Virussen | Spyware

Kipis.B@mm

Met behulp van deze websites kunt u het Kipis.B@mm virus verwijderen:

verwijderen Kipis.B@mm virus

W32.Kipis.B@mm is een massa-postende worm die ontkenning van de dienstmogelijkheden heeft en een achterdeur op de gecompromitteerde computer opent. De worm vermindert ook veiligheidsmontages en probeert om door dossier-delende netwerken uit te spreiden.

Wanneer W32.Kipis.B@mm wordt uitgevoerd voert het de volgende acties uit:


Kopiëert zich als het volgende:

%Windir%\regedit.com
%Windir%\Help\svchost.exe
%System%\netstat.com
%System%\dropz.zip

Nota's:
%System% is een variabele die naar de omslag van het Systeem verwijst. Door gebrek is dit C:\Windows\System (Vensters 95/98/Me), C:\Winnt\System32 (Vensters NT/2000), of C:\Windows\System32 (Vensters XP).
%Windir% is een variabele die naar de de installatieomslag van Vensters verwijst. Door gebrek, is dit C:\Windows (Vensters 95/98/Me/XP)or C:\Winnt (Vensters NT/2000).
De dossierattributen worden geplaatst aan Verborgen en Systeem.


Verandert de waarde:

"Shell" = "Explorer.exe"

aan:

"Shell" = "Explorer.exe %Windir%\Help\svchost.exe"

in registratiesubkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

zodat de worm begint wanneer de Vensters begint.


Creëert de 15-byte dossier genoemde %System%\jpeg.bmp.


Opent %System%\jpeg.bmp gebruikend mspaint.exe, die mspaint.exe om veroorzaakt te verpletteren.

Alternatief, kan het het dossier regedit.exe in werking stellen.


Creëert een mutex genoemd ". tEXKOMxxx-x-lDREW-x-XxxTEXKOM.", zodat slechts één instantie van de worm in geheugen loopt.


Voegt de volgende tekst aan de [ laars ] sectie van toe het system.ini- dossier (Vensters 95/98/Me slechts):

[ laars ]
Shell=Explorer.exe %Windir%\Help\svchost.exe

zodat de worm wordt uitgevoerd telkens als de Vensters begint.


Opent een achterdeur die op haven 5665 van TCP, een verre aanvaller toestaat om een dossier naar de besmette computer te verzenden. De worm slaat het dossier als %System%\Eldrewion.exe op en voert het uit dan.


Eindigt de volgende processen verbonden aan antivirus en veiligheidssoftware:


Regmon.exe
Filemon.exe
_ avp32.exe
_ avpcc.exe
_ avpm.exe
armor2net.exe
atupdater.exe
aupdate.exe
autodown.exe
autoupdate.exe
avconsol.exe
ave32.exe
avkserv.exe
avpupd.exe
avwupd.exe
avwupd32.exe
blackice.exs
cleaner.exe
cleaner3.exe
drwebupw.exe
ecengine.exe
esafe.exe
fprot.exe
frw.exe
guard.exe
icssuppnt.exe
Internet maniac.exe
kav.exe
mcafee.exe
mcupdate.exe
moolive.exe
n32scanw.exe
nav.exe
navlu32.exe
navnt.exe
normist.exe
nprotect.
nupgrade.exe
outpost.exe
padmin.exe
persfw.exe
ravmon.exe
rescue.exe
rfw.exe
safeweb.exe
scan32.exe
skynet.exe
sphinx.exe
symantec antivirus server.exe
symantec.exe
taumon.exe
tbscan.exe
tca.exe
tds2-nt.exe
update.exe
vscan40.exe
vsstat.exe
webscanx.exe
wtindv32.exe
zonealarm.exe


Kopiëert zich gebruikend de volgende namen aan omslagen die het koord "aandeel" in hun namen bevatten:


DrWeb 4,32 keygen.com
Virtueel Meisje 2.exe
KAV Pro5.0.x key.com
basis telephons-MTS.com
De Firewall 2.0.x keygen.com van de buitenpost
WinxP sp2.key.com


Verzamelt e-mailadressen van het Boek van het Adres van Vensters en van dossiers met de volgende uitbreidingen:


tbb
dbx
doc
htm
adb
txt


Gebruikt zijn eigen motor SMTP om naar de e-mailadressen te verzenden die het vindt.

