Virus | Spyware
Sdbot.AG
Con questi Web site potete rimuovere il virus di Sdbot.AG:
rimuova Sdbot.AG virus
Backdoor.Sdbot.AG è una vite senza fine rete-informata con le possibilità backdoor che le diffusioni via la rete ripartisce e che permette che un attacker a distanza guadagni l'accesso non autorizzato al calcolatore infettato.Quando Backdoor.Sdbot.AG è eseguito, realizza le seguenti azioni:
Copie in se come la seguente lima:
%System%\wimsqaad.exe
Nota: %System% è una variabile che si riferisce al dispositivo di piegatura del sistema. Per difetto questo è C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows.xp).
Aggiunge il valore:
"Miosf Update"="wimsqaad.exe"
alle seguenti chiavi di registrazione:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
in moda da eseguire sempre la vite senza fine Windows comincia.
Apre un backdoor sul calcolatore infettato collegando ad un assistente del IRC all'orificio 6631 di TCP su uno o più di seguenti ospiti:
ronz1.afraid.org
ronz2.afraid.org
Ascolta gli ordini da un attacker a distanza realizzare alcune di seguenti azioni:
Effettui una smentita degli attacchi di servizio (DOS) contro un ospite dell'obiettivo
Colleghi ad un URL
Upload e trasferisca le lime dal sistema centrale verso i satelliti
Esegua i programmi
Conduca le esplorazioni port
Avvii un assistente del HTTP
Avvii un ftp server
Richiami le informazioni del sistema
Richiami l'identificazione del prodotto di Windows
Blocchi i colpi dello schermo ed alimentisi da Webcams
Fiuti i pacchetti sulla rete locale
Diffusioni alle seguenti parti della rete:
IP
Admin%\system32
\winnt\system32
\windows\system32
sugli indirizzi a caso generati del IP, usando i nomi dell'utente ottenuti con il NetUserEnum api e la seguente lista delle parole d'accesso:
007
121
123
1234
12346
123467
1234678
12346789
123467890
accesso
contabilità
clienti
adm
admin
coordinatore
afro
asd
sostegno
barbara
fattura
spazio in bianco
brian
bruce
capitol
changeme
Cisco
compaq
controllo
ctx
dati
base di dati
databasepass
databasepassword
db1
db1234
dbpass
dbpassword
difetto
dell
dominio
domainpass
domainpassword
scambio
exchnge
pesci
firma di franchigia
fred
fred
freddy
scopata
george
glen
dio
ospite
headoffice
cielo
inferno
domestico
homeuser
ian
Internet
Internet
Intranet
joan
Joe
john
kate
katie
lan
rifugi
inizio attività
loginpass
luke
posta
principale
mary
massa
microfono
neil
nokia
nessun
posizione di segnale minimo
OEM
oeminstall
oemuser
ufficio
arancione
prospettiva
owa
passaggio
pass1234
pass1234
passwd
parola d'accesso
password1
peter
peter
colore rosa
pwd
qaz
qwe
qwerty
ron
salvia
SAM
assistente
sesso
Siemens
spencer
sql
sqlpass
personale
allievo
student1
citi
susan
sistema
insegnante
tecnico
prova
rapa
utente
user1
user1
userpassword
fotoricettore
win2000
win2k
win98
finestre
winnt
winpass
winxp
WWW
colore giallo
zxc
Ruba le chiavi del CD per i seguenti giochi:
Notti di Neverwinter (hordes del Underdark)
Notti di Neverwinter (ombre di Undrentide)
Notti Di Neverwinter
Soldato di fortuna II - doppia elica
Software\Activision\Soldier di fortuna II - doppia elica
2 Nascosti & Pericolosi
Bicromato di potassio
NOX
Comandi e conquisti: Allarme Rosso 2
Comandi e conquisti: Allarme Rosso
Comandi e conquisti: Sole Di Tiberian
Arcobaleno Sei III RavenShield
Nascar Che Corre 2003
Nascar Che Corre 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Shogun: Guerra Totale: Edizione Di Warlord
Esigenza Di Velocità: Sotterraneo
Esigenza Dell'Inseguimento Caldo 2 Di Velocità
Medaglia di honor: Assalto Alleato: Conduca
Medaglia di honor: Assalto Alleato: Innovazione
Medaglia di honor: Assalto Alleato
Funzionamenti Globali
Comandi e conquisti: Generalità
Legame 007 Di James: Nightfire
Comandi e conquisti: Generalità (Ora Zero)
Nero e bianco
Campo di battaglia Vietnam
Campo di battaglia 1942 (armi segrete di WWII)
Campo di battaglia 1942 (Strada A Roma)
Campo di battaglia 1942
Forza Di Libertà
IGI 2: Colpo Segreto
Torneo Irreale 2004
Torneo Irreale 2003
Soldati Di Anarchy
Leggende di forza e di magia
Gigante 2 Di Industria
Periodo radioattivo
Chronicles di bandito
I Gladiators
Contatore-Colpisca
La risposta di sicurezza di Symantec consiglia a tutti gli utenti e coordinatori aderirsi alla seguente sicurezza di base "pratiche migliori":
Spenga e rimuova i servizi non necessari. Per difetto, molti sistemi operativi installano i servizi ausiliarii che non sono critici, quale un ftp server, telnet e un web server. Questi servizi sono viali dell'attacco. Se sono rimossi, le minacce mescolate hanno meno viali dell'attacco ed avete pochi servizi da effettuare attraverso gli aggiornamenti della zona.
