Es speichert sich selbst u.a. unter folgenden Namen ins System:
%system%\systtc.dll
%system%\win_81.dll
%Eigene Dateien%\%temp%
out.exe
svch56n.dll
svchj0.dll s
yst1j0.dll t
emp_4.dll t
mp_7xj.dll
_______________________________________
Entfernung: Möglicherweise:
Laden Sie eine
[Link nur für registrierte Mitglieder sichtbar. ] herunter. Starten Sie diese Datei auf einem nicht infizierten Windows-Computer, um den Inhalt in einen SAV32CLI-Ordner auf einem Medium zu extrahieren, das schreibgeschützt werden kann. Kopieren Sie den erstellten SAV32CLI-Ordner auf ein Medium, das schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu und stellen Sie für den Datenträger den Schreibschutz ein (auf einer CD/R oder CD/RW schließen Sie die Sitzung).
Starten Sie den Computer im Abgesicherten Modus neu. Gehen Sie zu Start|Beenden. Wählen Sie in der Drop-Down-Liste 'Neustart' und klicken Sie auf OK. Windows führt einen Neustart durch. Drücken Sie F8, wenn Sie den folgenden Text unten auf dem Bildschirm sehen "Problembehebung und erweiterte Windows-Startoptionen: F8-TASTE drücken". Wählen Sie im Menü 'Erweiterte Windows 2000-Startoptionen die dritte Option 'Abgesicherter Modus mit Eingabeaufforderung'.
Legen Sie beim infizierten Computer die CD in das CD-Laufwerk (D: in diesem Beispiel).
Geben Sie in der Eingabeaufforderung
D:
ein, um auf das CD-Laufwerk zuzugreifen. Geben Sie ein:
CD SAV32CLI
Geben Sie dann
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
ein, um die Datei zu entfernen.
Bevor Sie den Abgesicherten Modus verlassen, bearbeiten Sie alle erwähnten Registrierungseinträge im Registieungseditor
GenPack:Trojan.Spambot.BXN - Trojaner installiert typischerweise eine oder mehrere DLL im Ordner <System> und registrieren diese DLL als ein COM-Objekt und Browser Helper Object (BHO) für den Microsoft Internet Explorer.
D.h. dieser generische Virus ändert beständig seine Form. - mOmentan versucht er einen Server zu kontaktieren...
Er ändert Regsitrierungseinträge an folgenden Stellen, und beeinträchtigtdie Internet-Sicherheit:
Zhelatin ist ein Wurm der russischen RSG. Treffen die Berichte der Computerfachpresse zu, so entsteht momentan eines der größten Zombie-Netzwerke der Welt. Zombie = ferngesteuert. Der Programmier kann somit 1,7 Millionen PCs fernsteuern und diese missbrauchen. Die 1,7 Millionen PCs schüttele ich mir nicht aus dem Arm, diese Zahlen werden von der US-Wochenzeitung "Information Week" und dem österreichische IT-Portal "ORF-Futurezone" verwendet. Das Zombie-Netzwerk bekam den Namen "Storm Worm", der, bedingt durch die riesige Anzahl verseuchter PCs, damit auch große Netze erfolgreich attackieren könne. Betroffen sind ausschließlich Computer, die das Betriebssystem Windows installiert haben.
Wer Wurm der oben genannten Versionen ist immer gleich, allerdings leicht verändert in seiner Auslieferung. Die Dateigrößen liegen zwischen 22380 und 50583 Byte und ist mithilfe UPX verpackt.
Bei Installation kopiert sich der Wurm mit dem Attribut "hidden", d.h. er versteckt sich und wird mit normalen Einstellungen unter Windows nicht gefunden, in
das Windows-System-Verzeichnis unter dem Namen alsys.exe:
%System%\alsys.exe
Der Wurm erstellt danach eine weitere *.exe und startet sie. Der Name dieser variiert ständig.
Anschließend erstellt der Wurm im System-Register die folgenden Einträge, wodurch er beim Systemstart automatisch geladen wird:
Sobald der Gerätetreiber geladen wurde, sucht er nach dem Prozess services.exe und nistet ein Modul darin ein. Er öffnet und überwacht die folgenden Ports,
die als verschlüsselte Kommunikationskanäle verwendet werden.
UDP-Port 4000
Der Trojaner lädt dann ein der folgenden Dateien herunter und führt Sie aus.
whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Dahinter verbirgt sich der Hoax (Scherzprogramm) Joke.Flipped, der den Windows-Desktop auf den Kopf stellt. Dies lässt sich durch Systemsteuerung -->
Anzeige --> Registerkarte Einstellungen --> Erweitert --> Registerkarte der Grafikkarte rückgängig machen. Dort das Bild um 180° drehen...
