W32.Beagle.AG@mm
|
|
<!-- DATES -->
发现时间: 2004.07.19 |
上次更新时间: 2004.07.19 |
<!-- Buttons (Printer Friendly, etc) -->
<!-- START PF / TAF / TUTORIAL -->
<!-- END PF / TAF / TUTORIAL --><!-- INTERNAL NAVIGATION -->
<!-- END INTERNAL NAVIGATION -->
W32.Beagle.AG@mm 是群发邮件蠕虫,它使用自己的 SMTP 引擎通过电子邮件传播并在 TCP 端口 1080 上打开后门。该电子邮件的主题和文件附件变化多端。 附件会使用 .com、.cpl、.exe、.hta、.scr、.vbs 或 .zip 文件扩展名。
该蠕虫使用 PeX 打包。
赛门铁克安全响应中心已经创建了用来杀除 W32.Beagle.AG@mm 的工具。单击此处可获取该工具。
<!-- a.k.a. -->也称为:
| WORM_BAGLE.AH [Trend], W32/Bagle.ai@MM [McAfee], W32/Bagle-AI [Sophos], Win32.Bagle.AI [Computer Associates] |
<!-- variants --> | |
<!-- type -->··:
| Worm |
<!-- infection length -->····:
| varies |
<!-- (software) name --> | |
<!-- version --> | |
<!-- publisher --> | |
<!-- systems affected -->······:
| Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP |
<!-- systems not affected -->·······:
| DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x |
<!-- CVE References --> | |
<!-- removal procedure --> | |
<!-- potential damage --> | |
<!-- BEGIN PROTECTION/DETECTION BOX -->
|
Beta 版病毒定义
| 2004.07.19
|
|
病毒定义 (Intelligent Updater)*
| 2004.07.19
|
|
病毒定义 (LiveUpdate?) **
| 2004.07.19
|
| <!-- <tr> <td colspan="2"><p align="center" class="tiny"><a href="http://nct.symantecstore.com/0001/nu_bonus2.html">Special Offer: Get Comprehensive Internet Security Protection</a></p></td> </tr> <tr><td colspan="2"><img src="/avcenter/graphics/black.gif" width="100" height="1" /></td></tr> -->
*
| Intelligent Updater 病毒定义会每天发布一次,并需要手动下载和安装。 单击这里以进行手动下载。
|
**
| LiveUpdate 病毒定义通常会在每周三发布。 单击这里,可获得使用 LiveUpdate 的说明
|
|
|
<!-- END PROTECTION BOX --><!-- threat assessment --><!-- SARCTHREATASSESSMENT -->
<!-- wild header and start list --> ··
<!-- wild_infections -->-
感染数量: 50 - 999 <!-- wild_sites -->
-
站点数量: 大于 10 <!-- wild_geographic_distribution -->
-
地理分布: 低度 <!-- wild_threat_containment-->
-
威胁遏制: 容易 <!-- wild_removal -->
-
消除威胁能力: 一般 <!-- end list -->
|
<!-- BEGIN THREAT METRICS BOX --> <!-- END THREAT METRICS BOX --> |
<!-- damage - section --><!-- damage header and start list -->
损坏程度
<!-- damage_trigger -->-
有效载荷触发器: n/a <!-- damage_payload -->
-
····: n/a
<!-- damage_payload_emailing -->-
大量电子邮件发送: Sends email to the addresses collected from an infected computer. <!-- damage_payload_delete_files -->
-
删除文件: n/a <!-- damage_payload_modify_files -->
-
修改文件: n/a <!-- damage_payload_degrade -->
