מן המערכת - אין ביכולתו לבצע שחזור של הנזק שנגרם על ידים במהלך פעולתם. ההתקנים שתמצאו כאן בנויים בצורה כזו שהם מסוגלים לשחזר את הנזקים השונים הנגרמים למערכת על ידי הווירוסים והסוסים הטרויאנים באופן חלקי או מלא.

נזקים נפוצים הנגרמים על ידי ווירוסים וטרויאנים שונים ושאינם מתוקנים על ידי האנטי-ווירוס:

היעלמות של תפריטים שונים במערכת (הפעלה, חיפוש, אפשרויות תיקייה...)
הגבלת היכולת להריץ תוכנה מסויימת (regedit, task manager, cmd...)
הגבלת הגישה אל משאבי מערכת שונים (רשת, מדפסות, יציאות USB, אינטרנט...)

זיכרו, העובדה כי תוכנות האנטי-ווירוס השונות אינן חינמיות (כלומר עולות כסף) אינה הופכת אותן לטובות או מוצלחות יותר. בהבה מקרים, אלו הכלים החינמיים שעושים את העבודה טוב יותר :-)

התקן להסרת cradle_of_filth.vbe

מידע על הווירוס

ווירוס מוזר משהו שמונע ומגביל את פעילותן של תוכנות שונות במערכת ואת הגישה לתפריטים. הווירוס מופץ דרך מדיה ניידת. הווירוס יוצר קבצי הפעלה על המדיה הניידת ומשחזר אותם אוטומאטית במקרה של מחיקה.

קבצים

הווירוס יחדיר את הקבצים הבאים התיקיה הראשית במדיה הניידת:

autorun.inf
cradle_of_filth.vbe

הווירוס ישתיל את הקובץ הבא בתיקיית המערכת:

\cradle_of_filth.vbe

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue
HKLM\Software\Microsoft\Command Processor\AutoRun
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe
Must be
C:\Windows\userinit.exe,

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת cradle_of_filth.vbe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת הווירוס cftmonn.exe

מידע על הווירוס

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

\cftmonn.exe
autorun.inf
ctfmonn.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKLM\Software\Microsoft\Windows\Current\Version\Run

cftmonn= \cftmonn.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת cftmonn.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת softhomepage.com (sbsm.exe, sbsm.dll)

מידע על הווירוס

מוריד קבצים באופן אוטומאטי מהאינטרנט
יוצר ערך ב-register שטוען אותו באופן אוטומאטי
משתלב בתוך פעילות הדפדפן IE
רץ קשירות מערכת
קובע את softhomepage.com כדף הבית בדפדפן ומתחבר אליו דרך פורט 80

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

\sbmdl.dll
\sbsm.dll

Registry

הווירוס יוצר את הערכים הבאים:

Keys created :

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}

Values created :

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32]

(Default) = "%System%\sbmdl.dll"
ThreadingModel = "Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}]

xxx = "xxx"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}]

MenuText = "IE Anti-Spyware"
Exec = "http://www.gateietool.com/redirect.php"
CLSID = "{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]

(Default) = ""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

start = "nom crée aléatoirement "

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]

{9034A523-D068-4BE8-A284-9DF278BE776E} = 0x00002001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}]

DisplayName = "Search"
URL = "http://www.searchagate.com/index.php?b=1&t=0&q={searchTerms}"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

DefaultScope = "{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}"

Values created

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]

NextId = 0x00002002

אזהרה

גם בהסרה של הווירוס דרך תוכנת האנטי ווירוס, פעילות הדפדפן לא תתוקן והגדרותיו לא ישוחזרו, לשם כך מומלץ להשתמש בהתקן המסופק

התקן להסרת Softhomepage.com
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

יום רביעי, 16 באפריל 2008

התקן להסרת (Virtual Made (Virtual Maid.dll, http://www.searchmaid.com

מידע על הווירוס

ידוע גם כ:

Adware.Virtual_Maid
not-a-virus:AdWare.Win32.MaidBar.d
Adware.SearchMaid

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

System>\perfcii.ini
Program Files >\Virtual Maid\1.bmp
Program Files >\Virtual Maid\2.bmp
Program Files >\Virtual Maid\logo.bmp
Program Files >\Virtual Maid\uninstall.bat
Program Files >\Virtual Maid\Virtual Maid.dll
Program Files >\Virtual Maid\Virtual Maid.xml

