Virussen | Spyware
Backdoor.Berbew.R
Met behulp van deze websites kunt u het Backdoor.Berbew.R virus verwijderen:
verwijderen Backdoor.Berbew.R virus
Wanneer Backdoor.Berbew.R wordt uitgevoerd, voert het de volgende acties uit:Creëert de volgende dossiers:
%SystemDrive%\1.dml
%System%\winhost.exe
%Windir%\ssmc.dll
Nota's:
%System% is een variabele die naar de omslag van het Systeem verwijst. Door gebrek is dit C:\Windows\System (Vensters 95/98/Me), C:\Winnt\System32 (Vensters NT/2000), of C:\Windows\System32 (Vensters XP).
%Windir% is een variabele die naar de de installatieomslag van Vensters verwijst. Door gebrek, is dit C:\Windows (Vensters 95/98/Me/XP) of C:\Winnt (Vensters NT/2000).
%SystemDrive% is een variabele die naar de aandrijving verwijst waarop de Vensters geïnstalleerd is. Door gebrek, is dit aandrijving C.
Voegt de waarde toe:
"Systeem" = "{DD434173-550E-401D-9B0F-78A5481B2AA8}"
aan registratiesubkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
zodat het wordt uitgevoerd telkens als de Vensters begint.
Creëert vele ingangen onder volgende registratiesubkey zodat het wordt uitgevoerd telkens als de Vensters begint:
Hkey_classes_root\clsid\{dd434173-550E-401D-9B0F-78A5481B2AA8}\InProcServer32
Pogingen om de volgende processen te beëindigen, wat waarvan security-related kunnen zijn:
De taakplanner van Ahnlab
alerter
AlertManger
APVDWIN
ATUPDATER
AUPDATE
AUTODOWN
AUTOTRACE
AUTOUPDATE
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
Avp32
avpcc
AVPCC
AVPUPD
AVUPDService
AVWUPD32
AVWUpSrv
AvxIni
AVXQUAR
awhost32
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CFIAUDIT
DefWatch
DRWEBUPW
dvpapi
dvpinit
ESCANH95
ESCANHNT
FIREWALL
fsbwsys
fsdfwd
FSDFWD
F-beveilig de Aanzet van de Manager van de Portier
FSMA
ICSSUPPNT
ICSUPP95
KAVMonitorService
kavsvc
KLBLMain
LUALL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
MCUPDATE
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
navpw32
De Vennoten van het netwerk registreren de Dienst
NISSERV
NISUM
NOD32ControlCenter
NOD32krn
NOD32KUI
NOD32Service
Norman NJeeves
Norman ZANDA
Antivirus van Norton Server
NPFMntor
NProtectService
NSCTOP
NUPGRADE
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
De Manager van de uitbarsting
BUITENPOST
De Firewall van de buitenpost
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PAVSRV51
PccPfw
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SharedAccess
sharedaccess
SmcService
SNDSrvc
SPBBCSvc
SweepNet
SWEEPSRV. SYS
De Cliënt van Symantec AntiVirus
De Kern LC van Symantec
Tmntsrv
UPDATE
UPGRADER
V3MonNT
V3MonSvc
VexiraAntivirus
Het Elektrische toestel van VisNetic AntiVirus
VSMON
vsmon
WEBPROXY
wuauserv
ZAPRO
Voegt de volgende tekst aan het gastherendossier toe om toegang tot bepaalde Websites te blokkeren:
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 F-secure.com
127.0.0.1 F-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 ftp://downloads1.kaspersky-labs.com/updates/
127.0.0.1 ftp://ftp.avp.ch/updates/
127.0.0.1 ftp://ftp.kasperskylab.ru/updates/
127.0.0.1 ftp://updates3.kaspersky-labs.com/updates/
127.0.0.1 go.microsoft.com
127.0.0.1 http://downloads1.kaspersky-labs.com/updates/
127.0.0.1 http://updates1.kaspersky-labs.com/updates/
127.0.0.1 http://updates2.kaspersky-labs.com/updates/
127.0.0.1 http://updates3.kaspersky-labs.com/updates/
127.0.0.1 http://updates4.kaspersky-labs.com/updates/
127.0.0.1 http://updates5.kaspersky-labs.com/updates/
127.0.0.1 http://www.kaspersky.ru/updates/
127.0.0.1 http://www.kaspersky-labs.com/updates/
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 mijn-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www3.ca.com
Opent een volmachtsserver op een willekeurige haven. Dit laat de gecompromitteerde computer toe om als heimelijke volmacht worden gebruikt.