-
降低性能: Mass-mailing may clog mail servers or degrade network performance. <!-- damage_payload_instability -->
-
造成系统不稳定: n/a <!-- damage_payload_confidential -->
-
发布保密信息: n/a <!-- damage_payload_security -->
-
······: Terminates processes associated with various security-related programs. Allows unauthorized remote access to a compromised host. <!-- end list -->
<!-- end list -->
<!-- distribution - section --><!-- distribution header and start list -->
分发
<!-- distribution_email_subject -->-
电子邮件主题: Varies <!-- distribution_attachment_name -->
-
附件名称: Varies with a .com, .cpl, .exe, .scr, or .zip file extension. <!-- distribution_attachment_size -->
-
附件大小: Varies <!-- distribution_attachment_stamp -->
-
附件的时戳: n/a <!-- distribution_ports -->
-
端口: n/a <!-- distribution_shared_drive -->
-
共享驱动器: n/a <!-- distribution_target -->
-
感染目标: n/a <!-- end list -->
<!-- technical description -->
W32.Beagle.AG@mm 运行时会执行下列操作:
-
从键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除包含以下字符串的值:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
-
创建下列文件:
%System%\winxp.exe
%System%\winxp.exeopen
%System%\winxp.exeopenopen
%System%\winxp.exeopenopenopen
%System%\winxp.exeopenopenopenopen
注意:%System% 是一个变量。 蠕虫会找到 System 文件夹,并将自身复制到其中。 默认情况下,此文件夹为 C:\Windows\System
(Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
-
放入文件 %System%\winxp.exeopenopen。该文件是 .zip 或 .cpl 文件:
-
如果文件是 .zip 文件,它将包含两个随机命名的文件。 一个是 .exe 文件,另一个是扩展名为 .sys、.dat、.idx、.vxd、.vid 或 .dll 的文本文件。
- 如果文件是 .cpl 文件且被执行,则它会将一个名为 cplstub.exe 的文件放入 %Windir% 文件夹。
Note: %Windir% 是一个变量。 蠕虫会找到 Windows installation 文件夹,并将自身复制到其中。 默认情况下,此文件夹为 (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
-
将值:
"key" = "%System%\winxp.exe"
添加到注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
这样,该蠕虫的放置程序便可在 Windows启动时运行。
-
打开 TCP 端口 1080 上的后门,以使受感染计算机作为电子邮件中继使用。
-
联系各域的 .php 脚本,有关获各域名,请参考下方域中的各域名。
-
结束与软件相关的进程。有关获各进程名,请参考下方进程中的各进程名
-
试图在所有包含“shar”字符的文件夹下创建其自身的副本。 文件将有以下文件名称:
-
ACDSee 9.exe
-
Adobe Photoshop 9 full.exe
-
Ahead Nero 7.exe
-
Kaspersky Antivirus 5.0
-
KAV 5.0
-
Matrix 3 Revolution English Subtitles.exe
-
Microsoft Office 2003 Crack, Working!.exe
-
Microsoft Office XP working Crack, Keygen.exe
-
Microsoft Windows XP, WinXP Crack, working Keygen.exe
-
Opera 8 New!.exe
-
Porno pics arhive, xxx.exe
-
Porno Screensaver.scr
-
Porno, sex, oral, anal cool, awesome!!.exe
-
