Jul 30th 2010
Dumaru Removal Tool Crack With Serial Key 2024
Download Dumaru Removal Tool
-
Dumaru清除工具是一个轻型应用程序,可以完全删除该Win32.Dumaru虫在其所有的变体。
Win32.Dumaru.A@mm 达作为一个虚假的电子邮件从Microsoft:
从:"微软"[email protected]
主题:使用这片马上!
身体:
亲爱的朋友,使用这Internet Explorer修补现在!
有危险的病毒在互联网上现在!
多500.000已经感染了!
附件:patch.exe
在执行时,病毒就会做到以下几点:
复制本身为:
%SYSTEM%load32.exe
%WINDOWS%dllreg.exe
%SYSTEM%vxdmgr32.exe
下降并执行一个后门组件
%WINDOWS%windrv.exe (8192字节)
它连接到因诺琴蒂研究中心的服务器并加入一个密码保护的渠道,发出一个登录通知,并等待提交人发出的命令。
创造的价值
"load32"="%SYSTEM%load32.exe"
在注册表中的关键
[HKLMSoftwareMicrosoftWindowsCurrentversionrun]
在Windows9x/Me系统,它并如下:
使用RegisterServiceProcess隐藏其存在;
修改系统。ini通过加入条[启动]的部分:
shell=explorer.exe %System%vxdmgr32.exe
修改获胜。ini通过添加以下条[窗口]部分:
run=C:WINDOWSdllreg.exe
收获的电子邮件地址,从匹配的文件
*.htm
*.wab
*.html
*.dbx
*.tbb
*.阿卜杜勒*
并将它们存在%WINDOWS%winload的。日志的文件。
它使用它自己的SMTP引擎和发送本身的电子邮件收获winload的。日志的文件(见上文对受感染的电子邮件格式)。
它搜索*.exe文件属于几个病毒/安全的产品,并试图复盖它们的副本,该病毒。
Win32.Dumaru.B/C@mm 是批量邮寄者具有后门能力(听上TCP口1001,2283,10000),还附带了一个键盘记录。
试图终止的进程属于一些安全和防病毒程序。
在大损失的分区中,它可以复盖。exe文件的副本,该病毒。
它传播采用这个格式:
自:
主题:
使用这个补丁,马上!
身体:
亲爱的朋友,使用这Internet Explorer修补现在!
有危险的病毒在互联网上现在!
多500.000已经感染了!
附件:
patch.exe
一旦运行,病毒是否如下:
1. 创造了上述文件和注册表/项目。
2. 试图终止的过程:
ZAUINST.EXE
ZAPRO.EXE
ZONEALARM.EXE
ZATUTOR.EXE
MINILOG.EXE
VSMON.EXE
LOCKDOWN.EXE
ANTS.EXE
FAST.EXE
GUARD.EXE
TC.EXE
SPYXX.EXE
PVIEW95.EXE
REGEDIT.EXE
DRWATSON.EXE
SYSEDIT.EXE
NSCHED32.EXE
MOOLIVE.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
SS3EDIT.EXE
UPDATE.EXE
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE W
GFE95.EXE
POPROXY.EXE
NPROTECT.EXE
VSSTAT.EXE
VSHWIN32.EXE
NDD32.EXE
MCAGENT.EXE
MCUPDATE.EXE
WATCHDOG.EXE
TAUMON.EXE
IAMAPP.EXE
IAMSERV.EXE
LOCKDOWN2000.EXE
SPHINX.EXE
WEBSCANX.EXE
VSECOMR.EXE
PCCIOMON.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
FRW.EXE
BLACKICE.EXE
BLACKD.EXE
WRCTRL.EXE
WRADMIN.EXE
WRCTRL.EXE
PCFWALLICON.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
NVARCH16.EXE
MSSMMC32.EXE
PERSFW.EXE
VSMAIN.EXE
LUALL.EXE
LUCOMSERVER.EXE
AVSYNMGR.EXE
DEFWATCH.EXE
RTVSCN95.EXE
VPC42.EXE
VPTRAY.EXE
PAVPROXY.EXE
APVXDWIN.EXE
AGENTSVR.EXE
NETSTAT.EXE
MGUI.EXE
MSCONFIG.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
3. 在Windows9x/Me系统,改变了胜利。ini和系统。ini,以便在启动时运行。
[窗口]
run=%WINDOWS%dllreg.exe
[启动]
shell=explorer.exe %SYSTEM%vxdmgr32.exe
4. 收电子邮件地址通过搜索内:
中。htm
中。wab
中。html
中。dbx
中。tbb
中。阿卜杜勒*
以及试图发送本身使用电子邮件的格式上所述,使用它自己的SMTP引擎和默认SMTP地址。
5. 试图感染的。exe文件上的损失的分区,但由于在一个错误的搜索,它只会感染。文件上的根源驱动器。
6. 连接到因诺琴蒂研究中心的服务器,并加入一道,听上口1001,10000(TCP)命令从一个攻击者。 此外,口2283(TCP)用作通过发送(像一个代理人)。
7. 捕获和记录clippboard到%WINDOWS%undllx.sys
8. 捕获和记录按键(也是节目的名称)以%WINDOWS%vxdload的。日志
9. 尝试连接到一个ftp服务器上传的一个。eml文件,该文件包含的密码和其他信息。
Win32.Dumaru.Y@mm 是一种蠕虫,来通过邮件在以下信息:
自:"忆念美"
主题:重要的信息给你。 读它。
身体:
嗨!
这里是我的照片,那你问过的昨天。
附件:MYPHOTO.JPG 中。EXE
蜗副本本身为Windows系统上的文件夹,名字L32X.EXE 和VXD32V.EXE 并启动文件夹中的名称DLLXW.EXE,增加了登记册的关键:
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunload32=L32X.EXE
此外,它增加了壳线(在系统。INI在Windows95、98和我,或在注册于Windows NT,2000和XP):
壳=%SYSTEMDIR%vxd32.exe
一个键盘记录和剪贴板的监视器也被安装,和蠕虫的监听命令港口和2283打开了一个FTP服务器的端口10000次。
质量邮件收集的电子邮件地址文件的扩展。htm,用。wab的。html.dbx的。tbb,用。阿卜杜和发送电子邮件使用其自己的发动机。
-
Dumaru हटाने के उपकरण है कि एक हल्के आवेदन कर सकते हैं पूरी तरह से मिटा Win32.Dumaru कीड़ा अपने सभी वेरिएंट में.
Win32.Dumaru.A@mm आता है के रूप में एक नकली ईमेल Microsoft से:
से: "माइक्रोसॉफ्ट" [email protected]
विषय: इस पैच का उपयोग तुरंत !
शरीर:
प्रिय दोस्त , इस का उपयोग करें इंटरनेट एक्सप्लोरर पैच अब!
वहाँ रहे हैं, खतरनाक वायरस अब इंटरनेट में!
अधिक से अधिक 500.000 पहले से ही संक्रमित!
अनुलग्नक: patch.exe
जब मार डाला, वायरस निम्न कार्य करना होगा:
प्रतिलिपि के रूप में ही:
%SYSTEM%load32.exe
%WINDOWS%dllreg.exe
%SYSTEM%vxdmgr32.exe
बूंदों और निष्पादित एक पिछले दरवाजे घटक
%WINDOWS%windrv.exe (8192 बाइट्स)
से जोड़ता है, जो करने के लिए एक आईआरसी सर्वर और एक पासवर्ड से सुरक्षित चैनल को भेजता है, एक लॉगिन सूचना और इंतजार कर रहा है के लेखक के लिए करने के लिए आदेश जारी.
बनाता है मूल्य
"load32"="%SYSTEM%load32.exe"
रजिस्ट्री में कुंजी
[HKLMSoftwareMicrosoftWindowsCurrentversionrun]
पर Windows 9x/मेरे सिस्टम पर, यह निम्न है:
का उपयोग करता है RegisterServiceProcess छिपाने के लिए अपनी उपस्थिति;
संशोधित प्रणाली है । ini जोड़ने के द्वारा में प्रवेश के [बूट] अनुभाग:
shell=explorer.exe %System%vxdmgr32.exe
संशोधित करता है जीतने के लिए.ini जोड़ने के द्वारा निम्न प्रविष्टि में [Windows] अनुभाग:
run=C:WINDOWSdllreg.exe
फसल ई-मेल पते से मिलान फ़ाइलें
*.htm
*.wab
*.html
*.dbx
*.tbb
*.अब्द
और दुकानों में उन्हें %WINDOWS%winload.लॉग फ़ाइल है ।
यह का उपयोग करता है यह अपने SMTP इंजन और खुद को भेजता है करने के लिए ई-मेल में काटा winload.लॉग फ़ाइल (के लिए ऊपर देखें संक्रमित ई-मेल प्रारूप).