E-mail heeft de volgende kenmerken:

Van:
(Één van het volgende)


jon
Adam
stiv
dasha
rekening
Alex
Jim
loodje
Linda
lola
anna
Kevin
Robert
SAM
ted
lolita
Mary
dana
Beby
rosa
Vanda

gevolgd door het domein van de ontvanger, of één van het volgende:


support@webmaney.com
newaccount@e-gold.com
password@webmaney.com
transfer@city-bank.com
transfer@webmaney.com
transfer@e-gold.com
remnant@webmaney.com


Onderwerp:
(Één van het volgende)


Re: verzend sleutel
mijn rekening
Re: Re: passwd
Re: toegang


Het lichaamvan Messag e:
Droevig! de server kan bericht verzenden niet
met betrekking tot technische defecten,
welke in de nabije toekomst zal worden geëlimineerd.
_____________________________________________
Op al vragenadres in de steundienst
support
_____________________________________________

- --


Attachment:
(Één van het volgende)


private.kwm.key.pif
password.pwm.cmd
access.kwm.bat
zeer belangrijk-access.se2.bat
coderen-passwd.kwm.pif


Verzendt a zipped exemplaar van zich als e-mailgehechtheid. E-mail heeft de volgende kenmerken:

Van:
(Één van het volgende)


competitions@beautifuls-foto.net
competition@best-foto.com
levend-foto@sexstudio.com
portfolio@porno-portal.com
pornostudio@pichunter.com
xxx@sexfoto.com
administration@prostitutok.net


Onderwerp:
(Één van het volgende)


Re: gelieve te verzenden foto
Re: foto
portefeuille
Re[3 ]: mijn foto


Het lichaamvan Messag e:
Droevig! de server kan bericht verzenden niet
met betrekking tot technische defecten,
welke in de nabije toekomst zal worden geëlimineerd.
_____________________________________________
Op al vragenadres in de steundienst
support
_____________________________________________

- --


EntAttachm:
(Één van het volgende)


katrin.zip
dana-toilet.zip
portfolio.zip
liza-foto.zip
anna-bathroom.zip
brenda.zip
elena.pic1.zip
dasha-foto3.zip
myfoto.zip
jon-harde penis.zip
mijn portfolio.zip

Het dossier bevat binnen zipped gehechtheid heeft de zelfde naam zoals de gehechtheid met één van de volgende uitbreidingen:


gpeg.scr
scr

Bijvoorbeeld, zou de gehechtheid portfolio.zip het dossier portfolio.gpeg.scr bevatten.






De Reactie van de Veiligheid van Symantec moedigt alle gebruikers en beheerders aan om de volgende basisveiligheid "beste praktijken" aan te hangen:

De draai weg en verwijdert de onnodige diensten. Door gebrek, installeren vele werkende systemen de hulpdiensten die niet kritiek, zoals een server van FTP, Telnet, en een server van het Web zijn. Deze diensten zijn wegen van aanval. Als zij worden verwijderd, hebben de gemengde bedreigingen minder wegen van aanval en u minder diensten hebben door flardupdates te handhaven.
Als een gemengde bedreiging één of meerdere netwerkdiensten exploiteert, maak, of blokkeer toegang tot onbruikbaar, die diensten tot een flard wordt toegepast.
Houd altijd uw flardniveaus, vooral op computers bijgewerkt die openbare diensten ontvangen en toegankelijk door de firewall, zoals HTTP, FTP, post, en DNS de diensten zijn (bijvoorbeeld, zouden alle Op Windows gebaseerde computers het huidige geïnstalleerde Pak van de Dienst moeten hebben). Bovendien, te passen gelieve om het even welke veiligheidsupdates toe die in dit verslag, in de vertrouwde op Bulletins van de Veiligheid, of op verkopersWebsites worden vermeld.
Dwing een wachtwoordbeleid af. De complexe wachtwoorden maken het moeilijk om wachtwoorddossiers op gecompromitteerde computers te barsten. Dit helpt om schade te verhinderen of te beperken wanneer een computer wordt gecompromitteerd.
Vorm uw e-mailserver om e-mail te blokkeren of te verwijderen die dossiergehechtheid bevat die algemeen wordt gebruikt om virussen, zoals vbs, bat, exe, pif en scr dossiers uit te spreiden.
Isoleer snel besmette computers om verder het compromitteren van uw organisatie te verhinderen. Voer een gerechtelijke analyse uit en herstel de computers gebruikend vertrouwde op media.
Leid werknemers op om gehechtheid niet te openen tenzij zij hen verwachten. Ook, voer geen software uit die van Internet wordt gedownload tenzij het voor virussen is afgetast. Eenvoudig kan het bezoeken van een gecompromitteerde Website besmetting veroorzaken als bepaalde browser kwetsbaarheid niet hersteld is.