Serials.txt.exe
-
WinAmp 5 Pro Keygen Crack Update.exe
-
WinAmp 6 New!.exe
-
Windown Longhorn Beta Leak.exe
-
Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
-
在具有以下扩展名的文件中搜索电子邮件地址:
-
.adb
-
.asp
-
.cfg
-
.cgi
-
.dbx
-
.dhtm
-
.eml
-
.htm
-
.jsp
-
.mbx
-
.mdx
-
.mht
-
.mmf
-
.msg
-
.nch
-
.ods
-
.oft
-
.php
-
.pl
-
.sht
-
.shtm
-
.stm
-
.tbb
-
.txt
-
.uin
-
.wab
-
.wsh
-
.xls
- .xml
-
使用自己的 SMTP 引擎向找到的电子邮件地址发送电子邮件。 所发送的电子邮件具有下列特征:
发件人:<欺骗性>
主题: Re_
正文:
-
foto3 and MP3
-
fotogalary and Music
-
fotoinfo
-
Lovely animals
-
Animals
-
Predators
-
The snake
-
Screen and Music
附件:(下列之一)
-
Cat
-
Cool_MP3
-
Dog
-
Doll
-
Fish
-
Garry
-
MP3
-
Music_MP3
-
New_MP3_Player
附件扩展名:(下列之一)
-
.exe
-
.scr
-
.com
-
.cpl
- .zip
域
W32.Beagle.AG@mm 试图联系以下各域:
-
abtacha.wirebrain.de
-
begros.de
-
deepiceman.de
-
dfk-crew.clanintern.de
-
die-cliquee.de
-
edwinf.surfplanet.de
-
knecht.cs.uni-magdeburg.de
-
login.rz.fh-augsburg.de
-
niematec.de
-
obechmann.de
-
pe-data.de
-
people-ftp.freenet.de
-
people-ftp.freenet.de
-
people-ftp.freenet.de
-
ronnyackermann.de
-
sgi1.rz.rwth-aachen.de
-
symbit.de
-
tripod.de
-
web154.essen082.server4free.de
-
web216.berlin240.server4free.de
-
www.aachen.de
-
www.abacho.de
-
www.anwaltverein.de/
-
www.aquarius.geomar.de
-
www.astronomie.de
-
www.atlantis-show.de
-
www.atlas-hannover.de
-
www.awi-bremerhaven.de
-
www.baden-wuerttemberg.de
-
www.bayerninfo.de
-
www.beck.de
-
www.berlinonline.de
-
www.bessy.de
-
www.bitburger.de
-
www.blk-bonn.de/
-
www.bmgs.bund.de
-
www.brigitte.de
-
www.bundesliga.de
-
www.calistyler.de
-
www.citypopulation.de
-
www.dar-fantasy.de
-
www.dasding.de
-
www.degruyter.de
-
www.destatis.de
-
www.dortmund.de
-
www.duden.de
-
www.dwelle.de
-
www.empire-show.de
-
www.eumetsat.de
-
www.europarl.de
-
www.expo2000.de
-
www.fernuni-hagen.de
-
www.finanznachrichten.de
-
www.firstgate.de
-
www.frankfurt-airport.de
-
www.frankfurter-buchmesse.de
-
www.freiburg.de
-
www.gantke-net.de
-
www.gelbeseiten.de
-
www.gtz.de
-
www.gutenberg2000.de
-
www.hannobunz.de
-
www.heidelberg.de
-
www.helmholtz.de
-
www.hosteurope.de
-
www.h-p-i.de
-
www.immobilienscout24.de
-
www.jugendherberge.de
-
www.kabel1.de
-
www.kalenderblatt.de
-
www.karlsruhe.de
-
www.king-alp.de
-
www.king-alp.de
-
www.klug-suchen.de
-
www.kompetenznetze.de
-
www.kompetenzz.de
-
www.krebsinformation.de
-
www.lords-of-havoc.de
-
www.lufthansa.de
-
www.lupo18t.de
