Instrucció de Supressió Neta Manual per a Cuc. Pabug. ck o Worm.Pabug.co
Cuc. Pabug. ck és un virus informàtic also known as Worm.Pabug.co, Dropper/QQPass.48436, PSW.Win32.QQPass.jh troià o DeepScan.Generic.Malware.SP!dldPk!g.01C03DEE. El virus comporta risc de sistema alt com el comptagotes delictiu impossibilitarà una mica de programari antivirus comunament utilitzat i incapaç d'obrir aplicacions de seguretat. Uns altres símptomes infectats comunicats inclouen incapaç d'actualitzar signatures de virus, incapaces d'accedir o carregar llocs web antivirus o fòrums. Tots aquests efectes provocaven el procés de supressió o desinfecció per a Cuc. Pabug. ck/covirus una mica més dur.
El cuc no es pot autopropagar. És probable que el sistema es podria infectar quan un usuari descarrega un arxiu executable des de l'e-mail, missatger, allotjar-se, i descarrega centres i funciona l'arxiu. O, és possible que sigui instal·lat per uns altres codis delictius (cucs, virus i cavalls de trojan). El cuc que és un comptagotes, quan executat, crearà els arxius següents:
%systemroot%\system32\gfosdg.exe o jusodl.exe
%systemroot%\system32\gfosdg.dll o jusodl.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe o pnvifj.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X representa empenta dura non-system. La carpeta de %systemroot% és normalment C:\Windows en la majoria dels sistemes (així el camí als arxius infectats són C:\Windows\System per a Windows 95/98/JO, C:\WinNT\System32 per a Windows NT/2000, o C:\Windows\System32 per a Windows XP).
Al costat de, el comptagotes també afegeix el seguir valorar a entrades clau de registres de Windows executant noruns.reg i llavors suprimir l'arxiu una vegada fet per fer córrer-se automàticament quan sigui que Windows comença.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
Damunt canviar el mètode de cursa auto de l'empenta.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"jusodl" = "C:\WINDOWS\system32\severe.exe"
"pnvifj" = "C:\WINDOWS\system32\jusodl.exe"
o
"mpnxyl" = "C:\WINDOWS\system32\gfosdg.exe"
"gfosdg" = "C:\WINDOWS\system32\severe.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Closca" = "explorer.exe C:\WINDOWS\system32\drivers\conime.exe"
[Opcions d'Execució d'Arxiu de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image]
Sistema de Windows de = de depurador folder\drivers\pnvifj.exe
o
"Debugger"="C:\WINDOWS\system32\drivers\mpnxyl.exe"
El valor de registres citat és perquè la clau de registres infantil que basava sobre els noms d'arxiu d'executables de la seguretat programa, de manera que quan aquests programari de seguretat són estat doble fet clic, l'arxiu de virus allò és estat corregut. Les claus de registres infantils inclouen:
+ 360Safe.exe
+ adam.exe
+ avp.com
+ avp.exe
+ IceSword.exe
+ iparmo.exe
+ kabaload.exe
+ KRegEx.exe
+ KvDetect.exe
+ KVMonXP.kxp
+ KvXP.kxp
+ MagicSet.exe
+ mmsk.exe
+ msconfig.com
+ msconfig.exe
+ PFW.exe
+ PFWLiveUpdate.exe
+ QQDoctor.exe
+ Ras.exe
+ Rav.exe
+ RavMon.exe
+ regedit.com
+ regedit.exe
+ runiep.exe
+ SREng.EXE
+ TrojDie.kxp
+ WoptiClean.exe
El cuc acaba després de córrer process(es). Els objectius (llistats sota) són programari antivirus, tallafoc, procés de sistema, i uns altres codis delictius. La comanda utilitzava en 'aturada neta' i utilitzant sc.exe per configurar prohibir ús d'aquests serveis amb la comanda "config [service_name] start=disabled"
srservice
sharedaccess
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
El virus també acaba i impedeix al procés següent executar-se:
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
També modifica arxiu d'AMFITRIONS per amagar l'usuari a les adreces de specifiec que connecten. Generalment, les adreces són pàgines inicials de llocs de seguretat d'Internet i servidors d'actualitzacions de motors antivirus. Així l'usuari del sistema infectat no pot aconseguir que les actualitzacions d'informació o motor escannegin i treguin el codi delictiu.
