WORM_NETSKY.P
Worm:Win32/Netsky.P@mm (Microsoft), W32/Netsky.p@MM (McAfee), W32.Netsky.P@mm (Symantec)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen. Wird über P2P-Freigabelaufwerke (Peer-to-Peer) übertragen.
Détails techniques
Übertragungsdetails
Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.
Wird über P2P-Freigabelaufwerke (Peer-to-Peer) übertragen.
Installation
Schleust folgende Komponentendateien ein:
- %Windows%\USERCONFIG9X.DLL
- %Windows%\zip1.tmp
- %Windows%\zip2.tmp
- %Windows%\zip3.tmp
- %Windows%\base64.tmp
- %Windows%\zipped.tmp
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Windows%\FVPROTECT.EXE
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Norton Antivirus AV = "%Windows%\FVProtect.exe"
Andere Systemänderungen
Löscht die folgenden Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
OLE
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Windows Services Host
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
au.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
d3dupdate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
direct.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
gouday.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
rate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
srate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
ssate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
sysmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
winupd.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
PINF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Video
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
system.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
DELETE ME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Sentry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Taskmon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Video
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
Windows Services Host
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
direct.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
jijb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
msgsvr32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
system.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\
winupd.exe
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\WksPatch
Verbreitung
Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:
- my shared folder
- download
- ftp
- htdocs
- http
- upload
- shar
- icq
- bear
- lime
- morpheus
- donkey
- mule
- kazaa
- shared files
Verwendet die folgenden Dateinamen für die in die Freigabenetzwerke eingeschleusten Kopien:
- 1001 Sex and more.rtf.exe
- 3D Studio Max 6 3dsmax.exe
- ACDSee 10.exe
- Adobe Photoshop 10 crack.exe
- Adobe Photoshop 10 full.exe
- Adobe Premiere 10.exe
- Ahead Nero 8.exe
- Altkins Diet.doc.exe
- American Idol.doc.exe
- Arnold Schwarzenegger.jpg.exe
- Britney Spears Sexy archive.doc.exe
- Britney Spears Song text archive.doc.exe
- Britney Spears and Eminem porn.jpg.exe
- Britney Spears blowjob.jpg.exe
- Britney Spears cumshot.jpg.exe
- Britney Spears fuck.jpg.exe
- Britney Spears full album.mp3.exe
- Britney Spears porn.jpg.exe
- Britney Spears.jpg.exe
- Britney Spears.mp3.exe
- Britney sex xxx.jpg.exe
- Clone DVD 6.exe
- Cloning.doc.exe
- Cracks & Warez Archiv.exe
- Dictionary English 2004 - France.doc.exe
- DivX 8.0 final.exe
- Doom 3 release 2.exe
- E-Book Archive2.rtf.exe
- Eminem Poster.jpg.exe
- Eminem Sexy archive.doc.exe
- Eminem Song text archive.doc.exe
- Eminem Spears porn.jpg.exe
- Eminem blowjob.jpg.exe
- Eminem full album.mp3.exe
- Eminem sex xxx.jpg.exe
- Eminem.mp3.exe
- Gimp 1.8 Full with Key.exe
- Harry Potter 1-6 book.txt.exe
- Harry Potter 5.mpg.exe
- Harry Potter all e.book.doc.exe
- Harry Potter e book.doc.exe
- Harry Potter game.exe
- Harry Potter.doc.exe
- How to hack new.doc.exe
- Internet Explorer 9 setup.exe
- Kazaa new.exe
- Keygen 4 all new.exe
- Learn Programming 2004.doc.exe
- Lightwave 9 Update.exe
- MS Service Pack 6.exe
- Magix Video Deluxe 5 beta.exe
- Matrix.mpg.exe
- Microsoft Office 2003 Crack best.exe
- Microsoft WinXP Crack full.exe
- Norton Antivirus 2005 beta.exe
- Opera 11.exe
- Partitionsmagic 10 beta.exe
- RFC compilation.doc.exe
- Ringtones.doc.exe
- Ringtones.mp3.exe
- Saddam Hussein.jpg.exe
- Serials edition.txt.exe
- Smashing the stack full.rtf.exe
- Star Office 9.exe
- The Sims 4 beta.exe
- Ulead Keygen 2004.exe
- Visual Studio Net Crack all.exe
- Win Longhorn re.exe
- WinAmp 13 full.exe
- WinXP eBook newest.doc.exe
- Windows 2000 Sourcecode.doc.exe
- Windows 2003 crack.exe
- Windows XP crack.exe
- XXX hardcore pics.jpg.exe
- Kazaa Lite 4.0 new.exe
Solutions
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Dateien erkennen und deaktivieren, die als WORM_NETSKY.P entdeckt wurden
- Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier. herunterladen.
- Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
- Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.
Step 3
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Norton Antivirus AV = "%Windows%\FVProtect.exe"
- Norton Antivirus AV = "%Windows%\FVProtect.exe"
Step 4
Diese Dateien suchen und löschen
- %Windows%\USERCONFIG9X.DLL
- %Windows%\zip1.tmp
- %Windows%\zip2.tmp
- %Windows%\zip3.tmp
- %Windows%\base64.tmp
- %Windows%\zipped.tmp
- %Windows%\USERCONFIG9X.DLL
- %Windows%\zip1.tmp
- %Windows%\zip2.tmp
- %Windows%\zip3.tmp
- %Windows%\base64.tmp
- %Windows%\zipped.tmp
Step 5
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als WORM_NETSKY.P entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!