Virussen | Spyware
PWSteal. Rivarts
Met behulp van deze websites kunt u het PWSteal. Rivarts virus verwijderen:
verwijderen PWSteal. Rivarts virus
PWSteal. Rivarts is een Trojan paard dat bankrekening en gevoelige informatie steelt en het naar een verre server verzendt. Het verzamelt SSL ook Webcertificaten en kan een browser verbinding kapen.Trojan wordt gewoonlijk gedownload van de volgende plaats:
[ http://]www.enerbe.org/theta[REMOVED ]
Wanneer PWSteal. Rivarts wordt uitgevoerd, voert het de volgende acties uit:
Kopiëert zich als %System%\zsys.exe.
Nota: %System% is een variabele die naar de omslag van het Systeem verwijst. Door gebrek is dit C:\Windows\System (Vensters 95/98/Me), C:\Winnt\System32 (Vensters NT/2000), of C:\Windows\System32 (Vensters XP).
Voegt de waarde toe:
"Zsys" = "%System%\Zsys.exe"
aan registratiesubkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
zodat het loopt telkens als de Vensters begint.
Mag registratieingangen in volgende subkey toevoegen of wijzigen aan lagere veiligheidsmontages:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
Creëert de volgende dossiers:
%Temp%\mc[RANDOM NAME].tmp
%System%\zsys1.dll
%System%\zsys2.dll
%Windir%\wscntfy.exe
Nota:
%Temp% is een variabele die naar de Vensters tijdelijke omslag doorverwijst. Door gebrek, is dit C:\Windows\TEMP (Vensters 95/98/Me/XP) of C:\WINNT\Temp (Vensters NT/2000).
%Windir% is een variabele die naar de de installatieomslag van Vensters verwijst. Door gebrek, is dit C:\Windows (Vensters 95/98/Me/XP) of C:\Winnt (Vensters NT/2000).
Registreert %Temp%\mc[RANDOM NAME].tmp als dienst van Vensters door de volgende registratiesleutel te creëren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv
Spuit het dossier ZSYS1.dll in elk lopend proces in. De bibliotheek is kwaadwillige gebruiker-wijze rootkit een component die de volgende Vensters API vasthaakt om elk dossier, proces of registratiesleutel te verbergen die het koord zsys bevat:
FindNextFileA
FindNextFileW
RegEnumValueA
RegEnumValueW
NtQuerySystemInformation
Richt en kaapt browser verkeer door volgende API opnieuw vast te haken gebruikend gebruiker-wijze rootkit de component DLL:
HttpSendRequestA
Gebruikend gebruiker-wijze rootkit de component DLL, probeert om de opslag van het Webcertificaat van de machine uit te voeren en te stelen, gebruikend wachtwoordgoblin door volgende API vast te haken die tijdens gecodeerde SSL communcation wordt gebruikt:
PFXImportCertStore
Haakt GetWindowTextA API vast en probeert om Webcertificaten te stelen wanneer de gebruiker het venster van de Ontdekkingsreiziger van Internet dat het titel Uitgezochte Certificaat heeft opent, gebruikend gebruiker-wijze rootkit de component DLL.
Haakt CreateFileW API vast en probeert om elk dossier te stelen dat het volgende koord bevat, gebruikend gebruiker-wijze rootkit de component DLL:
NPKI (Genestelde certificaat gebaseerde PKI)
key
der
Steelt gevoelige informatie van de vormen van de Ontdekkingsreiziger van Internet. Het verzamelt informatie betreffende de gecompromitteerde computerconfiguratie en het huidige werkende systeem.
Creëert het volgende logboekdossier in SQL taalformaat om een deel van de verzamelde informatie op te slaan:
%System%\zsys2.db
Pogingen om de volgende Websites te contacteren om zijn activiteit te bevestigen en de verzamelde informatie te verzenden:
[ http://]janes.ktuno.com/[PHP- PAGINA ]
[ http://]rusta.korpdate.com/[PHP- PAGINA ]
[ http://]rurik.medaus.net/[PHP- PAGINA ]
[ http://]robux.goodfriendszone.com/[PHP- PAGINA ]
[ http://]zitano.capitalizmu.net/[PHP- PAGINA ]
[ http://]frozen.devedent.com/[PHP- PAGINA ]
Waar [ PHP PAGINA ] één van de volgende pagina's is:
ping10[NUMBER].php
task10[NUMBER].php
storage10[NUMBER].php
De download van mei en voert een bijgewerkte versie van zich van een verre plaats uit die door de aanvaller kan worden gevormd.