-
www.mathguide.de
-
www.math-net.de
-
www.mdirk.de
-
www.medicine-worldwide.de
-
www.meinestadt.de
-
www.messe-duesseldorf.de
-
www.messe-muenchen.de
-
www.mohr.de
-
www.monster.de
-
www.munich-airport.de
-
www.mupad.de
-
www.murczak.de
-
www.murczak.de
-
www.niedersachsen.de
-
www.nuernbergmesse.de
-
www.onlinereviewguide.com
-
www.pcwelt.de
-
www.photokina.de
-
www.rapz-records.de
-
www.regtp.de
-
www.renewables2004.de
-
www.ruhr-uni-bochum.de
-
www.saarbruecken.de
-
www.saarland.de
-
www.schaubuehne.de
-
www.schulen-ans-netz.de
-
www.slowfood.de
-
www.staedtetag.de
-
www.stellenmarkt.de
-
www.stepstone.de
-
www.stifterverband.de
-
www.stricker-doerpen.de
-
www.studentenwerke.de
-
www.stufenlos-regelbar.de
-
www.stuttgart.de
-
www.stuttgarter-zeitung.de
-
www.superstar-nord.de
-
www.sysserver1.de
-
www.szakos.de
-
www.szakos.de
-
www.testdaf.de
-
www.tu-darmstadt.de
-
www.tu-dresden.de
-
www.tu-muenchen.de
-
www.umweltbundesamt.de
-
www.uni-bremen.de
-
www.unibw-muenchen.de
-
www.uni-duesseldorf.de
-
www.uni-duisburg-essen.de
-
www.uni-frankfurt.de
-
www.uni-jena.de
-
www.uni-mannheim.de
-
www.uni-marburg.de
-
www.uni-osnabrueck.de
-
www.uni-tuebingen.de
-
www.urlaubstage.de
-
www.vwschubert.de
-
www.webhits.de
-
www.wiley-vch.de
-
www.wissenschaft-online.de
-
zeus05.de
- zille.cs.uni-magdeburg.de
进程
W32.Beagle.AG@mm 试图终止具有以下名称的进程:
-
AGENTSVR.EXE
-
ANTI-TROJAN.EXE
-
ANTI-TROJAN.EXE
-
ANTIVIRUS.EXE
-
ANTS.EXE
-
APIMONITOR.EXE
-
APLICA32.EXE
-
APVXDWIN.EXE
-
ATCON.EXE
-
ATGUARD.EXE
-
ATRO55EN.EXE
-
ATUPDATER.EXE
-
ATWATCH.EXE
-
AUPDATE.EXE
-
AUTODOWN.EXE
-
AUTOTRACE.EXE
-
AUTOUPDATE.EXE
-
AVCONSOL.EXE
-
AVGSERV9.EXE
-
AVLTMAIN.EXE
-
AVprotect9x.exe
-
AVPUPD.EXE
-
AVSYNMGR.EXE
-
AVWUPD32.EXE
-
AVXQUAR.EXE
-
BD_PROFESSIONAL.EXE
-
BIDEF.EXE
-
BIDSERVER.EXE
-
BIPCP.EXE
-
BIPCPEVALSETUP.EXE
-
BISP.EXE
-
BLACKD.EXE
-
BLACKICE.EXE
-
BOOTWARN.EXE
-
BORG2.EXE
-
BS120.EXE
-
CDP.EXE
-
CFGWIZ.EXE
-
CFGWIZ.EXE
-
CFIADMIN.EXE
-
CFIADMIN.EXE
-
CFIAUDIT.EXE
-
CFIAUDIT.EXE
-
CFIAUDIT.EXE
-
CFINET.EXE
-
CFINET.EXE
-
CFINET32.EXE
-
CFINET32.EXE
-
CLEAN.EXE
-
CLEAN.EXE
-
CLEANER.EXE
-
CLEANER.EXE
-
CLEANER3.EXE
-
CLEANPC.EXE
-
CLEANPC.EXE
-
CMGRDIAN.EXE
-
CMGRDIAN.EXE
-
CMON016.EXE
-
CMON016.EXE
-
CPD.EXE
-
CPF9X206.EXE
-
CPFNT206.EXE
-
CV.EXE
-
CWNB181.EXE
-
CWNTDWMO.EXE
-
DEFWATCH.EXE
-
DEPUTY.EXE
-
DPF.EXE
-
DPFSETUP.EXE
-
DRWATSON.EXE
-
DRWEBUPW.EXE