Begint een server van FTP op haven 2525 van TCP.
Begint een bevelherinnering op haven 4495 van TCP.
Steelt caching wachtwoorden voor de volgende toepassingen van de gecompromitteerde computer:
CuteFTP
Ver
Ghisler
Miranda
Mozilla
Opera
Vooruitzichten
Wijzerplaat RAS omhoog
De Knuppel
Trillian
WS FTP
Installeert een keylogger en steelt vertrouwelijke informatie ingegaan in de vormen van het Web in de Ontdekkingsreiziger van Internet.
Verzendt de gestolen informatie naar de aanvaller door vraagkoorden naar volgende URLs te verzenden:
[ http://]chameleonexpo.com.au[REMOVED]/img/ret.php
[ http://]shootoutflorida.com[REMOVED]/images/mail2.php
De Reactie van de Veiligheid van Symantec moedigt alle gebruikers en beheerders aan om de volgende basisveiligheid "beste praktijken" aan te hangen:
De draai weg en verwijdert de onnodige diensten. Door gebrek, installeren vele werkende systemen de hulpdiensten die niet kritiek, zoals een server van FTP, Telnet, en een server van het Web zijn. Deze diensten zijn wegen van aanval. Als zij worden verwijderd, hebben de gemengde bedreigingen minder wegen van aanval en u minder diensten hebben door flardupdates te handhaven.
Als een gemengde bedreiging één of meerdere netwerkdiensten exploiteert, maak, of blokkeer toegang tot onbruikbaar, die diensten tot een flard wordt toegepast.
Houd altijd uw flardniveaus, vooral op computers bijgewerkt die openbare diensten ontvangen en toegankelijk door de firewall, zoals HTTP, FTP, post, en DNS de diensten zijn (bijvoorbeeld, zouden alle Op Windows gebaseerde computers het huidige geïnstalleerde Pak van de Dienst moeten hebben). Bovendien, te passen gelieve om het even welke veiligheidsupdates toe die in dit verslag, in de vertrouwde op Bulletins van de Veiligheid, of op verkopersWebsites worden vermeld.
Dwing een wachtwoordbeleid af. De complexe wachtwoorden maken het moeilijk om wachtwoorddossiers op gecompromitteerde computers te barsten. Dit helpt om schade te verhinderen of te beperken wanneer een computer wordt gecompromitteerd.
Vorm uw e-mailserver om e-mail te blokkeren of te verwijderen die dossiergehechtheid bevat die algemeen wordt gebruikt om virussen, zoals vbs, bat, exe, pif en scr dossiers uit te spreiden.
Isoleer snel besmette computers om verder het compromitteren van uw organisatie te verhinderen. Voer een gerechtelijke analyse uit en herstel de computers gebruikend vertrouwde op media.
Leid werknemers op om gehechtheid niet te openen tenzij zij hen verwachten. Ook, voer geen software uit die van Internet wordt gedownload tenzij het voor virussen is afgetast. Eenvoudig kan het bezoeken van een gecompromitteerde Website besmetting veroorzaken als bepaalde browser kwetsbaarheid niet hersteld is.
De volgende instructies behoort tot alle huidige en recente antivirus Symantec producten, met inbegrip van Symantec AntiVirus en het productlijnen van Norton AntiVirus.
Maak Systeem onbruikbaar herstellen (Vensters me/XP).
Verwijder ingangen die aan het gastherendossier worden toegevoegd.
Werk de virusdefinities bij.
Stel een volledig systeemaftasten in werking en schrap alle ontdekte dossiers.