Opent een achterdeur op een willekeurige haven van TCP.
De Reactie van de Veiligheid van Symantec moedigt alle gebruikers en beheerders aan om de volgende basisveiligheid "beste praktijken" aan te hangen:
De draai weg en verwijdert de onnodige diensten. Door gebrek, installeren vele werkende systemen de hulpdiensten die niet kritiek, zoals een server van FTP, Telnet, en een server van het Web zijn. Deze diensten zijn wegen van aanval. Als zij worden verwijderd, hebben de gemengde bedreigingen minder wegen van aanval en u minder diensten hebben door flardupdates te handhaven.
Als een gemengde bedreiging één of meerdere netwerkdiensten exploiteert, maak, of blokkeer toegang tot onbruikbaar, die diensten tot een flard wordt toegepast.
Houd altijd uw flardniveaus, vooral op computers bijgewerkt die openbare diensten ontvangen en toegankelijk door de firewall, zoals HTTP, FTP, post, en DNS de diensten zijn (bijvoorbeeld, zouden alle Op Windows gebaseerde computers het huidige geïnstalleerde Pak van de Dienst moeten hebben). Bovendien, te passen gelieve om het even welke veiligheidsupdates toe die in dit verslag, in de vertrouwde op Bulletins van de Veiligheid, of op verkopersWebsites worden vermeld.
Dwing een wachtwoordbeleid af. De complexe wachtwoorden maken het moeilijk om wachtwoorddossiers op gecompromitteerde computers te barsten. Dit helpt om schade te verhinderen of te beperken wanneer een computer wordt gecompromitteerd.
Vorm uw e-mailserver om e-mail te blokkeren of te verwijderen die dossiergehechtheid bevat die algemeen wordt gebruikt om virussen, zoals vbs, bat, exe, pif en scr dossiers uit te spreiden.
Isoleer snel besmette computers om verder het compromitteren van uw organisatie te verhinderen. Voer een gerechtelijke analyse uit en herstel de computers gebruikend vertrouwde op media.
Leid werknemers op om gehechtheid niet te openen tenzij zij hen verwachten. Ook, voer geen software uit die van Internet wordt gedownload tenzij het voor virussen is afgetast. Eenvoudig kan het bezoeken van een gecompromitteerde Website besmetting veroorzaken als bepaalde browser kwetsbaarheid niet hersteld is.
De volgende instructies behoort tot alle huidige en recente antivirus Symantec producten, met inbegrip van Symantec AntiVirus en het productlijnen van Norton AntiVirus.
Maak Systeem onbruikbaar herstellen (Vensters me/XP).
Werk de virusdefinities bij.
Stel een volledig systeemaftasten in werking en schrap alle ontdekte dossiers.
Vind en houd de dienst tegen.
Schrap om het even welke waarden die aan de registratie worden toegevoegd.
Reenable de dienst SharedAccess (Vensters 2000/XP slechts)
Voor specifieke details op elk van deze stappen, lees de volgende instructies.
1. Om Systeem onbruikbaar te maken herstel (Vensters me/XP)
Als u Vensters me of Vensters XP in werking stelt, adviseren wij dat u Systeem herstelt tijdelijk uitzet. De vensters me/XP gebruikt deze eigenschap, die door gebrek wordt toegelaten, om de dossiers op uw computer te herstellen voor het geval dat zij beschadigd worden. Als een virus, worm, of Trojan een computer besmet, herstelt het Systeem kan het virus, worm steunen, of Trojan op de computer.
De vensters verhindert buitenprogramma's, met inbegrip van antivirus programma's, van het wijzigen van Systeem herstel. Daarom antivirus kunnen de programma's of de hulpmiddelen bedreigingen in het Systeem verwijderen niet herstellen omslag. Dientengevolge, herstelt het Systeem heeft het potentieel van het herstellen van een besmet dossier op uw computer, zelfs nadat u de besmette dossiers van alle andere plaatsen hebt schoongemaakt.
Ook, kan een virusaftasten ontdekken een bedreiging in het Systeem omslag herstelt alhoewel u de bedreiging hebt verwijderd.
