Dumaru-Entfernungswerkzeug kostenlos herunterladen, Dumaru-Entfernungswerkzeug Download auf Software - Download

Das Dumaru-Entfernungswerkzeug ist eine leichte Anwendung, die den Win32.Dumaru-Wurm in allen Varianten vollständig löschen kann. win32.dumaru.a@mm kommt als gefälschte E-Mail von Microsoft an: Von: "Microsoft" Security@microsoft.com Betrifft: Verwenden Sie diesen Patch sofort! Körper: Lieber Freund, nutze diesen Internet Explorer-Patch jetzt! Es gibt jetzt gefährliches Virus im Internet! Mehr als 500.000 bereits infiziert! Anhang: patch.exe. Wenn das Virus ausgeführt wird, führt der Virus Folgendes aus: Kopiere sich als: % System% \ Load32.exe % Windows% \ dllreg.exe % System% \ vxdmgr32.exe Fällt ab und führt eine Backdoor-Komponente aus % Windows% \ windrv.exe (8192 Bytes) Was sich mit einem IRC-Server herstellt und einem kennwortgeschützten Kanal verbindet, sendet eine Anmeldekündigung und wartet auf den Autor, um Befehle auszustellen. Erstellt den Wert "Load32" = "% System% \ Load32.exe" In der Registrierungsschlüssel Auf Windows 9X / ME-Systemen folgt dies Folgendes: verwendet RegisterProzess, um seine Anwesenheit zu verbergen; modifiziert system.ini, indem Sie den Eintrag im Abschnitt hinzufügen: shell = explorer.exe% System% \ vxdmgr32.exe Ändert das Win.ini, indem Sie den folgenden Abschnitt hinzufügen: run = c: \ windows \ dllreg.exe Ernte E-Mail-Adressen von Dateien * .htm * .wab. * .html. * .dbx. * .tbb * .abd. und speichert sie in% Windows% \ Winload.log-Datei. Es verwendet den eigenen SMTP-Motor und sendet sich an die E-Mails, die in der Datei Winload.log (siehe oben für das infizierte E-Mail-Format angesehen werden). Es sucht nach * .exe-Dateien, die zu mehreren Antiviren- / Sicherheitsprodukten gehören, und versuchen, sie mit Kopien des Virus zu überschreiben. win32.dumaru.b/c@mm ist ein Massenseil, der Backdoor-Fähigkeiten aufweist (hört auf TCP-Ports 1001, 2283, 10000) und kommt auch mit einem Keylogger. Versuche, Prozesse zu kündigen, die zu mehreren Sicherheits- und Antivirus-Programmen gehören. Bei NTFS-Partitionen kann es mit Kopien des Virus mit Kopien des Virus überschrieben werden. Es spreizt mit diesem Format: Von: Security@microsoft.com. Gegenstand: Verwenden Sie diesen Patch sofort! Körper: Lieber Freund, nutze diesen Internet Explorer-Patch jetzt! Es gibt jetzt gefährliches Virus im Internet! Mehr als 500.000 bereits infiziert! Anhang: patch.exe. Sobald das Rennen ausgeführt wird, tut der Virus Folgendes: 1. Erstellt die oben genannten Dateien und Registrierungsschlüssel / -einträge. 