Schrap om het even welke waarden die aan de registratie worden toegevoegd.
Voor specifieke details op elk van deze stappen, lees de volgende instructies.
1. Om Systeem onbruikbaar te maken herstel (Vensters me/XP)
Als u Vensters me of Vensters XP in werking stelt, adviseren wij dat u Systeem herstelt tijdelijk uitzet. De vensters me/XP gebruikt deze eigenschap, die door gebrek wordt toegelaten, om de dossiers op uw computer te herstellen voor het geval dat zij beschadigd worden. Als een virus, worm, of Trojan een computer besmet, herstelt het Systeem kan het virus, worm steunen, of Trojan op de computer.
De vensters verhindert buitenprogramma's, met inbegrip van antivirus programma's, van het wijzigen van Systeem herstel. Daarom antivirus kunnen de programma's of de hulpmiddelen bedreigingen in het Systeem verwijderen niet herstellen omslag. Dientengevolge, herstelt het Systeem heeft het potentieel van het herstellen van een besmet dossier op uw computer, zelfs nadat u de besmette dossiers van alle andere plaatsen hebt schoongemaakt.
Ook, kan een virusaftasten ontdekken een bedreiging in het Systeem omslag herstelt alhoewel u de bedreiging hebt verwijderd.
Voor instructies op hoe te om Systeem uit te zetten herstel, lees uw documentatie van Vensters, of één van de volgende artikelen:
Om Vensters onbruikbaar te maken of toe te laten herstel me Systeem
Om het Systeem van Vensters uit te zetten of aan te zetten XP herstel
Nota: Wanneer u volledig beëindigd met de verwijderingsprocedure bent en beëindigd dat de bedreiging is verwijderd, herstelt het reenable Systeem door de instructies in de voornoemde documenten te volgen.
Voor extra informatie, en een alternatief voor het onbruikbaar maken Vensters me Systeem herstel, zie het Microsoft Artikel van de Kennisbank: Antivirus de Hulpmiddelen kunnen Besmette Dossiers in _ schoonmaken niet herstellen Omslag (Artikel identiteitskaart: Q263455).
2. Om alle ingangen te verwijderen die het risico aan het gastherendossier toevoegde
Navigeer aan de volgende plaats:
Vensters 95/98/Me:
%Windir%
Vensters NT/2000/XP:
%Windir%\System32\drivers\etc
Nota's:
De plaats van het gastherendossier kan variëren en sommige computers kunnen dit dossier niet hebben. Er kunnen ook veelvoudige exemplaren van dit dossier in verschillende plaatsen zijn. Als het dossier niet in deze omslagen wordt gevestigd, zoek uw schijfaandrijving naar het gastherendossier, en voltooi dan de volgende stappen voor elke gevonden instantie.
%Windir% is een variabele die naar de de installatieomslag van Vensters verwijst. Door gebrek, is dit C:\Windows (Vensters 95/98/Me/XP) of C:\Winnt (Vensters NT/2000).
Dubbelklik het gastheren dossier.
Indien nodig, schrap het "gebruiken altijd dit programma om vakje van de dit programma" te openen controle.
De rol door de lijst van programma's en dubbelklikt Notepad.
Wanneer het dossier opent, schrap alle ingangen die door het risico worden toegevoegd. (Zie de Technische sectie van Details voor een volledige lijst van ingangen.)
Sluit Notepad en bewaar uw veranderingen wanneer veroorzaakt.
3. Om de virusdefinities bij te werken
De Reactie van de Veiligheid van Symantec test volledig alle virusdefinities voor kwaliteitsverzekering alvorens zij aan onze servers worden gepost. Er zijn twee manieren om de meest recente virusdefinities te verkrijgen:
Het lopen LiveUpdate, die de gemakkelijkste manier is om virusdefinities te verkrijgen: Deze virusdefinities worden gepost aan de servers LiveUpdate eens elke week (gewoonlijk op Woensdagen), tenzij er een belangrijke virusuitbarsting is. Om te bepalen of de definities voor deze bedreiging door LiveUpdate beschikbaar zijn, verwijs naar het document: De Definities van het virus (LiveUpdate).