INFO NUWAR.Q
Der folgende Port wird geöffnet:
– services.exe am UDP Port 4000
Das ist eine Hintertür, um von mehreren Servern weiterer Dateien herunterzuladen und somit die Verbindung zu seinem Programmierer hält. Allerdings war diese
nicht aktiv gewesen, weswegen ich momentan davon ausgehe, dass außer den genannten 3 Scvhädlingen nichts auf den PC gelangen kann. Dies heißt aber
Das ist die Einstellung für die Windows Firewall/Internet Connection Sharing (ICS). Dabei blockiert er folgende Strings, so das u.a. Websiten einzelner
Virenhersteller nicht mehr aufrufbar sind:
alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
troja
viru
vsmon
zonea
Desweiteren sucht Zhelatin auf den Festplatten nach Mailadressen und versendet sich an diese weiter.
Wiederherstellung:
Versteckte Systemdateien anzeigen:
[Link nur für registrierte Mitglieder sichtbar. ]
Im geschützen Modus neu starten:
[Link nur für registrierte Mitglieder sichtbar. ]
Dort kommt man wie folgt hin: Start --> Ausführen --> Regedit und dann durch die Reiter Software\Microsoft\Windows\CurrentVersion\Run navigieren.
Danach: Download Zonealarm, eine kostenlose Firewall. Damit die offenen Ports schließen:
[Link nur für registrierte Mitglieder sichtbar. ]
Danach: Kostenloses Antivirenprogramm Antivir downloaden, updaten und Festplatte durchsuchen lassen. Alle Funde fixen...
[Link nur für registrierte Mitglieder sichtbar. ]
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
Deaktivierung der Systemwiderherstellung:
[Link nur für registrierte Mitglieder sichtbar. ]
Klicken Sie auf Start > Ausführen.
Geben Sie regedit ein
Klicken Sie auf OK.
Hinweis: Wenn der Registrierungseditor nicht geöffnet werden kann, kann Peacomm die Registrierung geändert haben, um Zugriff auf den Registrierungseditor zu verhindern.
Symantec hat hierzu ein nettes Tool entwickelt:
[Link nur für registrierte Mitglieder sichtbar. ]
Suchen Sie den folgenden Registrierungsunterschlüssel und löschen Sie ihn:
Ransomware ist eine relativ neue Art Schadsoftware die Windows-Systeme befällt. Diese Schadsoftware versucht, den Zugriff auf die Windows-Installation oder Teile hiervon zu unterbinden, um gegen ein Lösegeld (englisch: Ransom) den Zugriff wieder freizugeben.
Ransomware kann auf verschiedenen Wegen auf den PC gelangen. Dazu zählen E-Mail-Anhänge mit trojanischen Pferden, die Ausnutzung von Sicherheitslücken in Webbrowsern (z.B. über Media-Codecs) oder das Fehlen einer Firewall.
Bislang gibt es bei dieser Art von Schadsoftware keine wirklich gefährlichen Trojaner. Aktuell im Umlauf (bislang nur in Russland) ist ein Trojaner mit dem Namen Winlock.
Beim Systemstart erhält man folgende Nachricht:
To unlock you need to send an SMS with the text "34b761a53445d3a" to the number
3649
Enter the resulting code:
Die Kurzwahlnummer ist nur aus Russland erreichbar. Allerdings ist das kein Beinbruch.
Entfernung des Trojaners:
1. Über einen Zweitrechner folgende Website aufrufen:
[Link nur für registrierte Mitglieder sichtbar. ] geben Sie hier unterhalb des Bildes den Code ein - der Freischaltcode wird danach generiert. Mit diesem schalten Sie ihr System frei.
Deaktivieren Sie die Systemwiederherstellung und fahren Sie den PC im abgesicherten Modus ernet hoch:
[Link nur für registrierte Mitglieder sichtbar. ]
Öffnen Sie den Registrierungseditor: Klicken Sie auf Start - Ausführen und geben Sie "regedit" ohne die Anführungszeichen ein. Nach einem Klick auf Ok wird der Registrierungseditor gestartet.
Löschen Sie diesen. Fahren Sie danach den PC herunter und starten ihn im "normalen" Modus. Aktivieren Sie danach wieder die Systemwiederherstellung. Klicken Sie hierzu mit der rechten Maustaste auf Arbeitsplatz und wählen Sie "Eigenschaften". Dor ein Klick auf "Systemwiederherstellung" und die Systemwiederherstellung auf allen Laufwerken aktivieren.
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
Lesezeichen