Registry

הווירוס יוצר את הערכים הבאים:

Keys created

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0\win32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\FLAGS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual Maid
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&RSDN Search
HKEY_CURRENT_USER\Software\Virtual Maid
HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid
HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historyfiles
HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historys1

Values created

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\VersionIndependentProgID]
- (Default) = "VM.VMObj"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\TypeLib]
- (Default) = "{42C7653A-5834-45a1-899A-ED0DFA370D21}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\ProgID]
- (Default) = "VM.VMObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}\InprocServer32]
- (Default) ="C:\PROGRAM FILES\VIRTUAL MAID\VIRTUAL MAID.DLL"
- ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}]
- (Default) = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\VersionIndependentProgID]
- (Default) = "GoVM.ContextItem"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\TypeLib]
- (Default) = "{48DA6120-A779-4c12-8584-47B625EFB469}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\ProgID]
- (Default) = "GoVM.ContextItem.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}\InprocServer32]
- (Default) = "C:\PROGRAM FILES\VIRTUAL MAID\VIRTUAL MAID.DLL"
- ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}]
- (Default) = "ContextItem Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\TypeLib]
- (Default) = "{42C7653A-5834-45A1-899A-ED0DFA370D21}"
- Version = "1.0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid32]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}\ProxyStubClsid]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{835BAA68-B5E5-47D5-A18D-2A4E0F5B72D5}]
- (Default) = "IContextItem"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\TypeLib]
- (Default) = "{42C7653A-5834-45A1-899A-ED0DFA370D21}"
- Version = "1.0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid32]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}\ProxyStubClsid]
- (Default) = "{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB2DDE8C-CBFF-491A-9825-87B8BB4CBFE0}]
- (Default) = "IVMObj"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\0\win32]
- (Default) = "%ProgramFiles%\Virtual Maid\Virtual Maid.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\HELPDIR]
- (Default) = "%ProgramFiles%\Virtual Maid\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0\FLAGS]
- (Default) = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42C7653A-5834-45A1-899A-ED0DFA370D21}\1.0]
- (Default) = "VM 1.0 Type Library"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CurVer]
- (Default) = "GoVM.ContextItem.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem\CLSID]
- (Default) = "{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem]
- (Default) = "ContextItem Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1\CLSID]
- (Default) = "{8B0B6F79-C50D-4ea6-8F65-BDF18005DE20}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoVM.ContextItem.1]
- (Default) = "ContextItem Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CurVer]
- (Default) = "VM.VMObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj\CLSID]
- (Default) = "{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj]
- (Default) = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1\CLSID]
- (Default) = "{77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VM.VMObj.1]
- (Default) = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
- Local Page = "http://www.searchmaid.com/"
- Search Bar = "http://searchmaid.com/bar/index.html"
- Use Search Asst = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
- {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} = "Virtual Maid"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
- guid = "AA8214E9-C7E6-4b66-A049-19AD20944CBF"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual MaidVirtual Maid]
- DisplayName = "Virtual Maid"
- UninstallString = ""%ProgramFiles%\Virtual Maid\uninstall.bat" "%ProgramFiles%\Virtual Maid""
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]
- (Default) = ""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
- Default_Page_URL = "http://www.searchmaid.com/"
- Search Bar = "http://searchmaid.com/bar/index.html"
- Use Search Asst = "http://www.searchmaid.com/search.php?qq=%s"
- Default_Search_URL = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
- (Default) = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
- {77B2F8DE-CB3F-4B6B-839B-807DD1ADBA1C} = DE F8 B2 77 3F CB 6B 4B 83 9B 80 7D D1 AD BA 1C
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&RSDN Search]
- (Default) = "res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm"
- Contexts = 0x00000030
[HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid\Historyfiles]
- C:\PROGRA~1\VIRTUA~1\Virtual Maid.xml = 0x00000001
- C:\PROGRA~1\VIRTUA~1\2.bmp = 0x00000001
- C:\PROGRA~1\VIRTUA~1\1.bmp = 0x00000001
[HKEY_CURRENT_USER\Software\Virtual Maid\Virtual Maid]
- gUpdate = "0"
- NID = ""
- toolbar_id = ""
- Virtual Maid.xml = "168967278"
- 2.bmp = "53294105"
- 1.bmp = "535982682"
- showcorrupted = "1"
- updateVer = ""
- scope = "-1"
- OpenNew = "0"
- AutoComplete = "1"
- KeepHistory = "1"
- RunSearchAutomatically = "1"
- RunSearchDragAutomatically = "1"
- DescriptiveText = "1"
- ShowHighlightButton = "1"
- MicrosoftWeb = "1"
- GoogleWeb = "1"
- ShowFindButtons = "1"
- (Default) = "1"
- UpdateBegin = "0"
- LastCheckTime = 0x469C649B