-
ENT.EXE
-
ESCANH95.EXE
-
ESCANHNT.EXE
-
ESCANV95.EXE
-
EXANTIVIRUS-CNET.EXE
-
FAST.EXE
-
FIREWALL.EXE
-
FLOWPROTECTOR.EXE
-
FP-WIN_TRIAL.EXE
-
FRW.EXE
-
FSAV.EXE
-
FSAV530STBYB.EXE
-
FSAV530WTBYB.EXE
-
FSAV95.EXE
-
GBMENU.EXE
-
GBPOLL.EXE
-
GUARD.EXE
-
GUARDDOG.EXE
-
HACKTRACERSETUP.EXE
-
HTLOG.EXE
-
HWPE.EXE
-
IAMAPP.EXE
-
IAMAPP.EXE
-
IAMSERV.EXE
-
ICLOAD95.EXE
-
ICLOADNT.EXE
-
ICMON.EXE
-
ICSSUPPNT.EXE
-
ICSUPP95.EXE
-
ICSUPP95.EXE
-
ICSUPPNT.EXE
-
IFW2000.EXE
-
IPARMOR.EXE
-
IRIS.EXE
-
JAMMER.EXE
-
KAVLITE40ENG.EXE
-
KAVPERS40ENG.EXE
-
KERIO-PF-213-EN-WIN.EXE
-
KERIO-WRL-421-EN-WIN.EXE
-
KERIO-WRP-421-EN-WIN.EXE
-
KILLPROCESSSETUP161.EXE
-
LDPRO.EXE
-
LOCALNET.EXE
-
LOCKDOWN.EXE
-
LOCKDOWN2000.EXE
-
LSETUP.EXE
-
LUALL.EXE
-
LUCOMSERVER.EXE
-
LUINIT.EXE
-
MCAGENT.EXE
-
MCUPDATE.EXE
-
MCUPDATE.EXE
-
MFW2EN.EXE
-
MFWENG3.02D30.EXE
-
MGUI.EXE
-
MINILOG.EXE
-
MOOLIVE.EXE
-
MRFLUX.EXE
-
MSCONFIG.EXE
-
MSINFO32.EXE
-
MSSMMC32.EXE
-
MU0311AD.EXE
-
NAV80TRY.EXE
-
NAVAPW32.EXE
-
NAVDX.EXE
-
NAVSTUB.EXE
-
NAVW32.EXE
-
NC2000.EXE
-
NCINST4.EXE
-
NDD32.EXE
-
NEOMONITOR.EXE
-
NETARMOR.EXE
-
NETINFO.EXE
-
NETMON.EXE
-
NETSCANPRO.EXE
-
NETSPYHUNTER-1.2.EXE
-
NETSTAT.EXE
-
NISSERV.EXE
-
NISUM.EXE
-
NMAIN.EXE
-
NORTON_INTERNET_SECU_3.0_407.EXE
-
NPF40_TW_98_NT_ME_2K.EXE
-
NPFMESSENGER.EXE
-
NPROTECT.EXE
-
NSCHED32.EXE
-
NTVDM.EXE
-
NUPGRADE.EXE
-
NVARCH16.EXE
-
NWINST4.EXE
-
NWTOOL16.EXE
-
OSTRONET.EXE
-
OUTPOST.EXE
-
OUTPOSTINSTALL.EXE
-
OUTPOSTPROINSTALL.EXE
-
PADMIN.EXE
-
PANIXK.EXE
-
PAVPROXY.EXE
-
PCC2002S902.EXE
-
PCC2K_76_1436.EXE
-
PCCIOMON.EXE
-
PCDSETUP.EXE
-
PCFWALLICON.EXE
-
PCFWALLICON.EXE
-
PCIP10117_0.EXE
-
PDSETUP.EXE
-
PERISCOPE.EXE
-
PERSFW.EXE
-
PF2.EXE
-
PFWADMIN.EXE
-
PINGSCAN.EXE
-
PLATIN.EXE
-
POPROXY.EXE
-
POPSCAN.EXE
-
PORTDETECTIVE.EXE
-
PPINUPDT.EXE
-
PPTBC.EXE
-
PPVSTOP.EXE
-
PROCEXPLORERV1.0.EXE
-
PROPORT.EXE
-
PROTECTX.EXE
-
PSPF.EXE
-
PURGE.EXE
-
PVIEW95.EXE
-
QCONSOLE.EXE
-
QSERVER.EXE
-
RAV8WIN32ENG.EXE
-
REGEDIT.EXE
-
REGEDT32.EXE
-
RESCUE.EXE
-
RESCUE32.EXE
-
RRGUARD.EXE
-
RSHELL.EXE
-
RTVSCN95.EXE
-
RULAUNCH.EXE
-
SAFEWEB.EXE
-
SBSERV.EXE
-
SD.EXE
-
SETUP_FLOWPROTECTOR_US.EXE
-
SETUPVAMEEVAL.EXE
-
SFC.EXE
-
SGSSFW32.EXE
-
SH.EXE
-
SHELLSPYINSTALL.EXE
-
SHN.EXE
-
SMC.EXE
-
SOFI.EXE
-
SPF.EXE
-
SPHINX.EXE
-
SPYXX.EXE
-
SS3EDIT.EXE
-
ST2.EXE
-
SUPFTRL.EXE
-
SUPPORTER5.EXE
-
SYMPROXYSVC.EXE
-
SYSEDIT.EXE
-
TASKMON.EXE
-
