betreff W32/Netsky.j@MM email wurm
dieser wurm kopiert sich selber in das windowsverzeichniss mit dem filename WINLOGON.EXE.
er registriers sich automatisch und zwar so
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"ICQ Net" = %WinDir%\WINLOGON.EXE -stealth
und löscht folgende einträge
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "au.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "d3dupdate.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Explorer"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "KasperskyAv"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "OLE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Taskmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "DELETE ME"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "KasperskyAv"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "msgsvr32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Sentry"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "system."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Taskmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices "system."
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
bitte nich das file WINLOGON.EXE löschen sonst läut euer windows nicht mehr sondern löscht den eintrag
"icq net" aus folgender registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_CURRENT_USERS\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SitemapIndex