Voor instructies op hoe te om Systeem uit te zetten herstel, lees uw documentatie van Vensters, of één van de volgende artikelen:
Om Vensters onbruikbaar te maken of toe te laten herstel me Systeem
Om het Systeem van Vensters uit te zetten of aan te zetten XP herstel
Nota: Wanneer u volledig beëindigd met de verwijderingsprocedure bent en beëindigd dat de bedreiging is verwijderd, herstelt het reenable Systeem door de instructies in de voornoemde documenten te volgen.
Voor extra informatie, en een alternatief voor het onbruikbaar maken Vensters me Systeem herstel, zie het Microsoft Artikel van de Kennisbank: Antivirus de Hulpmiddelen kunnen Besmette Dossiers in _ schoonmaken niet herstellen Omslag (Artikel identiteitskaart: Q263455).
2. Om de virusdefinities bij te werken
De Reactie van de Veiligheid van Symantec test volledig alle virusdefinities voor kwaliteitsverzekering alvorens zij aan onze servers worden gepost. Er zijn twee manieren om de meest recente virusdefinities te verkrijgen:
Het lopen LiveUpdate, die de gemakkelijkste manier is om virusdefinities te verkrijgen:
Als u Norton AntiVirus 2006 gebruikt, worden Collectieve Uitgave 10,0 van Symantec AntiVirus, of de nieuwere producten, definities LiveUpdate dagelijks bijgewerkt. Deze producten omvatten nieuwere technologie.
Als u Norton AntiVirus 2005 gebruikt, worden Collectieve Uitgave 9,0 van Symantec AntiVirus, of de vroegere producten, definities LiveUpdate wekelijks bijgewerkt. De uitzondering is belangrijke uitbarstingen, wanneer de definities vaker worden bijgewerkt.
Het downloaden van de definities die Intelligente Updater gebruiken: De Intelligente Updater virusdefinities worden dagelijks gepost. U zou de definities van de website van de Reactie van de Veiligheid moeten downloaden Symantec En manueel hen installeren. Om te bepalen of de definities voor deze bedreiging door Intelligente Updater beschikbaar zijn, verwijs naar de Definities van het Virus (Intelligente Updater).
De recentste Intelligente Updater virusdefinities kunnen hier worden verkregen: Intelligente Updater virusdefinities. Voor gedetailleerde instructies gelezen het document: Hoe te om de dossiers die van de virusdefinitie bij te werken Intelligente Updater gebruiken.
3. Om af te tasten voor en de besmette dossiers te schrappen
Begin uw antivirus Symantec programma en zorg ervoor dat het wordt gevormd om alle dossiers af te tasten.
Voor de verbruiksgoederen van Norton AntiVirus: Lees het document: Hoe te om Norton AntiVirus te vormen om alle dossiers af te tasten.
Voor de producten van de Onderneming van Symantec AntiVirus: Lees het document: Hoe te om te verifiëren dat een Collectief antivirus Symantec product wordt geplaatst om alle dossiers af te tasten.
Stel een volledig systeemaftasten in werking.
Als om het even welke dossiers worden ontdekt, klik Schrapping.
Belangrijk: Als u uw antivirus Symantec product of productrapporten niet kunt beginnen dat het een ontdekt dossier niet kan schrappen, kunt u het risico moeten tegenhouden van het lopen om het te verwijderen. Om dit te doen, stel het aftasten op Veilige wijze in werking. Voor instructies, las het document hoe te om de computer op Veilige Wijze te beginnen. Zodra u op Veilige wijze opnieuw bent begonnen, stel opnieuw het aftasten in werking.
Nadat de dossiers worden geschrapt, begin de computer op Normale wijze opnieuw en ga met de volgende sectie te werk.
De berichten van de waarschuwing kunnen worden getoond wanneer de computer opnieuw is begonnen, aangezien de bedreiging niet volledig op dit punt kan worden verwijderd. U kunt deze berichten negeren en O.K. klikken. Deze berichten zullen niet lijken wanneer de computer opnieuw is begonnen nadat de verwijderingsinstructies volledig zijn voltooid. De getoonde berichten kunnen aan het volgende gelijkaardig zijn:
Titel: [ DE WEG VAN HET DOSSIER ]
Het lichaam van het bericht: De vensters kunnen vinden niet [ de NAAM van het DOSSIER ]. Zorg u de naam correct typte, ervoor en probeer dan opnieuw. Om naar een dossier te zoeken, klik de knoop van het Begin, en klik dan Onderzoek.