Se una minaccia mescolata sfrutta uno o più servizi di rete, inabiliti, o ostruisca l'accesso a, quei servizi fino ad applicare una zona.
Sempre mantenga i vostri livelli della zona aggiornati, particolarmente sui calcolatori che ospitano i servizi pubblici e sono accessibili attraverso la parete refrattaria, quali il HTTP, il ftp, la posta ed i servizi di DNS (per esempio, tutti i calcolatori windows-based dovrebbero avere il pacchetto corrente di servizio installato). Ulteriormente, applichi prego tutti gli aggiornamenti di sicurezza che sono accennati in questo articolo, nei bollettini di fiducia di sicurezza, o sui luoghi di fotoricettore del fornitore.
Faccia rispettare una politica di parola d'accesso. Le parole d'accesso complesse lo rendono difficile spezzare le lime di parola d'accesso sui calcolatori compromessi. Ciò contribuisce ad impedire o limitare danni quando un calcolatore si compromette.
Configuri il vostro assistente del email per ostruire o rimuovere il email che contiene i collegamenti della lima che sono utilizzati comunemente per spargere i virus, quali le lime dei vbs, del bat, del exe, del pif e del scr.
Isoli rapidamente i calcolatori infettati per evitare più ulteriormente il compromesso della vostra organizzazione. Effettui un'analisi legale e ristabilisca i calcolatori usando i mezzi di fiducia.
Addestri gli impiegati per non aprire i collegamenti a meno che stiano prevedendoli. Inoltre, non esegua il software che sia trasferito dal Internet a meno che sia stato esplorato per i virus. Semplicemente visitare un Web site compromesso può causare l'infezione se determinate vulnerabilità del browser non sono rattoppate.
Le seguenti istruzioni appartengono tutti i prodotti correnti e recenti di antivirus di Symantec, compreso serie di prodotti di Symantec AntiVirus e di Norton AntiVirus.
Inabiliti Il Restore Del Sistema (Windows Me/XP).
Aggiorni le definizioni del virus.
Faccia funzionare un'esplorazione completa del sistema e cancelli tutte le lime rilevate come Backdoor.Sdbot.AG.
Cancelli il valore che è stato aggiunto alla registrazione.
Per i particolari specifici su ciascuno di questi punti, legga le seguenti istruzioni.
1. Per inabilitare restore del sistema (Windows Me/XP)
Se state facendo funzionare Windows me o Windows.xp, suggeriamo che temporaneamente spegnete il restore del sistema. Windows Me/XP usa questa caratteristica, che è permessa per difetto, per ripristinare le lime sul vostro calcolatore nel caso sono danneggiate. Se un virus, una vite senza fine, o un Trojan infetta un calcolatore, il restore del sistema può sostenere il virus, la vite senza fine, o il Trojan sul calcolatore.
Windows impedisce i programmi esterni, compreso i programmi di antivirus, restore di modificazione del sistema. Di conseguenza, i programmi di antivirus o gli attrezzi non possono rimuovere le minacce nel dispositivo di piegatura di restore del sistema. Di conseguenza, il restore del sistema ha il potenziale di ripristino della lima infettata sul vostro calcolatore, anche dopo che avete liberato le lime infettate da tutte le altre posizioni.