Values deleted

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
- Local Page = "%SystemRoot%\system32\blank.htm"
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]
- (Default) = "%SystemRoot%\media\Windows XP Menu Démarrer.wav"

Values changed

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
- Default_Page_URL = "http://www.searchmaid.com/"
- Default_Search_URL = "http://www.searchmaid.com/search.php?qq=%s"
- Search Page = "http://www.searchmaid.com/search.php?qq=%s"
- Start Page = "http://www.searchmaid.com/"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
- SearchAssistant = "http://www.searchmaid.com/search.php?qq=%s"
- CustomizeSearch = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
- Local Page = "http://www.searchmaid.com/"
- Start Page = "http://www.searchmaid.com/"
- Search Page = "http://www.searchmaid.com/search.php?qq=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
- {0E5CBF21-D15F-11D0-8301-00AA005B4383} = 21 BF 5C 0E 5F D1 D0 11 83 01 00 AA 00 5B 43 83 22 00 1C 00 08 00 00 00 06 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46 81 00 00 00 10 00 00 00 CE 10 18 3F 01 CE C6 01 58 61 AE 8
- ITBarLayout = 11 00 00 00 36 00 00 00 00 00 00 00 34 00 00 00 1F 00 01 00 56 00 00 00 01 00 00 00 20 07 00 00 A0 0F 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 A0 0F 00 00 04 00 00 00 21 01 00 00 A0 0F 00 00 03 00 00 00 20 03 00 00 00 00 00 0

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Virtual Made
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (VirusHeat (VirusHeat 4.3.exe, VirusHeat.exe

מידע על הווירוס

ידוע גם כ:

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

Desktop>\VirusHeat 4.3.lnk
Programs>\VirusHeat 4.3\Uninstall VirusHeat 4.3.lnk
Programs>\VirusHeat 4.3\VirusHeat 4.3 Website.lnk
Programs>\VirusHeat 4.3\VirusHeat 4.3.lnk
StartMenu>\VirusHeat 4.3.lnk
ProgramFiles>\VirusHeat 4.3\blacklist.txt
ProgramFiles>\VirusHeat 4.3\Lang\English.ini
ProgramFiles>\VirusHeat 4.3\msvcp71.dll
ProgramFiles>\VirusHeat 4.3\msvcr71.dll
ProgramFiles>\VirusHeat 4.3\uninst.exe
ProgramFiles>\VirusHeat 4.3\vht.dat
ProgramFiles>\VirusHeat 4.3\VirusHeat 4.3.exe
ProgramFiles>\VirusHeat 4.3\VirusHeat 4.3.url

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Licenses
HKEY_LOCAL_MACHINE\SOFTWARE\VirusHeat 4.3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\TypeLi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0\win32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\FLAGS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusHeat 4.3