यह खोजों के लिए *.exe फ़ाइलों से संबंधित कई एंटीवायरस/सुरक्षा उत्पादों और प्रयास करने के लिए उन्हें अधिलेखित की प्रतियों के साथ वायरस.
Win32.Dumaru.B/C@mm एक मास मेलर है कि पिछले दरवाजे क्षमताओं (पर सुनता TCP पोर्ट 1001, 2283, 10000) और भी साथ आता है एक keylogger है.
प्रयास करने के लिए प्रक्रियाओं को समाप्त करने के लिए संबंधित कई सुरक्षा और एंटीवायरस प्रोग्राम है.
NTFS विभाजन पर, यह ऊपर लिख सकता है .exe फ़ाइलों की प्रतियों के साथ वायरस.
यह फैलता है और इस प्रारूप का उपयोग कर:
से:
विषय:
इस पैच का उपयोग तुरंत !
शरीर:
प्रिय दोस्त , इस का उपयोग करें इंटरनेट एक्सप्लोरर पैच अब!
वहाँ रहे हैं, खतरनाक वायरस अब इंटरनेट में!
अधिक से अधिक 500.000 पहले से ही संक्रमित!
अनुलग्नक:
patch.exe
एक बार चलाने के लिए, वायरस निम्न है:
1. बनाता है ऊपर उल्लिखित फ़ाइलें और रजिस्ट्री कुंजी/प्रविष्टियों.
2. प्रयास करने के लिए प्रक्रियाओं को समाप्त:
ZAUINST.EXE
ZAPRO.EXE
ZONEALARM.EXE
ZATUTOR.EXE
MINILOG.EXE
VSMON.EXE
LOCKDOWN.EXE
ANTS.EXE
FAST.EXE
GUARD.EXE
TC.EXE
SPYXX.EXE
PVIEW95.EXE
REGEDIT.EXE
DRWATSON.EXE
SYSEDIT.EXE
NSCHED32.EXE
MOOLIVE.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
SS3EDIT.EXE
UPDATE.EXE
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE डब्ल्यू
GFE95.EXE
POPROXY.EXE
NPROTECT.EXE
VSSTAT.EXE
VSHWIN32.EXE
NDD32.EXE
MCAGENT.EXE
MCUPDATE.EXE
WATCHDOG.EXE
TAUMON.EXE
IAMAPP.EXE
IAMSERV.EXE
LOCKDOWN2000.EXE
SPHINX.EXE
WEBSCANX.EXE
VSECOMR.EXE
PCCIOMON.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
FRW.EXE
BLACKICE.EXE
BLACKD.EXE
WRCTRL.EXE
WRADMIN.EXE
WRCTRL.EXE
PCFWALLICON.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
NVARCH16.EXE
MSSMMC32.EXE
PERSFW.EXE
VSMAIN.EXE
LUALL.EXE
LUCOMSERVER.EXE
AVSYNMGR.EXE
DEFWATCH.EXE
RTVSCN95.EXE
VPC42.EXE
VPTRAY.EXE
PAVPROXY.EXE
APVXDWIN.EXE
AGENTSVR.EXE
NETSTAT.EXE
MGUI.EXE
MSCONFIG.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
3. पर Windows 9x/Me सिस्टम, बदल जीतने के लिए । ini और system.ini क्रम में करने के लिए स्टार्टअप पर चलाने.
[windows]
run=%WINDOWS%dllreg.exe
[बूट]
shell=explorer.exe %SYSTEM%vxdmgr32.exe
4. फसल ई-मेल पते के द्वारा खोज के अंदर:
है । htm
है । wab
है । html
है । dbx
है । tbb
है । अब्द
और प्रयास करने के लिए खुद को भेजने का उपयोग कर ई-मेल स्वरूप में ऊपर वर्णित का उपयोग कर, यह अपने SMTP इंजन और डिफ़ॉल्ट SMTP पता है ।
5. प्रयास को संक्रमित करने के लिए है । exe फ़ाइलों को NTFS विभाजन पर है, लेकिन कारण एक बग के लिए खोज में, यह केवल संक्रमित .exe फ़ाइल के रूट पर ड्राइव.
