Anleitung zur Virenentfernung Zhelatin - Storm-Trojaner
Trojan-Downloader.Win32.Small.cyn aka Trojan.Spambot.BXN
_____________________________________
Es speichert sich selbst u.a. unter folgenden Namen ins System:
%system%\systtc.dll
%system%\win_81.dll
%Eigene Dateien%\%temp%
out.exe
svch56n.dll
svchj0.dll s
yst1j0.dll t
emp_4.dll t
mp_7xj.dll
_______________________________________
Entfernung: Möglicherweise:
Laden Sie eine herunter. Starten Sie diese Datei auf einem nicht infizierten Windows-Computer, um den Inhalt in einen SAV32CLI-Ordner auf einem Medium zu extrahieren, das schreibgeschützt werden kann. Kopieren Sie den erstellten SAV32CLI-Ordner auf ein Medium, das schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu und stellen Sie für den Datenträger den Schreibschutz ein (auf einer CD/R oder CD/RW schließen Sie die Sitzung).
Starten Sie den Computer im Abgesicherten Modus neu. Gehen Sie zu Start|Beenden. Wählen Sie in der Drop-Down-Liste 'Neustart' und klicken Sie auf OK. Windows führt einen Neustart durch. Drücken Sie F8, wenn Sie den folgenden Text unten auf dem Bildschirm sehen "Problembehebung und erweiterte Windows-Startoptionen: F8-TASTE drücken". Wählen Sie im Menü 'Erweiterte Windows 2000-Startoptionen die dritte Option 'Abgesicherter Modus mit Eingabeaufforderung'.
Legen Sie beim infizierten Computer die CD in das CD-Laufwerk (D: in diesem Beispiel).
Geben Sie in der Eingabeaufforderung
D:
ein, um auf das CD-Laufwerk zuzugreifen. Geben Sie ein:
CD SAV32CLI
Geben Sie dann
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
ein, um die Datei zu entfernen.
Bevor Sie den Abgesicherten Modus verlassen, bearbeiten Sie alle erwähnten Registrierungseinträge im Registieungseditor
GenPack:Trojan.Spambot.BXN - Trojaner installiert typischerweise eine oder mehrere DLL im Ordner <System> und registrieren diese DLL als ein COM-Objekt und Browser Helper Object (BHO) für den Microsoft Internet Explorer.
D.h. dieser generische Virus ändert beständig seine Form. - mOmentan versucht er einen Server zu kontaktieren...
Er ändert Regsitrierungseinträge an folgenden Stellen, und beeinträchtigtdie Internet-Sicherheit:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\St andardProfile\AuthorizedApplications\List
Der folgende Registrierungseintrag kann ebenfalls erstellt werden:
HKCU\Software\Microsoft\Internet Explorer\Main
Enable Browser Extensions
yes
Ransomware - Trojan.Winlock
Ransomware ist eine relativ neue Art Schadsoftware die Windows-Systeme befällt. Diese Schadsoftware versucht, den Zugriff auf die Windows-Installation oder Teile hiervon zu unterbinden, um gegen ein Lösegeld (englisch: Ransom) den Zugriff wieder freizugeben.
Ransomware kann auf verschiedenen Wegen auf den PC gelangen. Dazu zählen E-Mail-Anhänge mit trojanischen Pferden, die Ausnutzung von Sicherheitslücken in Webbrowsern (z.B. über Media-Codecs) oder das Fehlen einer Firewall.
Bislang gibt es bei dieser Art von Schadsoftware keine wirklich gefährlichen Trojaner. Aktuell im Umlauf (bislang nur in Russland) ist ein Trojaner mit dem Namen Winlock.
Beim Systemstart erhält man folgende Nachricht:
Zitat:
To unlock you need to send an SMS with the text "34b761a53445d3a" to the number
3649
Enter the resulting code:
Die Kurzwahlnummer ist nur aus Russland erreichbar. Allerdings ist das kein Beinbruch.
Entfernung des Trojaners:
1. Über einen Zweitrechner folgende Website aufrufen: geben Sie hier unterhalb des Bildes den Code ein - der Freischaltcode wird danach generiert. Mit diesem schalten Sie ihr System frei.
Deaktivieren Sie die Systemwiederherstellung und fahren Sie den PC im abgesicherten Modus ernet hoch:
Öffnen Sie den Registrierungseditor: Klicken Sie auf Start - Ausführen und geben Sie "regedit" ohne die Anführungszeichen ein. Nach einem Klick auf Ok wird der Registrierungseditor gestartet.
Navigieren Sie zu folgenden Eintrag:
Zitat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\”Userinit” = “%System%\userinit.exe, %Temp%\don[RANDOM CHARACTERS].tmp”
Löschen Sie diesen. Fahren Sie danach den PC herunter und starten ihn im "normalen" Modus. Aktivieren Sie danach wieder die Systemwiederherstellung. Klicken Sie hierzu mit der rechten Maustaste auf Arbeitsplatz und wählen Sie "Eigenschaften". Dor ein Klick auf "Systemwiederherstellung" und die Systemwiederherstellung auf allen Laufwerken aktivieren.