Values created:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32]
(Default) = \wbem\wbemcons.dll
ThreadingModel = Both
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}]
(Default) = Microsoft WBEM Log File Event Consumer Provider
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{14E6D991-DB22-4661-981D-20C168D6847B}]
(Default) = ILog
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2242513C-F5E9-41B3-BC89-4D9DAF487450}]
(Default) = IThreatEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B489B37-FC1B-45C8-B1CE-78D9AEF5B336}]
(Default) = IQuarantineEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D6A6E24-FDFF-418E-A93D-9FBDCBA377AF}]
(Default) = IBackup
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E318E44-0C35-4292-AF91-18DD17795636}]
(Default) = ISearchItem
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{495349A3-3A35-465F-88DF-6CCFC1348246}]
(Default) = IThreat
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{575E8879-D6CF-4992-A7FE-651DA9277BCB}]
(Default) = IScannerEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76A15001-FF88-47EE-9E34-9F68E34246AF}]
(Default) = ILogRecord
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{819A1C55-735F-4696-8727-3772EC87AD26}]
(Default) = IIgnoreList
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8DC7E656-FFBC-4BA2-AF81-1C6C4FE04407}]
(Default) = IQuarantine
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A86BED71-2B56-4778-9C48-829A3D01C687}]
(Default) = IThreatCollectionEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE119E11-CF86-43CB-91AA-1ACF2BBF9EC6}]
(Default) = ILogEvents
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5A1CE7F-011D-4475-98DB-076AAF3B1D18}]
(Default) = IThreatCollection
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B667F141-171C-4AC6-BD2B-8E0C646FB920}]
(Default) = IEngineListener
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4F8351-05EF-4956-B9AB-1093B732436F}]
(Default) = IRunAs
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\TypeLib]
(Default) = {83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}
Version = 1.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid32]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}\ProxyStubClsid]
(Default) = {00020424-0000-0000-C000-000000000046}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1E4E46D-53B8-45DC-ABF0-3E7ADEF79012}]
(Default) = IPaths
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\0\win32]
(Default) = \VirusHeat 4.3\VirusHeat 4.3.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\HELPDIR]
(Default) = \VirusHeat 4.3\
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0\FLAGS]
(Default) = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{83B0CADC-EA64-4AC6-822A-3ECE95F44DA6}\1.0]
(Default) = AVG 1.0 Type Library
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
VirusHeat 4.3 = \VirusHeat 4.3\VirusHeat 4.3.exe /h
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusHeat 4.3]
DisplayName = VirusHeat 4.3
UninstallString = \VirusHeat 4.3\uninst.exe
DisplayIcon = \VirusHeat 4.3\VirusHeat 4.3.exe
DisplayVersion = 4.3
NSIS:StartMenuDir = VirusHeat 4.3
URLInfoAbout = http://www.virusheat.com
Publisher = virusheat.com
[HKEY_LOCAL_MACHINE\SOFTWARE\Licenses]
{R7C0DB872A3F777C0} = 4A 8D 7D 4C
{K7C0DB872A3F777C0} = B9 CE 35 F0 DD 0C 1F FF FF FF FF 9D C6 25 CF 03 07 99 01 65 14 0F C8 1F F3 29 FB 4A 8D 7D 4C FF FF FF FF 87 30 0C C3 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF F FF FF FF F
[HKEY_LOCAL_MACHINE\SOFTWARE\VirusHeat 4.3]
refid = 1012
FirstStart = 1

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת VirusHeat
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (MonaRonaDona (srvspool.exe, registrycleaner2008.exe

מידע על הווירוס

יוצר את התהליכים:

srvspool.exe
registrycleaner2008.exe

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

Programs>\RegistryCleanFix2008\RegistryCleanFix2008
Programs>\RegistryCleanFix2008\RegistryCleanFix2008.lnk
ProgramFiles>\RegistryCleanFix2008\unins000.exe
ProgramFiles>\RegistryCleanFix2008\unins000.dat
Programfiles>\RegistryCleanFix2008\RegistryCleaner2008.exe
Programs>\RegistryCleanFix2008\Uninstall RegistryCleanFix2008.lnk
Programs>\Startup\SRVSPOOL.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegistryCleanFix2008_is1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\FCR2008MFC

Values created:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegistryCleanFix2008_is1]
Inno Setup: Setup Version = "5.2.2"
Inno Setup: App Path = "%ProgramFiles%\RegistryCleanFix2008"
InstallLocation = "%ProgramFiles%\RegistryCleanFix2008\"
Inno Setup: Icon Group = "RegistryCleanFix2008"
Inno Setup: User = "%UserName%"
Inno Setup: Selected Tasks = ""
Inno Setup: Deselected Tasks = "desktopicon,quicklaunchicon"
DisplayName = "RegistryCleanFix2008"
UninstallString = ""%ProgramFiles%\RegistryCleanFix2008\unins000.exe""
QuietUninstallString = ""%ProgramFiles%\RegistryCleanFix2008\unins000.exe" /SILENT"
Publisher = "RegistryCleanFix2008"
URLInfoAbout = "http://www.RegistryCleanFix.com/"
HelpLink = "http://www.RegistryCleanFix.com/"
URLUpdateInfo = "http://www.RegistryCleanFix.com/"
NoModify = 0x00000001
NoRepair = 0x00000001
InstallDate = "20080107"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Window Title = "MonaRonaDona"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
SD = "422:/3/9/37/37"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = "1"