De volgende instructies behoort tot alle huidige en recente antivirus Symantec producten, met inbegrip van Symantec AntiVirus en het productlijnen van Norton AntiVirus.


Maak Systeem onbruikbaar herstellen (Vensters me/XP).
Werk de virusdefinities bij.
Begin de computer op Veilige wijze of VGA wijze opnieuw.
Keer de veranderingen om die aan System.ini (Vensters 95/98/Me) worden aangebracht.
Stel een volledig systeemaftasten in werking en schrap alle dossiers die als W32.Kipis.B@mm worden ontdekt.
Schrap de waarde die aan de registratie werd toegevoegd.

Voor specifieke details op elk van deze stappen, lees de volgende instructies.

1. Om Systeem onbruikbaar te maken herstel (Vensters me/XP)
Als u Vensters me of Vensters XP in werking stelt, adviseren wij dat u Systeem herstelt tijdelijk uitzet. De vensters me/XP gebruikt deze eigenschap, die door gebrek wordt toegelaten, om de dossiers op uw computer te herstellen voor het geval dat zij beschadigd worden. Als een virus, worm, of Trojan een computer besmet, herstelt het Systeem kan het virus, worm steunen, of Trojan op de computer.

De vensters verhindert buitenprogramma's, met inbegrip van antivirus programma's, van het wijzigen van Systeem herstel. Daarom antivirus kunnen de programma's of de hulpmiddelen bedreigingen in het Systeem verwijderen niet herstellen omslag. Dientengevolge, herstelt het Systeem heeft het potentieel van het herstellen van een besmet dossier op uw computer, zelfs nadat u de besmette dossiers van alle andere plaatsen hebt schoongemaakt.

Ook, kan een virusaftasten ontdekken een bedreiging in het Systeem omslag herstelt alhoewel u de bedreiging hebt verwijderd.

Voor instructies op hoe te om Systeem uit te zetten herstel, lees uw documentatie van Vensters, of één van de volgende artikelen:
"Om Vensters onbruikbaar te maken of toe te laten herstel me Systeem"
"Om het Systeem van Vensters uit te zetten of aan te zetten XP herstel"

Nota: Wanneer u volledig beëindigd met de verwijderingsprocedure bent en beëindigd dat de bedreiging is verwijderd, re-laat Systeem toe herstellen door de instructies in de voornoemde documenten te volgen.

Voor extra informatie, en een alternatief voor het onbruikbaar maken Vensters me Systeem herstel, zie het Microsoft Artikel van de Kennisbank, de "Antivirus Hulpmiddelen kunnen Besmette Dossiers in _ schoonmaken niet herstellen Omslag," Artikel identiteitskaart: Q263455.


2. Om de virusdefinities bij te werken
De Reactie van de Veiligheid van Symantec test volledig alle virusdefinities voor kwaliteitsverzekering alvorens zij aan onze servers worden gepost. Er zijn twee manieren om de meest recente virusdefinities te verkrijgen:
Het lopen LiveUpdate, die de gemakkelijkste manier is om virusdefinities te verkrijgen: Deze virusdefinities worden gepost aan de servers LiveUpdate eens elke week (gewoonlijk op Woensdagen), tenzij er een belangrijke virusuitbarsting is. Om te bepalen of de definities voor deze bedreiging door LiveUpdate beschikbaar zijn, verwijs naar de Definities van het Virus (LiveUpdate).
Het downloaden van de definities die Intelligente Updater gebruiken: De Intelligente Updater virusdefinities worden dagelijks gepost. U zou de definities van de website van de Reactie van de Veiligheid moeten downloaden Symantec En manueel hen installeren. Om te bepalen of de definities voor deze bedreiging door Intelligente Updater beschikbaar zijn, verwijs naar de Definities van het Virus (Intelligente Updater).