Het downloaden van de definities die Intelligente Updater gebruiken: De Intelligente Updater virusdefinities worden dagelijks gepost. U zou de definities van de website van de Reactie van de Veiligheid moeten downloaden Symantec En manueel hen installeren. Om te bepalen of de definities voor deze bedreiging door Intelligente Updater beschikbaar zijn, verwijs naar het document: De Definities van het virus (Intelligente Updater).
De recentste Intelligente Updater virusdefinities kunnen hier worden verkregen: Intelligente Updater virusdefinities. Voor gedetailleerde instructies gelezen het document: Hoe te om de dossiers die van de virusdefinitie bij te werken Intelligente Updater gebruiken.
4. Om af te tasten voor en de besmette dossiers te schrappen
Begin uw antivirus Symantec programma en zorg ervoor dat het wordt gevormd om alle dossiers af te tasten.
Voor de verbruiksgoederen van Norton AntiVirus: Lees het document: Hoe te om Norton AntiVirus te vormen om alle dossiers af te tasten.
Voor de producten van de Onderneming van Symantec AntiVirus: Lees het document: Hoe te om te verifiëren dat een Collectief antivirus Symantec product wordt geplaatst om alle dossiers af te tasten.
Stel een volledig systeemaftasten in werking.
Als om het even welke dossiers worden ontdekt, klik Schrapping.
Belangrijk: Als uw antivirus Symantec product rapporteert dat het een ontdekt dossier niet kan schrappen, kunnen de Vensters het dossier gebruiken. Om dit te bevestigen, stel het aftasten op Veilige wijze in werking. Voor instructies, lees het document: Hoe te om de computer op Veilige Wijze te beginnen. Zodra u op Veilige wijze opnieuw bent begonnen, stel opnieuw het aftasten in werking.
Nadat de dossiers worden geschrapt, begin de computer op Normale wijze opnieuw en ga met de volgende sectie te werk.
De berichten van de waarschuwing kunnen worden getoond wanneer de computer opnieuw is begonnen, aangezien de bedreiging niet volledig op dit punt kan worden verwijderd. U kunt deze berichten negeren en O.K. klikken. Deze berichten zullen niet lijken wanneer de computer opnieuw is begonnen nadat de verwijderingsinstructies volledig zijn voltooid. De getoonde berichten kunnen aan het volgende gelijkaardig zijn:
Titel: [ De weg van het Dossier ]
Het lichaam van het bericht: De vensters kunnen vinden niet [ dossiernaam ]. Zorg u de naam correct typte, ervoor en probeer dan opnieuw. Om naar een dossier te zoeken, klik de knoop van het Begin, en klik dan Onderzoek.
5. Om de waarde van de registratie te schrappen
Belangrijk: Symantec adviseert sterk dat u de registratie alvorens om het even welke veranderingen in het steunt aan te brengen. De onjuiste veranderingen in de registratie kunnen in permanent gegevensverlies of bedorven dossiers resulteren. Wijzig slechts gespecificeerd subkeys. Want de instructies naar het document verwijzen: Hoe te om een steun van de registratie van Vensters te maken.
Klik Begin > Gelopen.
Typ regedit
Klik O.K..
Nota: Als de registratieredacteur er niet in slaagt om de bedreiging te openen kan de registratie gewijzigd hebben om toegang tot de registratieredacteur te verhinderen. De Reactie van de veiligheid heeft een hulpmiddel ontwikkeld om dit probleem op te lossen. Download en stel dit hulpmiddel in werking, en ga dan met de verwijdering verder.
Navigeer aan subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
In de juiste ruit, schrap de waarde:
"Systeem" = "{DD434173-550E-401D-9B0F-78A5481B2AA8}"
Navigeer aan en schrap volgende subkey:
Hkey_classes_root\clsid\{dd434173-550E-401D-9B0F-78A5481B2AA8}\InProcServer32
Ga de Redacteur van de Registratie weg