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת MonaRonaDona
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Noooh (Sys.exe, ComSys.dll

מידע על הווירוס

ידוע גם כ:

Trojan.VB.DRRX
Trojan.BAT.Killfiles.OZ
Virus.Win32.AutoRun.cb
W32.SillyFDC
W32/Hooon.worm
TROJ_AGENT.SCD

קבצים

הווירוס יחדיר את הקבצים הבאים אל המערכת:

Windows>\Web\Sys.exe
System>\ComSys.dll
System>\KillAll.bat
All Root Partition>:\autorun.inf
All Root Partition>:\Sys.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

Values created:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NoooH = \Web\Sys.exe
Ce qui entraine le lancement de ce programme à chaque démarrage de Windows

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
DisableSR = 0x00000001
Désactive la restauration système

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000002
Désactive le gestionnaire des tâches et les outils d'édition de la base de registre

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
DisableCMD = 0x00000001
Désactive cmd.exe

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Noooh.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (NetSky (FVProtect.exe,FirewallSvr.exe,netstats.exe

מידע על הווירוס

ידוע גם כ:

Email-Worm.Win32.NetSky.q
Email-Worm.Win32.NetSky.z
Email-Worm.Win32.NetSky.q
Email-Worm.Win32.NetSky.r
...
Backdoor.Win32.IRCBot.alo
Worm.Feebs!sd5
Email-Worm.NetSky
Email-Worm.NetSky!sd5
I-Worm.Netsky.Q2
W32.Netsky.gen@mm
W32.Netsky.dam
W32.Netsky.P@mm
W32.Netsky.Y@mm
...
W32/Feebs.gen
W32/Opanki.worm.gen
W32/Netsky.gen@MM
W32/Netsky.y@MM
W32/Netsky.p@MM
...
WORM_FEEBS.KV
WORM_NETsky.dam
WORM_NETSKY.P
WORM_NETSKY.BN

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

nmvcs.exe
LegitCheckControl.dll
WgaLogon.dll
WgaTray.exe
ddcbxxv.dll
WGA.exe
winini.exe
opnnljj.dll
msij32.dll
msoo.exe
remote.exe
vcmgcd32.dll
defender.exe
vcmgcd32.dl_
msed32.dll
mslz.exe
msoi.exe
mspi32.dll
keymaker.exe
winini.exe

הווירוס יחדיר את הקבצים הבאים אל תיקיית חלונות:

FVProtect.exe
base64.tmp
userconfig9x.dll
zip1.tmp
zip2.tmp
winsystem.exe
FirewallSvr.exe
zip3.tmp
fuck_you_bagle.txt
uinmzertinmds.opm
winini.exe
winlogon.scr
zipped.tmp
EasyAV.exe
netstats.exe
system.dll.exe
Jammer2nd.exe
attachment.zip
services.exe
winlogs.exe

הווירוס יחדיראת הקבצים הבאים אל תיקיית ה-Temp:

UYF4E7\installer.bat
UYF4E7\LegitCheckControl.dll
UYF4E7\WgaLogon.dll
UYF4E7\WgaTray.exe
IXP000.TMP\keymaker.exe
Data.txt .exe
7C56B4F2.EXE
*.zip
*.tmp

שמות של תהליכי מערכת של הווירוס כוללים:

FVProtect.exe
netstats.exe
system.dll.exe
defender.exe
winini.exe
FirewallSvr.exe
msoi.exe
keymaker.exe
is151287.exe
7C56B4F2.EXE
qpfu.exe
winlogon.scr
trvp.exe
WGA.exe
msoo.exe
remote.exe
nmvcs.exe
winsystem.exe
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe

Registry

הווירוס יוצר את הערכים הבאים:

Key deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
(Default) = \webcheck.dll
ThreadingModel = Apartment

Key created

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Norton Antivirus AV = FVProtect.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSN = system.dll.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Zero Spooler = "nmvcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcbxxv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861

