W32/Nyxem virüsünü temizlemek
Ad: W32.Blackmal.E@mm Diğer Adlar: WORM_GREW.A, W32/Nyxem-D, W32/MyWife.d@MM Authentium: W32/Kapser.A@mm AVIRA: Worm/KillAV.GR CA: Win32/Blackmal.F Fortinet: W32/Grew.A!wm F-Secure: Nyxem.E Grisoft: Worm/Generic.FX H+BEDV: Worm/KillAV.GR Kaspersky: Email-Worm.Win32.Nyxem.e McAfee: W32/MyWife.d@MM Norman: W32/Small.KI Panda: W32/Tearec.A.worm Sophos: W32/Nyxem-D Symantec: W32.Blackmal.E@mm TrendMicro: WORM_GREW.A Tür: Worm Keşif Tarihi: 17.01.2006 Kaynak : http://www.f-secure.com/v-descs/nyxem_e.shtml TANIM: W32.Blackmal.E@mm, ağ paylaşımlarını kullanarak yayılan ve e-posta gönderen bir solucandır. Kendini eposta mesajları ile göndererek veya ağda paylaşılan klasörlere kopyalayarak yayılmaya çalışan Nyxem virüsü şimdiden 400bin bilgisayara bulaştı. Etkilediği Sistemler: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003 Teknik Bilgiler: 1- Aşağıdaki dosyalardan biri halinde kendini kopyalar: %Windir%\Rundll16.exe %System%\scanregw.exe %System%\Winzip.exe %System%\Update.exe %System%\WINZIP_TMP.EXE %System%\SAMPLE.ZIP %System%\New WinZip File.exe movies.exe Zipped Files.exe 2- İçi boş, kendi adında .zip uzantılı dosya oluşturur ve %System% klasörüne kopyalar. Daha sonra bu dosyayı açarak kendini gizler. 3- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run" anahtarına "ScanRegistry" = "scanregw.exe /scan" değerini ekler. Sonuç olarak Windows her başladığında çalışır. 4- "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced" anahtarına ulaşıp "WebView" = "0" , "ShowSuperHidden" = "0" değerlerini değiştirir. 5-"HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Explorer\CabinetState" anahtarına ulaşıp "FullPath" = "0" değerini değiştirir. Aşağıdaki dosya yollarını siler: %ProgramFiles%\DAP\*.dll %ProgramFiles%\BearShare\*.dll %ProgramFiles%\Symantec\LiveUpdate\*.* %ProgramFiles%\Symantec\Common Files\Symantec Shared\*.* %ProgramFiles%\Norton AntiVirus\*.exe %ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\McAfee.com\VSO\*.exe %ProgramFiles%\McAfee.com\Agent\*.* %ProgramFiles%\McAfee.com\shared\*.* %ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe %ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe %ProgramFiles%\Trend Micro\Internet Security\*.exe %ProgramFiles%\NavNT\*.exe %ProgramFiles%\Morpheus\*.dll %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe %ProgramFiles%\Grisoft\AVG7\*.dll %ProgramFiles%\TREND MICRO\OfficeScan\*.dll %ProgramFiles%\Trend Micro\OfficeScan Client\*.exe %ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar 6- Aşağıdaki başlıkları taşıyan pencereleri kapatır: SYMANTEC SCAN KASPERSKY VIRUS MCAFEE TREND MICRO NORTON REMOVAL FIX ".htm, .dbx, .eml, .msg, .oft, .nws, .vcf, .mbx, .imh, .txt, .msf" uzantılı dosyalardan e-posta adreslerine ulaşır. Edindiği e-posta adreslerine: *Hot Movie* A Great Video Fw: Fw: DSC-00465.jpg Fw: Funny Fw: Picturs Fw: Real show Fw: .mpg
Fw: y
Fwd: Crazy illegal !
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad, başlıklı ve:
007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab DSC-00465.jpg
ATT01.zip.sCR
Attachments<001>,B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.pdf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
,zip.scR
.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
04.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif ekli postalar gönderir.
ÇÖZÜM:
Symantec'in temizleme aracı kullanılabilir: Fix.Blackmal , Fix.Blackmal(web)
http://www.hemenpaylas.com/download/...BmalE.exe.html
Eğer bir sonuç alamazsanız aşağıdaki elle temizleme adımlarını izleyin:
Windows XP'de aktif olarak kullanılan Sistem Geri Yükleme özelliği ile virüs, solucan veya trojan içeren dosyalar yedeklenmiş olabilir. Windows, diğer programların bu yedek dosyalara erişmesini engeller (antivirüs yazılımları dahil). Bilgisayarım'a sağ tıklayıp Özellikler bölümüne girin. Açılan pencerede Sistem Geri Yükleme sekmesine tıklayıp kutucuğu işaretleyerek bu servisi kapatın.
