Zabil jsem bígla

4. listopadu 2005 v 8:31 | jandys |  Střípky z IT
Bígl, nebo chcete-li anglicky Beagle je hnusný červ. Většinou k Vám přijde poštou a když si spustíte podezřelou přílohu nestačíte se divit.
Nová varianta známá jako W32.Beagle.CO@mm je zákeřná protože dokáže odstavit většinu antivirových systémů v případě, že nemáte nejnovější aktualizace. Co napáchal a jak ho odstranit....

Co udělá:
1.Na HDD se uloží do systémového adresáře soubory:
hloader_exe.exe, antiav_exe.exe, hleader_dll.dll, antiav_dll.dll
2. Uloží si do registru klíče
"auto__antiav__key " = "%System%antiav_exe.exe"
"auto__hloader__key" = "%System%hloader_exe.exe"
do umístění:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
3. knihovnu dll naváže na explorer aby nešla odstranit antivirovými systémy
4. A nejzákeřnější krok je ostranění klíčů antivirových systémů:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunccApp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunKAV50
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSymantecNetDriver Monitor
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunZone Labs Client
HKEY_CURRENT_USERSoftwareAgnitum
HKEY_CURRENT_USERSoftwareKasperskyLab
HKEY_CURRENT_USERSoftwareMcAfee
HKEY_CURRENT_USERSoftwarePanda Software
HKEY_CURRENT_USERSoftwareSymantec
HKEY_CURRENT_USERSoftwareTrend Micro
HKEY_CURRENT_USERSoftwareZone Labs

Řešení

V nouzovém režimu si pustit třeba windows commander nebo salamandra (stačí i cmd, ale je to pakec) a Správce úloh.

1. krok odstřelit procesy hloader_exe.exe, antiav_exe.exe a explorer!!!!.

2. pomocí commandru smazat
hloader_exe.exe
, antiav_exe.exe, hleader_dll.dll, antiav_dll.dll
z WindowsSystem32 a pravděpodobně i budou exe soubory i ve WindowsPrefetch

3. spusit regedit a odranit klíče dvojicí klíču
"auto__antiav__key " = "%System%antiav_exe.exe"
"auto__hloader__key" = "%System%hloader_exe.exe"
z větve
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

4. Změnit Administrátorovi práva na adresář Systém Volume Information - > Úplné řízení
5. Znovu si nainstalovat svůj antivirový program, stáhnout aktualizaci a nejprve provést sken výše uvedeného adresáře. Pak teprve skenovat celý počítač.
Výše popsaný návod má tu výhodu, že nemusíte vypínat službu Obnova systému.
V případě dotazů se mi ozvěte
 

Buď první, kdo ohodnotí tento článek.

Nový komentář

Přihlásit se
  Ještě nemáte vlastní web? Můžete si jej zdarma založit na Blog.cz.
 

Aktuální články

Reklama