Seguir són les adreces que es bloquegen:
127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
El virus és també pot afectar empenta de flaix d'USB o disc dur portàtil, per l'autocursa OSO.exe. Tota la partició no-sistema will conté OSO.exe i autocursa. arxius de virus d'inf també. Al costat de, el temps de sistema es pot canviar també per fer que expirin alguns programes antivirus.
Com Treure i Desinfectar Cuc. Pabug. ck o Cuc. Pabug. co Manualment
A programa antivirus corregut que s'ha impossibilitat, pot intentar rebatejar el nom d'arxiu executable antivirus a un altre nom d'arxiu, i llavors executar el nom d'arxiu nou.
Acabi i acabi els processos següents (tasques) que utilitzen Tasca Director (alternativa que pot utilitzar procexp):
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
Tregui la clau de registres afegida per virus sota la clau de registres d'Opcions d'Execució d'Arxiu de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image que utilitza Editor de Registre o Autoruns (per a Autoruns, saludi primeres Entrades de Microsoft d'Amagatall de -> d'Opcions selectes per evitar equivocat suprimeixen entrades vàlides. Aquest procés admetrà antivirus o programari de seguretat o utilitats de sistema com IceSword, SREng i etc. poder funcionar pròpiament una altra vegada:
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe
Tregui la cursa auto següent sobre entrades de registres de posada en marxa de Windows situades en clau de registres de HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run utilitzant Editor de Registre o SREng (Enginyer de Reparació de Sistema)
"mpnxyl"="C:\WINDOWS\system32\gfosdg.exe"
"gfosdg"="C:\WINDOWS\system32\severe.exe"
També navegui al registre de HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon clau, doble fer-hi clic i treure el text darrere "Explorer.exe" en les dades de valor, de manera que es torni ell mirada com tan sota:
"shell"="Explorer.exe"
Després suprimir tots els arxius plantats pel virus. Bitllet que fins i tot si vostè bé fer clic a aquests arxius infectats poden provocar el procés d'infecció, així es recomana per utilitzar IceSword o WinRAR per suprimir aquests arxius:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
Els X signifiquen totes les particions no-sistema, incloent-hi la seva empenta de flaix d'USB i disc dur portàtil.
Recuperació de Sistema i Netejar
Navegui a les claus de registres següents i afegeixi altra vegada el valor original.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
El Valor de "NoDriveTypeAutoRun" és variar depenent de sistema, normalment per defecte posarà com 91 (en el valor de MALEFICI)
Després treure tot el contingut afegit pel cuc en arxiu d'Amfitrions. Utilitzi Notepad per obrir %systemroot%\system32\drivers\etc\hosts, i treure les entrades o línies especificades a dalt. Si està utilitzant SREng, simplement fer clic a La "Recuperació de Sistema" -> "Arxiu d'amfitrions", llavors clic "reemplaçar" i llavors "salvar".
Finalment, necessitarà recobrar o reparar o reinstal·lar el programa antivirus, si s'ha fet malbé.
IMPORTANT: La pàgina és màquina traduïda i proporcionada "com és" sense garantia. La traducció automàtica pot ser difícil d'entendre. Si us plau refereixi's a article anglès original quan sigui que possible.
Articles Relacionats
- Netegi i Tregui Windows Virus de Missatger de MSN Viu (Arreglen les Eines de Supressió o MSN)
- Manual i Net Ininstal·lar Oracle per a Windows
- Dr.Web CureIt! Lliure Descarregar per Netejar Virus, Cuc, Rootkit, Spyware i uns Altres Malestris
- Descarregui Última Supressió de Virus Kaspersky Eina v7.0.0.223
- Descarregui Versió d'Eina de Supressió de Virus Kaspersky 7.0.0.242
- Eviti Cuc Santa Claus Mentre Celebra Nadal
- Programari de Seguretat Contra Cuc Conficker Descarregar Enllaços
- Els Usuaris Facebook S'Adverteixen en Variant Nova de Cuc Koobface
- AMD Introduïa Ampliacions de Joc d'Instruccions de SSE5
- Com a l'Ús Windows Eina de Supressió de Programari Delictiva (MRT.EXE) en la Perspectiva, XP, 2000 i 2K3
Entrades (RSS)