Inoltre, un'esplorazione del virus può rilevare una minaccia nel dispositivo di piegatura di restore del sistema anche se avete rimosso la minaccia.
Per le istruzioni su come spegnere il restore del sistema, legga la vostra documentazione di Windows, o uno di seguenti articoli:
"come inabilitare o permettere Windows me restore del sistema"
"come spegnere o accendere restore del sistema di Windows.xp"
Nota: Quando completamente siete rifiniti con il metodo di rimozione e siete soddisfatti che la minaccia è stata rimossa, re-enable il restore del sistema tramite dopo le istruzioni nei documenti sopraccennati.
Per le informazioni supplementari e un'alternativa ad inabilitare Windows me restore del sistema, vedo l'articolo della base di conoscenza del Microsoft, "attrezzi di Antivirus non posso pulire le lime infettate _ nel dispositivo di piegatura di restore," identificazione dell'articolo: Q263455.
2. Per aggiornare le definizioni del virus
La risposta di sicurezza di Symantec completamente verifica tutte le definizioni del virus a garanzia della qualità prima che siano inviate ai nostri assistenti. Ci sono due sensi ottenere le definizioni del virus più recenti:
LiveUpdate funzionante, che è il senso più facile ottenere le definizioni del virus: Queste definizioni del virus sono inviate agli assistenti di LiveUpdate una volta che ogni settimana (solitamente al mercoledì), a meno che ci sia uno scoppio importante del virus. Per determinare se le definizioni per questa minaccia siano disponibili da LiveUpdate, riferiscasi alle definizioni del virus (LiveUpdate).
Trasferimento dal sistema centrale verso i satelliti delle definizioni dal sistema centrale verso i satelliti usando il Updater intelligente: Le definizioni intelligenti del virus di Updater sono inviate giornalmente. Dovreste trasferire le definizioni dal sistema centrale verso i satelliti dal Web site di risposta di sicurezza di Symantec ed installarli manualmente. Per determinare se le definizioni per questa minaccia siano disponibili dal Updater intelligente, riferiscasi alle definizioni del virus (Updater intelligente).
Le definizioni intelligenti del virus di Updater sono disponibili: Colto "come aggiornare la definizione del virus archivia usando il Updater intelligente" per le istruzioni dettagliate.
3. Per esplorare per e cancellare le lime infettate
Inizi il vostro programma di antivirus di Symantec ed assicurisi che è configurato per esaminare tutte le lime.
Per i prodotti di consumatore di Norton AntiVirus: Legga il documento, "come configurare Norton AntiVirus per esaminare tutte le lime."
Per i prodotti di impresa di Symantec AntiVirus: Legga il documento, "come verificare che un prodotto corporativo di antivirus di Symantec è regolato per esaminare tutte le lime."
Faccia funzionare un'esplorazione completa del sistema.
Se delle lime sono rilevate come infettate con Backdoor.Sdbot.AG, cancellazione di scatto.
Nota: Se il vostro prodotto di antivirus di Symantec segnala che non può cancellare una lima infettata, Windows può usare la lima. Per riparare questo, faccia funzionare l'esplorazione nel modo sicuro. Per le istruzioni, legga il documento, "come avviare il calcolatore nel modo sicuro." Una volta che avete ricominciato nel modo sicuro, faccia funzionare ancora l'esplorazione.
(dopo che le lime siano cancellate, potete lasciare il calcolatore nel modo sicuro e procedere alla parte 4. Quando quello è fatto, ricominci il calcolatore nel modo normale.)
4. Per cancellare il valore dalla registrazione
Importante: Symantec suggerisce vivamente che sostenete la registrazione prima di farle qualsiasi cambiamenti. I cambiamenti errati alla registrazione possono provocare la perdita permanente di dati o lime corrotte. Modifichi le chiavi specificate soltanto. Legga il documento, "come fare un sostegno della registrazione di Windows," per le istruzioni.
Scatti L'Inizio > Funzionato.
Scriva il regedit a macchina
Allora scattisi BENE.
Traversi alla chiave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Nella lastra di vetro di destra, cancelli il valore:
"Miosf Update"="wimsqaad.exe"
Rimuova il redattore di registrazione.