Trojan-Downloader.Win32.Small.cyn aka Trojan.Spambot.BXN
_____________________________________
Es speichert sich selbst u.a. unter folgenden Namen ins System:
%system%\systtc.dll
%system%\win_81.dll
%Eigene Dateien%\%temp%
out.exe
svch56n.dll
svchj0.dll s
yst1j0.dll t
emp_4.dll t
mp_7xj.dll
_______________________________________
Entfernung: Möglicherweise:
Laden Sie eine [Link nur für registrierte Mitglieder sichtbar. ] herunter. Starten Sie diese Datei auf einem nicht infizierten Windows-Computer, um den Inhalt in einen SAV32CLI-Ordner auf einem Medium zu extrahieren, das schreibgeschützt werden kann. Kopieren Sie den erstellten SAV32CLI-Ordner auf ein Medium, das schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu und stellen Sie für den Datenträger den Schreibschutz ein (auf einer CD/R oder CD/RW schließen Sie die Sitzung).
Starten Sie den Computer im Abgesicherten Modus neu. Gehen Sie zu Start|Beenden. Wählen Sie in der Drop-Down-Liste 'Neustart' und klicken Sie auf OK. Windows führt einen Neustart durch. Drücken Sie F8, wenn Sie den folgenden Text unten auf dem Bildschirm sehen "Problembehebung und erweiterte Windows-Startoptionen: F8-TASTE drücken". Wählen Sie im Menü 'Erweiterte Windows 2000-Startoptionen die dritte Option 'Abgesicherter Modus mit Eingabeaufforderung'.
Legen Sie beim infizierten Computer die CD in das CD-Laufwerk (D: in diesem Beispiel).
Geben Sie in der Eingabeaufforderung
D:
ein, um auf das CD-Laufwerk zuzugreifen. Geben Sie ein:
CD SAV32CLI
Geben Sie dann
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
ein, um die Datei zu entfernen.
Bevor Sie den Abgesicherten Modus verlassen, bearbeiten Sie alle erwähnten Registrierungseinträge im Registieungseditor
GenPack:Trojan.Spambot.BXN - Trojaner installiert typischerweise eine oder mehrere DLL im Ordner <System> und registrieren diese DLL als ein COM-Objekt und Browser Helper Object (BHO) für den Microsoft Internet Explorer.
D.h. dieser generische Virus ändert beständig seine Form. - mOmentan versucht er einen Server zu kontaktieren...
Er ändert Regsitrierungseinträge an folgenden Stellen, und beeinträchtigtdie Internet-Sicherheit:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\St andardProfile\AuthorizedApplications\List
Der folgende Registrierungseintrag kann ebenfalls erstellt werden:
HKCU\Software\Microsoft\Internet Explorer\Main
Enable Browser Extensions
yes
Lesezeichen