TAUMON.EXE
-
TAUSCAN.EXE
-
TC.EXE
-
TCA.EXE
-
TCM.EXE
-
TDS2-98.EXE
-
TDS2-NT.EXE
-
TDS-3.EXE
-
TFAK5.EXE
-
TGBOB.EXE
-
TITANIN.EXE
-
TITANINXP.EXE
-
TRACERT.EXE
-
TRJSCAN.EXE
-
TRJSETUP.EXE
-
TROJANTRAP3.EXE
-
UNDOBOOT.EXE
-
UPDATE.EXE
-
VBCMSERV.EXE
-
VBCONS.EXE
-
VBUST.EXE
-
VBWIN9X.EXE
-
VBWINNTW.EXE
-
VCSETUP.EXE
-
VFSETUP.EXE
-
VIRUSMDPERSONALFIREWALL.EXE
-
VNLAN300.EXE
-
VNPC3000.EXE
-
VPC42.EXE
-
VPFW30S.EXE
-
VPTRAY.EXE
-
VSCENU6.02D30.EXE
-
VSECOMR.EXE
-
VSHWIN32.EXE
-
VSISETUP.EXE
-
VSMAIN.EXE
-
VSMON.EXE
-
VSSTAT.EXE
-
VSWIN9XE.EXE
-
VSWINNTSE.EXE
-
VSWINPERSE.EXE
-
W32DSM89.EXE
-
W9X.EXE
-
WATCHDOG.EXE
-
WEBSCANX.EXE
-
WGFE95.EXE
-
WHOSWATCHINGME.EXE
-
WHOSWATCHINGME.EXE
-
WINRECON.EXE
-
WNT.EXE
-
WRADMIN.EXE
-
WRCTRL.EXE
-
WSBGATE.EXE
-
WYVERNWORKSFIREWALL.EXE
-
XPF202EN.EXE
-
ZAPRO.EXE
-
ZAPSETUP3001.EXE
-
ZATUTOR.EXE
-
ZAUINST.EXE
-
ZONALM2601.EXE
- ZONEALARM.EXE
<!-- recommendations -->
<!-- BEGIN GATEWAY BOX --><!-- END GATEWAY BOX --><!-- BEGIN SERVER BOX --><!-- END SERVER BOX --><!-- BEGIN CLIENT BOX --><!-- END CLIENT BOX -->
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
-
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
-
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
-
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
-
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
-
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
-
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
- 教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
<!-- removal instructions -->
使用杀毒工具杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Beagle.AG@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。
当然,您也可以按照以下指示自己手动杀毒。
手动杀毒
以下指导适用于最新和最近的所有 Symantec 防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)
-
禁用系统还原 (Windows Me/XP)。
-
更新病毒定义。
-
以安全模式或 VGA 模式重新启动计算机。
-
运行完整的系统扫描,并删除所有检测为 W32.Beagle.AB@mm 的文件。
- 删除添加到注册表的值。
有关每个步骤的详细信息,请参阅以下指导。
1. 禁用系统还原 (Windows Me/XP)
如果正在运行 Windows Me 或 Windows XP,建议您暂时关闭系统还原功能。 此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows Me/XP 可使用该功能将其还原。 如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。 因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。 这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在 System Restore 文件夹中检测到威胁,即使您已清除该威胁。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
注意:当您完全完成杀毒步骤,并确定威胁已清除后,按照上述文档中的指导重新启用系统还原。