Antivirüs yazılımınızı internetten veya üreticinin sağladığı paketler yardımıyla güncelleyin. (Norton güncelleştirme dosyası)
Tüm sistemi taratın. Eğer W32.Blackmal.E@mm içeren dosyalar bulunduysa ve antivirüs programınız bu dosyaları silemediyse, bilgisayarınızı güvenli modda başlatın ve tekrar taratıp bulunan dosyaları silin.
Başlat'tan Çalıştır'a girin ve 'regedit' yazıp enter tuşuna basın.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run alt anahtarına ulaşıp sağ pencerede bulunan "ScanRegistry" = "scanregw.exe /scan" değerini silin.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\
Advanced alt anahtarına ulaşıp sağ pencerede bulunan "WebView" ve "ShowSuperHidden" değerlerini "0" olarak değiştirin.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\
CabinetState alt anahtarına ulaşıp sağ pencerede bulunan "FullPath" değerini "0" olarak değiştirin.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses alt anahtarında, virüs tarafından değiştirilmiş değerleri düzeltin ve kayıt defterinden çıkın.
Diğer temizleme araçları
Download the W32/Nyxem.D Worm (CleanNyxem.EXE) cleaner now
http://www.pspl.com/download/cleannyxem.exe
:twisted:
Ad: W32.Blackmal.E@mm Diğer Adlar: WORM_GREW.A, W32/Nyxem-D, W32/MyWife.d@MM Authentium: W32/Kapser.A@mm AVIRA: Worm/KillAV.GR CA: Win32/Blackmal.F Fortinet: W32/Grew.A!wm F-Secure: Nyxem.E Grisoft: Worm/Generic.FX H+BEDV: Worm/KillAV.GR Kaspersky: Email-Worm.Win32.Nyxem.e McAfee: W32/MyWife.d@MM Norman: W32/Small.KI Panda: W32/Tearec.A.worm Sophos: W32/Nyxem-D Symantec: W32.Blackmal.E@mm TrendMicro: WORM_GREW.A Tür: Worm Keşif Tarihi: 17.01.2006 Kaynak : http://www.f-secure.com/v-descs/nyxem_e.shtml TANIM: W32.Blackmal.E@mm, ağ paylaşımlarını kullanarak yayılan ve e-posta gönderen bir solucandır. Kendini eposta mesajları ile göndererek veya ağda paylaşılan klasörlere kopyalayarak yayılmaya çalışan Nyxem virüsü şimdiden 400bin bilgisayara bulaştı. Etkilediği Sistemler: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003 Teknik Bilgiler: 1- Aşağıdaki dosyalardan biri halinde kendini kopyalar: %Windir%\Rundll16.exe %System%\scanregw.exe %System%\Winzip.exe %System%\Update.exe %System%\WINZIP_TMP.EXE %System%\SAMPLE.ZIP %System%\New WinZip File.exe movies.exe Zipped Files.exe 2- İçi boş, kendi adında .zip uzantılı dosya oluşturur ve %System% klasörüne kopyalar. Daha sonra bu dosyayı açarak kendini gizler. 3- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run" anahtarına "ScanRegistry" = "scanregw.exe /scan" değerini ekler. Sonuç olarak Windows her başladığında çalışır. 4- "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced" anahtarına ulaşıp "WebView" = "0" , "ShowSuperHidden" = "0" değerlerini değiştirir. 5-"HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Explorer\CabinetState" anahtarına ulaşıp "FullPath" = "0" değerini değiştirir. Aşağıdaki dosya yollarını siler: %ProgramFiles%\DAP\*.dll %ProgramFiles%\BearShare\*.dll %ProgramFiles%\Symantec\LiveUpdate\*.* %ProgramFiles%\Symantec\Common Files\Symantec Shared\*.* %ProgramFiles%\Norton AntiVirus\*.exe %ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\McAfee.com\VSO\*.exe %ProgramFiles%\McAfee.com\Agent\*.* %ProgramFiles%\McAfee.com\shared\*.* %ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe %ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe %ProgramFiles%\Trend Micro\Internet Security\*.exe %ProgramFiles%\NavNT\*.exe %ProgramFiles%\Morpheus\*.dll %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe %ProgramFiles%\Grisoft\AVG7\*.dll %ProgramFiles%\TREND MICRO\OfficeScan\*.dll %ProgramFiles%\Trend Micro\OfficeScan Client\*.exe %ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar 6- Aşağıdaki başlıkları taşıyan pencereleri kapatır: SYMANTEC SCAN KASPERSKY VIRUS MCAFEE TREND MICRO NORTON REMOVAL FIX ".htm, .dbx, .eml, .msg, .oft, .nws, .vcf, .mbx, .imh, .txt, .msf" uzantılı dosyalardan e-posta adreslerine ulaşır. Edindiği e-posta adreslerine: *Hot Movie* A Great Video Fw: Fw: DSC-00465.jpg Fw: Funny Fw: Picturs Fw: Real show Fw: