手工的拿走W32//Downadup.AL蠕虫

手工的拿走W32/Downadup.AL
Worm.W32
/Downadup.AL是一只蠕虫.蠕虫将感染视窗系统.
这只蠕虫首先出现在2009年1月19日.
其它的名为W32//Downadup.AL蠕动:
这只蠕虫也是以是Win32//Conficker,W32//Conficker.worm.gen,病//Conficker而闻名.
为F-安全Downadup.AL细节读
 为Symantec Downadup.AL细节读

损坏水平:介质//高度
散发水平:

为W32//Downadup.AL蠕虫 中等Symantec搬迁工具
为W32//Downadup.AL蠕虫F-安全搬迁工具
给手工搬迁指令打虫子
推荐解除安全方式:
怎样进入开始安全方式:
重新开始当你的有关精选安全方式压enter.The是的屏幕倾向感染

文件的时候,你的电脑出版社F8反复能被在这些文件夹和名字中看见也进来一会儿任务
在搬迁以前结束下列的活跃过程

[扼杀过程, 如果你的接近的机会否认],使用 Killbox
蠕虫随着随便名字在下列的位置中*.dll延长地抄写它自己
%Windows系统
%ProgramsFiles\Internet勘探者
%ProgramsFiles\Movie制造者
%All用户应用数据
%Windows临时雇员
---------------------------------------------
%System%\[[任意行动].dll
%ProgramFiles%\Internet Explorer\[[任意行动].dll
%ProgramFiles%\Movie Maker\[[任意行动].dll
%All用户应用Data%\[[任意行动].dll
%Temp%\[[任意行动].dll
%System%\[[任意行动].tmp
%Temp%\[[任意行动].tmp
%DriveLetter\RECYCLER\[[文件夹][\1fe.a3d][[3随便个性]
%DriveLetter%\autorun.inf
蠕虫随着随便名字在下列的位置中.tmp延长地抄写它自己
视窗系统
视窗临时雇员
蠕虫严重损坏下列的服务:
视窗自动新的信息服务((wuauserv)
背景聪明转移服务((小块)
视窗安全中心服务((wscsvc)
视窗防御者服务((WinDefend)
视窗错误报道服务((ERSvc)
视窗错误报道服务((WerSvc)
蠕虫尝试堵住到下列的含有下列的绳子的安全站点的通路
病毒spyware malwarerootkit防御者microsoft symantecnorton mcafeetrendmicro sophos大猫熊etrust networkassociatescomputerassociates f-安全kaspersky jottif-prot nod32eset grisoftdrweb centralcommandahnlab esafe停住avira quickhealcomodo clamavewido fortinetgdata hacksofthauri ikarusk7computing normanpctools prevx升起securecomputing sunbeltemsisoft arcabitcpsecure,spamhaus,castlecops,threatexpert,wilderssecurity,windowsupdate,nai,ca,avp,avg兽医,bit9无肯定性
如果你在从任务食槽运作过程方面有文件任何这些,在搬迁以前结束过程.
笔记:如果任务经理是丧失能力的,下载下列的文件, 轻点下载--有助于Registry.reg
然后用Regedit.exe[[%system32\regedit.exe]打开它它确认是的或者不增加登记处,确认同意,然后好发出轻微而急促的声音.

给入口手工的解除
RegistryClick
出发

打虫子,

跑步,把regedit归类,尚可发出轻微而急促的声音.

笔记:如果登记处编辑未能打开,威胁可以已经修改登记处阻碍到登记处编辑的通路.

下载这UnHookExec.inf,然后继续removal.Save向你的视窗桌上型电脑它.不在这次时刻,运作它,下载仅它.
在变为安全方式或者VGA方式用回抽法注射迷幻针剂之后
右点-UnHookExec.inf文件和点击安装.这个是一小文件.当你运作它的时候,它不展示任何注意或者盒.

蠕虫在下列的位置修改登记处在每一个系统开始保证它的自动执行:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections"=dword:0x00FFFFFE
为了撤销安全中心通知,和阻止视窗防御者开始蠕虫从登记处删除许多关键.它通过建立下列的登记处入口也绕过视窗防火墙,因此系统能下载一份蠕虫:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List[,PortNumber]:TCP="[PortNumber:TCP:*Enabled:[[任意行动"]
隐匿它的出席在系统,蠕虫删除任何系统交还由用户所创造的点,然后修改下列的登记处关键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue=dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost,netsvcs=%Previousdata%和%Random%
在传染期间,蠕虫可以建立一临时(TMP)文件进入系统或者临时雇员文件夹.建立TMP文件登记为一个服务仁司机使用下列的登记处入口:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[[任意行动]
类型=dword:00000001
开始=dword:00000003
ErrorControl=dword:00000000
ImagePath="\\%Path%\[[任意行动].tmp"
DisplayName=[[任意行动]
一旦关键被建立文件%MalwarePath%\[[任意行动].tmp是deleted.An有趣的改变去登记处蠕虫制造涉及下列的登记处入口:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName=%ServiceName%
类型=dword:00000020
开始=dword:00000002
ErrorControl=dword:00000000
ImagePath="%SystemRoot%\system32\svchost.exe-knetsvcs"
ObjectName="LocalSystem"
描绘=%description%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[[任意行动]\Parameters
ServiceDll=%Path%