有关其他信息以及禁用 Windows Me 系统还原功能的其他方法,请参阅 Microsoft 知识库文章:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder,文章 ID:Q263455。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。 可以通过两种方式获得最新的病毒定义:
-
运行 LiveUpdate,这是获得病毒定义最简单的方法:如果未遇重大病毒爆发情况,这些病毒定义会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。 要确定是否可通过 LiveUpdate 获得用于该威胁的定义,请参考病毒定义 (LiveUpdate)。
- 使用智能更新程序下载定义:“智能更新程序”病毒定义在美国工作日发布(周一至周五)。 您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。 要确定是否可通过智能更新程序获得用于该威胁的定义,请参考病毒定义(智能更新程序)。
可以从
http://securityresponse.symantec.com/avcenter/defs.download.html 获得智能更新程序病毒定义。有关详细指导,请阅读文档:
如何使用智能更新程序更新病毒定义文件。
3. 以安全模式或 VGA 模式重新启动计算机关闭计算机,关掉电源。 至少等候 30 秒,然后以安全模式或 VGA 模式重新启动计算机。
-
对于 Windows 95、98、Me、2000 或 XP 用户,请以安全模式重新启动计算机。 有关指导,请参阅文档:如何以安全模式启动计算机。
- 对于 Windows NT 4 用户,请以 VGA 模式重新启动计算机。
4. 扫描和删除受感染文件
-
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
-
运行完整的系统扫描。
-
如果有任何文件被检测为 W32.Beagle.AB@mm,则单击“删除”。
-
导航到%System%文件夹并删除sysxp.exeopenopenopen。
注意:如果您的 Symantec 防病毒产品报告无法删除受感染文件,Windows 可能在使用该文件。 要解决该问题,请在安全模式下运行扫描。 有关指导,请参阅文档:如何以安全模式启动计算机。以安全模式重启后,在此运行扫描。
(在文件被删除后,可以不离开安全模式并继续执行部分4。完成后,在将以正常模式重新启动计算机。)
5. 从注册表删除值
警告:Symantec 强烈建议在进行任何更改前先备份注册表。 错误地更改注册表可能导致数据永久丢失或文件损坏。 应只修改指定的键。 有关指导,请参阅文档:
如何备份 Windows 注册表。
-
单击“开始”>“运行”。
-
键入 regedit
然后单击“确定”。
-
导航至键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-
在右窗格中,删除值:
"key" = "%System%\winxp.exe"
- 退出注册表编辑器。
分享到:
相关推荐
gswin32c.exe: 版本gs921w32.exe,分享给有需要的人,。。。。。。。。。。。
pdf转jpg过程中需要的支持软件。ImageMagick需要本软件(gs952w32.exe)的支持才能进行转换。
gsv49w32.exe gsv49w32.exe
清除w32.downadup.b--官方工程师提供.doc
W32.Downadup.B专杀,参照文档,使用360及诺顿配合手工清除病毒。
Ghostscript8.51-w32.rar 工具软件
bink2w32.dll 直接拷贝该文件到系统目录里: 1、Windows 95/98/Me系统,将dll复制到C:\Windows\System目录下。 2、Windows NT/2000系统,将dll复制到C:\WINNT\System32目录下。 3、Windows XP/WIN7系统,将dll...
php源代码中缺少的文件,所属版本5.4.19。估计5.4版本可通用。文件应该拷贝到php/main目录下。
华芯飞系统烧录工具(CC1800 V1.14)_PMU_W32.exe 华飞系列芯片烧录
gs906w32
1. 下载安装gs705w32.exe(PDF文件夾中) 2. 安装 gs705w32.exe ,默认安装路经为c:/gs。 3. 安装虚拟打印机 1) 直接在 控制面板 > 打印机和传真 > 添加打印机,端口任意,默认的LPT1就可以; 2) 打印机驱动在PDF\...
W32.Downadup病毒专杀工具.rar
rtapi_w32.dll用于ke2000的系统
1、计算机打印机使用的栅格化图像处理器(RIP),例如,行打印机Daemon的输入过滤器。 2、以PostScript和PDF阅览器使用的栅格化图像处理器(RIP)引擎。 3、文件格式转换器,如PostScript和PDF转换器。...
安装omnet++必备,在安装oment++之前首先安装VC++,然后安装gs854w32,再安装omnet++
Screen Recorder 屏幕录像-免费-开源-Camstudio2-0-w32.zip
PDF是工作中常见的文件,修改PDF格式的文件后缀会乱码,从而导致文件损坏,使用gs1000w32.exe驱动程序可完美将PDF转成PNG图片。
w32time.dll windows 时间服务dll