Value created

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{446624E1-B767-4443-AA6E-0F355CAFD21B}\InprocServer32]
(Default) = "%System%\ddcbxxv.dll"
ThreadingModel = "Both"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]
Time = F0 F8 36 23 83 51 C8 01 00 00 00 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{446624E1-B767-4443-AA6E-0F355CAFD21B} = ""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcbxxv]
Asynchronous = 0x00000001
DllName ="ddcbxxv.dll
Impersonate = 0x00000000
Logon = o
Logoff = f

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]
(Default) = "A91FE206B0B441D793ADE1C11C88B399&"

[HKEY_CURRENT_USER\Software\Microsoft\Installer]
(Default) = 94 6E 12 24 83 51 C8 01

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Netsky
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Tavo.exe (tavo0.dll, tavo1.dll

מידע על הווירוס

ידוע גם כ:

rojan.Lineage.Gen!Pac.3
32/Autorun.worm.bx.gen
Infostealer.Gampass
TSPY_ONLINEG.URC
TSPY_LEGMIR.AG
TSPY_ONLINEG.MI
TSPY_ENCPK.AE
TSPY_LEGMIR.VU
W32/Autorun.worm.bx.gen
PWS-LegMir.gen.k
PWS-OnlineGames.a
PWS-LegMir
PWS-Mmorpg.gen

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\tavo.exe
System>\tavo0.dll
System>\tavo1.dll

הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.

g4.dll
avxah8.dll
y.dll
ig4au94g.dll
iilov9vn.dll
fk.dll
tu58fg.dll
xioao.dll
fobq9vzc.dll
2cxs.sys
uslvgy2i.dll

הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת

Autorun.inf
o.exe
nxvhpc.exe
ff1q0gw.bat
i8.com
ntdeiect

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
tava = \tavo.exe
In this way, kavo.exe file is launched each time the system is booted
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0x00000000

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Tavo.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Patty.exe (S0UNDMANS.EXE,1sasrv.dll,adsldps.dll,twain.dll,realsched.exe

מידע על הווירוס

זהו טרויאני הממתיןם להוראות מהשרת שלו לאחר ההתקנה במערכת.
הווירוס מסוגל לגנוב סיסמאות ופרטי כרטיס אשראי מהמערכת הנגועה.

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\S0UNDMANS.EXE
System>1sasrv.dll
System>\adsldps.dll
System>\twain.dll
System>\realsched.exe

Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\patfile\shell\open\command
Les clés suivantes sont crées dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
ArSwp.exe
ashAvast.exe
ashDisp.exe
ashMaiSv.exe
ashServ.exe
ashWebSv.exe
aswUpdSv.exe
autoruns.exe
avcenter.exe
avgamsvr.exe
avgas.exe
avgcc.exe
avgemc.exe
avgnt.exe
avguard.exe
avgupsvc.exe
avgw.exe
AvMonitor.exe
bdmcon.exe
bdnagent.exe
bdoesrv.exe
bdss.exe
bdswitch.exe
ccApp.exe
ccEvtMgr.exe
ccSetMgr.exe
ccSvcHst.exe
cureit.exe
DefWatch.exe
ewido.exe
fch32.exe
FileDsty.exe
fsbwsys.exe
FSGK32.EXE
fsgk32st.exe
FSM32.EXE
FTCleanerShell.exe
guard.exe
HijackThis.exe
IceSword.exe
iparmo.exe
isPwdSvc.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KAVsvc.exe
KAVsvcUI.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
mcconsol.exe
Mcshield.exe
mmqczj.exe
mmsk.exe
MPStart.exe
NAVSetup.exe
nod32.exe
nod32krn.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0x00000000

אזהרה

הווירוס עלול לגנוב פרטי גישה וסיסמאות כמו גם פרטי כרטיס אשראי מהמערכת.

התקן להסרת Patty.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (Kxvo.exe (Kxvo.exe,fool0.dll,fool1.dll,ieso0.dll

מידע על הווירוס

ידוע גם כ:

Downloader
nfostealer.Gampass
Trojan.Lineage.Gen!Pac.3
Trojan.Onlinegames.Gen!Pac.73
PWS-OnlineGames.ah
New Malware.hw
PWS-OnlineGames.a
PWS-Mmorpg.gen
WORM_ONLINEG.OXB
TSPY_ONLINEG.BVZ
TSPY_ONLINEGA.YS
WORM_LEGMIR.DQ
WORM_AUTORUN.ACG
Cryp_Yayay
TSPY_ONLINEG.WX

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\fool0.dll
System>\fool1.dll
System>\ieso0.dll
System>\kxvo.exe

הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.