6. जोड़ता है करने के लिए एक आईआरसी सर्वर, और करने के लिए एक चैनल है, पर सुनता पोर्ट 1001, 10000 (टीसीपी) के लिए आदेश से एक हमलावर है । इसके अलावा, पोर्ट 2283 (TCP) का इस्तेमाल किया जाता है के रूप में एक के माध्यम से भेजने (एक प्रॉक्सी की तरह).
7. कब्जा है और लॉग clippboard करने के लिए %WINDOWS% undllx.sys
8. कब्जा है और लॉग keystrokes (लेकिन यह भी कार्यक्रम के नाम करने के लिए) %WINDOWS%vxdload.लॉग इन करें
9. प्रयास करने के लिए कनेक्ट करने के लिए एक ftp सर्वर पर अपलोड करें और एक है । eml फ़ाइल में शामिल है कि पासवर्ड और अन्य informations.
Win32.Dumaru.Y@mm एक कीड़ा आता है कि में मेल द्वारा निम्न संदेश मिलता है:
से: "Elene"
विषय: महत्वपूर्ण जानकारी के लिए आप. तुरंत इसे पढ़ने के लिए !
शरीर:
हाय !
यहाँ है, मेरी तस्वीर है कि आप के लिए कहा कल.
अनुलग्नक: MYPHOTO.JPG है । EXE
कीड़ा ही प्रतियां Windows सिस्टम फ़ोल्डर नाम के साथ L32X.EXE और VXD32V.EXE और स्टार्टअप फ़ोल्डर में नाम के साथ DLLXW.EXE कहते हैं, रजिस्ट्री कुंजी:
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunload32 = L32X.EXE
भी यह करने के लिए जोड़ता खोल लाइन (में प्रणाली.INI पर Windows 95, 98 और मुझे, या रजिस्ट्री पर Windows NT, 2000 और XP):
शैल = %SYSTEMDIR%vxd32.exe
एक keylogger और क्लिपबोर्ड की निगरानी भी स्थापित किया गया है, और कीड़ा के लिए सुनता आदेश पर बंदरगाह 2283 है और एक FTP सर्वर पर पोर्ट 10000 है ।
मास-मेलिंग घटक एकत्र करता है से ई-मेल पते के साथ फाइल एक्सटेंशनों .एचटीएम, .wab, .html, .dbx, .tbb, .abd भेजता है और ई-मेल का उपयोग कर अपने स्वयं के भेजने इंजन है ।
-
Dumaru Removal Tool is a lightweight application that can completely erase the Win32.Dumaru worm in all its variants.
Win32.Dumaru.A@mm arrives as a fake email from Microsoft:
From: "Microsoft" [email protected]
Subject: Use this patch immediately !
Body:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attachment: patch.exe
When executed, the virus will do the following:
Copy itself as:
%SYSTEM%load32.exe
%WINDOWS%dllreg.exe
%SYSTEM%vxdmgr32.exe
Drops and executes a backdoor component
%WINDOWS%windrv.exe (8192 bytes)
which connects to a IRC server and joins a password protected channel, sends a login notice and waits for the author to issue commands.
Creates the value
"load32"="%SYSTEM%load32.exe"
in the registry key
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
On Windows 9x/Me systems, it does the following:
uses RegisterServiceProcess to hide its presence;
modifies system.ini by adding the entry in the [Boot] section:
shell=explorer.exe %System%vxdmgr32.exe
modifies win.ini by adding the following entry in the [Windows] section:
run=C:WINDOWSdllreg.exe
Harvests e-mail addresses from files matching
*.htm
*.wab
*.html
*.dbx
*.tbb
*.abd
and stores them in %WINDOWS%winload.log file.
It uses it's own SMTP engine and sends itself to the e-mails harvested in winload.log file (see above for the infected e-mail format).
It searches for *.exe files belonging to several antivirus/security products and attempts to overwrite them with copies of the virus.