2. Versuche, Prozesse zu kündigen: Zauberst.exe. Zapro.exe. ZoneAlarm.exe. Zatutor.exe. Minilog.exe. Vsmon.exe. Lockdown.exe. Ans.exe. Fast.exe. Guard.exe. Tc.exe. Spyxx.exe. Pvieve95.exe. Regedit.exe. Drwatson.exe. Sysedit.exe. Nsched32.exe. Moolive.exe. Tca.exe. Tcm.exe. Tds-3.exe. Ss3edit.exe. Update.exe. Atcon.exe. Atupdater.exe. Atwatch.exe W. GFE95.exe. Poproxy.exe. Nprotect.exe. Vsstat.exe. Vshwin32.exe. Ndd32.exe. McAgent.exe. Mcupdate.exe. Watchdog.exe. Taumon.exe. Iamapp.exe. Iamsserv.exe. Lockdown2000.exe. Sphinx.exe. WebScanx.exe. Vsecomr.exe. Pcciomon.exe. Icload95.exe. Icmon.exe. Icsupp95.exe. Icloadnt.exe. Icppnt.exe. Frw.exe. Blackice.exe. Blackd.exe. WrcTrl.exe. Wrapmin.exe. WrcTrl.exe. Pcfwallicon.exe. Aplica32.exe. Cfiadmin.exe. Cfiortit.exe. Cgenet32.exe. Cgenet.exe. Tds2-98.exe. Tds2-nt.exe. SafeWeb.exe. Nvarch16.exe. Msmmmc32.exe. PERFW.exe. Vsmain.exe. Luall.exe. Lucoserver.exe. Avsynmgr.exe. Defwatch.exe. Rtvscn95.exe. Vpc42.exe. Vpptray.exe. Pavproxy.exe. APVXDWIN.EXE. Agentsvr.exe. Netstat.exe. Mgui.exe. Msconfig.exe. Nmaain.exe. Nisum.exe. Nisserv.exe. 3. In Windows 9X / ME-Systemen ändert Win.ini und System.ini, um beim Start zu laufen. run =% Windows% \ dllreg.exe shell = explorer.exe% System% \ vxdmgr32.exe 4. Erbt E-Mail-Adressen, indem Sie nach innen suchen: .htm. .wab. .html. .dbx. .; .abd. und versucht, sich mit dem oben beschriebenen E-Mail-Format mit einem eigenen SMTP-Motor und der Standard-SMTP-Adresse zu senden. 5. Versuche, AREXE-Dateien auf NTFS-Partitionen zu infizieren, aber aufgrund eines Fehlers in der Suche wird es nur eine Infektion von .exe-Datei auf der Wurzel der Laufwerke. 6. Verbinden Sie sich mit einem IRC-Server und verbindet einen Kanal, hört auf Ports 1001, 10000 (TCP) für Befehle von einem Angreifer aus. Außerdem wird der Anschluss 2283 (TCP) als Senden (wie ein Proxy) verwendet. 7. erfasst und loggt das Clippboard an% Windows% \ rundllx.sys 8. Erfasst und loggt TESTERNACKES (aber auch Programmname) in% Windows% \ VXDLOAD.log 9. Versucht, eine Verbindung zu einem FTP-Server herzustellen und eine .eml-Datei hochzuladen, die Kennwörter und andere Informationen enthält. win32.dumaru.y@mm ist ein Wurm, der in der folgenden Meldung per E-Mail kommt: Von: "Elene" Betrifft: Wichtige Informationen für Sie. Lesen Sie es sofort! Körper: Hallo ! Hier ist mein Foto, das Sie gestern gefragt haben. Anhang: myphoto.jpg .exe Der Wurm kopiert sich in den Windows-Systemordner mit Namen L32X.exe und VXD32V.exe und im Startordner mit dem Namen Dllxw.exe, fügt den Registrierungsschlüssel hinzu: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ run \ load32 = l32x.exe Es fügt auch zur Shell-Linie hinzu (in System.ini unter Windows 95, 98 und mir oder in der Registrierung unter Windows NT, 2000 und XP): Shell =% systemdir% \ vxd32.exe Ein Keylogger- und Zwischenablage-Monitor ist ebenfalls installiert, und der Wurm hört für Befehle am Port 2283 auf und öffnet einen FTP-Server am Port 10000. Die Massenmailing-Komponente sammelt E-Mail-Adressen von Dateien mit den Erweiterungen .htm, .wab, .html, .dbx, .wab, .ABD und SENDEN E-Mails mithilfe eines eigenen Sendenmotors.

Dumaru-Entfernungswerkzeug Zugehörige Software