57heb9v5.dll
58b95y4o.dll
63j8zs.sys
757yropw.dll
7uw44.dll
8lm5ns.dll
9e7ktl.dll
an.dll
cd.dll
dwyq.dll
e.dll
ee.dll
kdk.dll
lh4yhy4.dll
nn.dll
omq.dll
p8rjys.dll
q8xvk.dll
t.dll
vak94lt9.dll
vd.dll
wjlg44s8.dll
wmyz.dll
ybndb.dll
z7.dll

הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת

Autorun.inf
3g.com
6krxwx.cmd
800dost.com
b.bat
es.exe
fg8m.exe
g2lbn.cmd
hbq.exe
kso6.bat
l2quk.exe
lg.com
lpufwi6.com
lqxo8w.cmd
nej30aw.exe
ojbss9gv.com
uulaqvl.cmd
vuts0e.cmd
vuts0e.cmd
w00g.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
kxva = \kavo.exe
De cette manière, le fichier kavo.exe est lancé à chaque démarrage du système

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}

And the values

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID]
(Default) = "IEHlprObj.IEHlprObj"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID]
(Default) = "IEHlprObj.IEHlprObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\InprocServer32]
(Default) = "%System%\ieso0.dll"
ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
(Default) = "IEHlprObj Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer]
(Default) = "IEHlprObj.IEHlprObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
(Default) = "IEHlprObj Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID]
(Default) = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
(Default) = "IEHlprObj Class"

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Kxvo.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת Kavo.exe

מידע על הווירוס

ידוע גם כ:

Cryp_Yayay
Generic.dx
Infostealer.Gampass
New Malware.hw
PWS-Gamania
PWS-LegMir.gen.k
PWS-Mmorpg.gen
PWS-OnlineGames.a
TROJ_LINEAGE.KB
TROJ_NSANTI.MY
TROJ_POLYCRYP.AJ
Trojan Horse
Trojan.Lineage.Gen!Pac.3
Trojan.PWS.OnLineGames.BDG
Trojan-PSW.Win32.OnLineGames.aes
TSPY_ONLINEG.HOQ
TSPY_ONLINEG.HOW
TSPY_ONLINEG.HQO
TSPY_ONLINEG.OXO
TSPY_ONLINEG.SMB
TSPY_ONLINEG.ULD
TSPY_ONLINEG.UNT
TSPY_ONLINEGA.DF
TSPY_ONLINEGA.DZ
WORM_AUTORUN.ANE
WORM_ONLINEG.BKE
WORM_ONLINEG.CX
WORM_ONLINEG.GK

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\kavo.exe
System>\kavo0.dll
System>\kavo1.dll

הווירוס יחדיר את אחד מהקבצים הבאים אל תקיית ה-Temp.

g4.dll
avxah8.dll
y.dll
ig4au94g.dll
iilov9vn.dll
ad.dll
7z.dll
or.dll
kykvfp.dll
88b4ibhq.dll
ee2m.dll
ecoimwht.dll
o8n4e8g9.dll
48d.dll
ufe7kt.dll
xx.dll

הווירוס יחדיר שניים מהקבצים הבאים אל כל מחיצה במערכת

Autorun.inf
o.exe
nxvhpc.exe
ff1q0gw.bat
i8.com
e6ieg.exe
6qe.com
cfv90h.com
ab.cmd
k2.cmd
h2.com
u.exe
fufb6tq3.cmd
ekf6dbg0.com
h2.com
rtnlpipu.com
1i.com
c18vk.exe
ntphyy.com

Registry

הווירוס יוצר את הערכים הבאים:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
kava = \kavo.exe
De cette manière, le fichier kavo.exe est lancé à chaque démarrage du système
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0x00000000

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Kavo.exe
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

התקן להסרת (VirtuMonde (VirtuMondo, Vundo, TROJ_VUNDO, TROJ_MEREDROP,DL.Small.ADIB