4. Om de dienst te vinden en tegen te houden
Klik Begin > Gelopen.
Typ services.msc, en klik dan O.K..
bepaal de plaats en selecteer van de dienst die werd ontdekt.
Klik Actie > Eigenschappen.
Klik Einde.
Verander Starttype in Handboek.
Klik en sluit O.K. het venster van de Diensten.
Begin de computer opnieuw.
4. Om de waarde van de registratie te schrappen
Belangrijk: Symantec adviseert sterk dat u de registratie alvorens om het even welke veranderingen in het steunt aan te brengen. De onjuiste veranderingen in de registratie kunnen in permanent gegevensverlies of bedorven dossiers resulteren. Wijzig slechts gespecificeerd subkeys. Want de instructies naar het document verwijzen: Hoe te om een steun van de registratie van Vensters te maken.
Klik Begin > Gelopen.
Typ regedit
Klik O.K..
Nota: Als de registratieredacteur er niet in slaagt om de bedreiging te openen kan de registratie gewijzigd hebben om toegang tot de registratieredacteur te verhinderen. De Reactie van de veiligheid heeft een hulpmiddel ontwikkeld om dit probleem op te lossen. Download en stel dit hulpmiddel in werking, en ga dan met de verwijdering verder.
Navigeer aan subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In de juiste ruit, schrap de waarde:
"Zsys" = "%System%\Zsys.exe"
Navigeer aan en subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv
Ga de Redacteur van de Registratie weg.
6. Aan reenable de dienst SharedAccess (Vensters 2000/XP slechts)
De dienst SharedAccess is verantwoordelijk voor het handhaven van het Delen van de Verbinding van Internet en de toepassingen van de Firewall van Vensters/van de Firewall van de Verbinding van Internet in Vensters. (De aanwezigheid en de namen van deze toepassingen variëren afhankelijk van het werkend systeem en de dienstpak u. gebruikt) Om uw computer te beschermen en netwerkfunctionaliteit te handhaven, deze dienst re-toelaten als u om het even welk van deze programma's gebruikt.
Pak 2 van de Dienst van vensters XP
Als u Vensters XP met Pak 2 van de Dienst in werking stelt en de Firewall van Vensters gebruikt, zal het werkende systeem u wanneer de dienst SharedAccess wordt tegengehouden, door een waakzame ballon te tonen zeggend alarmeren dat uw status van de Firewall onbekend is. Voer de volgende stappen uit om ervoor te zorgen dat de Firewall van Vensters wordt re-toegelaten:
Klik het Comité van het Begin > van de Controle.
Dubbelklik het Centrum van de Veiligheid.
Zorg ervoor dat de essentiële veiligheid van de Firewall duidelijk is.
Nota: Als de essentiële veiligheid van de Firewall duidelijk is, is uw Firewall van Vensters en u te hoeven niet om met deze stappen verder te gaan.
Als de essentiële veiligheid van de Firewall niet duidelijk is, klik de knoop van "Aanbevelingen".
In het kader van "Aanbevelingen," de klik laat nu toe. Een venster lijkt vertellend u dat de Firewall van Vensters met succes werd aangezet.
Klik dicht, en klik dan O.K..
Sluit het Centrum van de Veiligheid.
Pak 1 van de Dienst van vensters 2000 of van Vensters XP of vroeger
Voltooi de volgende stappen om de dienst re-toe te laten SharedAccess:
Klik Begin > Gelopen.
Typ services.msc
Dan klik O.K..
Doe één van het volgende:
Vensters 2000: Onder de naam kolom, bepaal de plaats van de "Verbinding van Internet Delend (ICS)" de dienst en dubbelklik het.
Vensters XP: Onder de Genoemde kolom, bepaal de plaats van de "Firewall van de Verbinding van Internet (ICF)/de Verbinding van Internet Delend (ICS)" de dienst en dubbelklik het.
Onder "Starttype:", selecteer "Automatisch" van het drop-down menu.
Onder de "Status van de Dienst:", klik de knoop van het Begin.
Zodra de dienst aanvang heeft voltooid, klik O.K..
Sluit het venster van de Diensten.