De Intelligente Updater virusdefinities zijn beschikbaar: Lees "hoe te om de dossiers van de virusdefinitie bij te werken gebruikend Intelligente Updater" voor gedetailleerde instructies.


3. Om de veranderingen om te keren die aan het System.ini- dossier (Vensters 95/98/Me slechts) worden aangebracht
Als u Vensters 95/98/Me in werking stelt, volg deze stappen:

Klik Begin > Gelopen, en typ dan het volgende:

geef c:\windows\system.ini uit

en klik dan O.K..

(De Redacteur van MS-dos opent.)

NOTA: Als de Vensters in een verschillende plaats geïnstalleerd is, maak de aangewezen wegsubstitutie.


In de [ laars ] sectie van het dossier, zoek een lijn gelijkend op:

Shell=Explorer.exe %Windir%\Help\svchost.exe


Als deze lijn bestaat, schrap alles rechts van Explorer.exe.

Wanneer u wordt gedaan, zou het moeten kijken als:

shell=Explorer.exe


Pers Alt > F > S.

Pers Alt > F > X.

4. Om de computer op Veilige wijze of VGA wijze opnieuw te beginnen
Sluit de computer en de draai van de macht. Wacht minstens 30 seconden, en begin dan de computer op Veilige wijze of VGA wijze opnieuw.
Voor Windows 95..98, beginnen me, 2000, of de gebruikers XP, de computer op Veilige wijze opnieuw. Voor instructies, las het document, "hoe te om de computer op Veilige Wijze te beginnen."
Voor de gebruikers van Vensters NT 4, begin de computer op VGA wijze opnieuw.

5. Om af te tasten voor en de besmette dossiers te schrappen
Begin uw antivirus Symantec programma en zorg ervoor dat het wordt gevormd om alle dossiers af te tasten.
Voor de verbruiksgoederen van Norton AntiVirus: Lees het document, "hoe te om Norton AntiVirus te vormen om alle dossiers af te tasten."
Voor de producten van de Onderneming van Symantec AntiVirus: Lees het document, "hoe te om te verifiëren dat een Symantec het Collectieve antivirus product wordt geplaatst om alle dossiers af te tasten."
Stel een volledig systeemaftasten in werking.
Als om het even welke dossiers zoals besmet met W32.Kipis.B@mm worden ontdekt, klik Schrapping.

Nota: Als uw antivirus Symantec product rapporteert dat het een besmet dossier niet kan schrappen, kunnen de Vensters het dossier gebruiken. Om dit te bevestigen, stel het aftasten op Veilige wijze in werking. Voor instructies, las het document, "hoe te om de computer op Veilige Wijze te beginnen." Zodra u op Veilige wijze opnieuw bent begonnen, stel opnieuw het aftasten in werking.

Wanneer alle besmette dossiers zijn geschrapt, begin de computer op Normale wijze opnieuw.

6. Om de waarde van de registratie te schrappen
Belangrijk: Symantec adviseert sterk dat u de registratie alvorens om het even welke veranderingen in het steunt aan te brengen. De onjuiste veranderingen in de registratie kunnen in permanent gegevensverlies of bedorven dossiers resulteren. Wijzig de gespecificeerde slechts sleutels. Lees het document, "hoe te om een steun van de registratie van Vensters," voor instructies te maken.

Klik Begin > Gelopen.
Typ regedit

Dan klik O.K..


Navigeer aan de sleutel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


In de juiste ruit, verander de waarde:

"Shell" = "Explorer.exe %Windir%\Help\svchost.exe"

aan:

"Shell" = "Explorer.exe"

gratis W32.Kipis.B@mm antivirus scanner