מידע על הווירוס

ידוע גם כ:

Vundo
Generic Downloader.s
Trojan.Vundo
Downloader
TROJ_DROPPER.KOZ
TROJ_MEREDROP.DY
TROJ_VUNDO
TROJ_DLOADER.LIJ
Trojan.DL.Small.ADIB

קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

System>\awturom.dll
System>\cbxyxxu.dll
System>\ljJDSIaY.dll
System>\serial.exe
System>\ljJDSIaY.dll
System>\hgggdda.dll
System>\cbxwvsq.dll
System>\mljhebb.dll
System>\readme.bat
System>\serial.exe
System>\jkkljjj.dll
System>\install.exe
System>\opnnopn.dll
System>\RUNME.bat
System>\winwim32.dll
System>\efcabaa.dll
System>\cbxwvsq.dll
System>\yayvsqn.dll
System>\fccyaya.dll
System>\2231.bat
System>\awtrRLBt.dll
System>\ljJYOhGv.dll
System>\MSINET.oca
System>\readme.bat
System>\crack.exe
System>\serial.exe
System>\keygen.exe
System>\jkkljjj.dll
System>\patch.exe
System>\install.exe
System>\vturr.dll
System>\yayyaaw.dll
System>\pmtqkmd.dll
System>\hgggdda.dll
System>\nnnljih.dll
System>\nnnllih.dll
System>\iifefec.dll
System>\jkklj.dll
System>\pmnmjhe.dll
Temp>*.bat

הווירוס יחדיר את הקבצים הבאים אל כל מחיצה במערכת

autorun.inf
svchost.exe

Registry

הווירוס יוצר את הערכים הבאים:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ficher (où fichier est le nom du fichier dll sans l'extension)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861

Creates values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B52C7EC-D1A3-4054-923C-DD12567F28B1}\InprocServer32]
(Default) = "%System%\awturom.dll"
ThreadingModel = "Both"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]
Time = 90 97 C9 1F 83 51 C8 01 00 00 00 00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{0B52C7EC-D1A3-4054-923C-DD12567F28B1} = ""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awturom]
Asynchronous = 0x00000001
DllName = "fichier.dll"
Où fichier.dll est l'un des fichiers cités plus haut, de cette manière, fichier.dll est associé à Winlogon et démarre avec Windows.
Impersonate = 0x00000000
Logon = "o"
Logoff = "f"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]
(Default) = "A1D522CFF6884ACC9AB61DE9E145D52B&"
[HKEY_CURRENT_USER\Software\Microsoft\Installer]
(Default) = 38 4E 24 20 83 51 C8 01

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR]
cmd = ""
version = "66"
nextupdate = 0x4782B328
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
runner1 = "%Windir%\fichier.exe "

אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת VirtuMonde
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים

אנטי וויראלי - המדריך להסרת ווירוסים עקשנים

יום שלישי, 7 באוקטובר 2008

אנטי וויראלי - איך מורידים ווירוס עקשן כשהאנטי ווירוס לא מצליח?

התקן להסרת cradle_of_filth.vbe

התקן להסרת הווירוס cftmonn.exe

התקן להסרת softhomepage.com (sbsm.exe, sbsm.dll)

יום רביעי, 16 באפריל 2008

התקן להסרת (Virtual Made (Virtual Maid.dll, http://www.searchmaid.com

התקן להסרת (VirusHeat (VirusHeat 4.3.exe, VirusHeat.exe

התקן להסרת (MonaRonaDona (srvspool.exe, registrycleaner2008.exe

התקן להסרת (Noooh (Sys.exe, ComSys.dll

התקן להסרת (NetSky (FVProtect.exe,FirewallSvr.exe,netstats.exe

התקן להסרת (Tavo.exe (tavo0.dll, tavo1.dll

התקן להסרת (Patty.exe (S0UNDMANS.EXE,1sasrv.dll,adsldps.dll,twain.dll,realsched.exe

התקן להסרת (Kxvo.exe (Kxvo.exe,fool0.dll,fool1.dll,ieso0.dll

התקן להסרת Kavo.exe

התקן להסרת (VirtuMonde (VirtuMondo, Vundo, TROJ_VUNDO, TROJ_MEREDROP,DL.Small.ADIB

תוכן העניינים

שותפים