Win32.Dumaru.B/C@mm is a mass mailer that has backdoor abilities (listens on TCP ports 1001, 2283, 10000) and also comes with a keylogger.
Attempts to terminate processes belonging to several security and antivirus programs.
On NTFS partitions, it may overwrite .exe files with copies of the virus.
It spreads using this format:
From:
Subject:
Use this patch immediately !
Body:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attachment:
patch.exe
Once run, the virus does the following:
1. Creates the aforementioned files and registry keys/entries.
2. Attempts to terminate processes:
ZAUINST.EXE
ZAPRO.EXE
ZONEALARM.EXE
ZATUTOR.EXE
MINILOG.EXE
VSMON.EXE
LOCKDOWN.EXE
ANTS.EXE
FAST.EXE
GUARD.EXE
TC.EXE
SPYXX.EXE
PVIEW95.EXE
REGEDIT.EXE
DRWATSON.EXE
SYSEDIT.EXE
NSCHED32.EXE
MOOLIVE.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
SS3EDIT.EXE
UPDATE.EXE
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE W
GFE95.EXE
POPROXY.EXE
NPROTECT.EXE
VSSTAT.EXE
VSHWIN32.EXE
NDD32.EXE
MCAGENT.EXE
MCUPDATE.EXE
WATCHDOG.EXE
TAUMON.EXE
IAMAPP.EXE
IAMSERV.EXE
LOCKDOWN2000.EXE
SPHINX.EXE
WEBSCANX.EXE
VSECOMR.EXE
PCCIOMON.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
FRW.EXE
BLACKICE.EXE
BLACKD.EXE
WRCTRL.EXE
WRADMIN.EXE
WRCTRL.EXE
PCFWALLICON.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
NVARCH16.EXE
MSSMMC32.EXE
PERSFW.EXE
VSMAIN.EXE
LUALL.EXE
LUCOMSERVER.EXE
AVSYNMGR.EXE
DEFWATCH.EXE
RTVSCN95.EXE
VPC42.EXE
VPTRAY.EXE
PAVPROXY.EXE
APVXDWIN.EXE
AGENTSVR.EXE
NETSTAT.EXE
MGUI.EXE
MSCONFIG.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
3. On Windows 9x/Me systems, alters win.ini and system.ini in order to run at startup.
[windows]
run=%WINDOWS%dllreg.exe
[boot]
shell=explorer.exe %SYSTEM%vxdmgr32.exe
4. Harvests e-mail addresses by searching inside:
.htm
.wab
.html
.dbx
.tbb
.abd
and attempts to send itself using the e-mail format described above, using it's own SMTP engine and the default SMTP address.
5. Attempts to infect .exe files on NTFS partitions, but due to a bug in the search, it will only infect .exe file on the root of drives.
6. Connects to an IRC server, and joins a channel, listens on ports 1001, 10000 (TCP) for commands from an attacker. Also, port 2283 (TCP) is used as a send through (like a proxy).
7. Captures and logs the clippboard to %WINDOWS% undllx.sys
8. Captures and logs keystrokes (but also program name) to %WINDOWS%vxdload.log
9. Attempts to connect to a ftp server and upload a .eml file that contains passwords and other informations.
Win32.Dumaru.Y@mm is a worm that comes by mail in the following message:
From: "Elene"
Subject: Important information for you. Read it immediately !
Body:
Hi !
Here is my photo, that you asked for yesterday.
Attachment: MYPHOTO.JPG .EXE
The worm copies itself to Windows System folder with names L32X.EXE and VXD32V.EXE and in the StartUp folder with the name DLLXW.EXE, adds the registry key:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunload32 = L32X.EXE
Also it adds to the shell line (in SYSTEM.INI on Windows 95, 98 and Me, or in the registry on Windows NT, 2000 and XP):
Shell = %SYSTEMDIR%vxd32.exe
A keylogger and clipboard monitor is also installed, and the worm listens for commands on port 2283 and opens a FTP server on port 10000.
The mass-mailing component collects e-mail addresses from files with extensions .htm, .wab, .html, .dbx, .tbb, .abd and sends e-mails using its own sending engine.
Leave a reply
Your email will not be published. Required fields are marked as *
