Plattform:

Windows 98, ME, NT, 2000, XP, Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Beeinträchtigung der Systemleistung ::
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick



Fügt Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
Kann eine eigene Serverkomponente erstellen.
Ändert die HOSTS-Datei des betroffenen Systems. Dadurch können Benutzer nicht mehr auf bestimmte Websites zugreifen.
Sobald Benutzer auf eine der überwachten Websites zugreifen, werden alle Tastatureingaben protokolliert.

  Technische Details

Erste Muster erhalten am: 01 Januar 0001



Autostart-Technik


Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

1
1=1

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist 2.)

C:\Documents and Settings\Administrator\My Documents
C:\Documents and Settings\Administrator\My Documents=C:\Documents and Settings\Administrator\My Documents

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist exe.)



Backdoor-Routine


Kann eine eigene Serverkomponente erstellen.



Änderung der HOSTS-Datei


Ändert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen können:



Datendiebstahl


Sobald Benutzer auf eine der überwachten Websites zugreifen, werden alle Tastatureingaben protokolliert.



Installation


Abhängig von der Plattform oder dem Betriebssystem werden die folgenden Dateien auf dem betroffenen Computer eingeschleust:

  • test2


Schleust die folgenden Eigenkopien in das betroffene System ein:

  • test2



Andere Details


Fügt die folgenden Zeilen oder Registrierungseinträge als Teil der eigenen Installationsroutine hinzu:

  • 1



Andere Systemänderungen


Fügt die folgenden Registrierungsschlüssel hinzu:

sdfkhsj
fh=90780

  Lösungen



Step 1
Dateien erkennen und deaktivieren, die als TROJ_EXEC_S entdeckt wurden
[ learnMore ]
  1. Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier.
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.


Step 2

AUTOEXEC.BAT wiederherstellen

  1. Öffnen Sie die Datei AUTOEXEC.BAT im Editor. Klicken Sie auf Start > Ausführen, geben Sie in das Feld Öffnen diesen Text ein, und drücken Sie dann die Eingabetaste:
    notepad C:autoexec.bat
  2. Löschen Sie die folgenden, von der Malware erstellten Einträge:
  3. Schließen Sie die Datei AUTOEXEC.BAT, und bestätigen Sie mit Ja, um die Datei zu speichern.

Step 3
Alle Dateien und Ordner anzeigen Mit diesem Schritt können Sie versteckte Dateien und Ordner in Ihrem System anzeigen.

Versteckte Dateien und Ordner anzeigen:

• Für Windows 98 und NT Benutzer:

  1. Öffnen Sie den Windows Explorer. Klicken Sie dazu mit der rechten Maustaste auf Start, und klicken Sie auf Explorer.
  2. Klicken Sie im Menü Ansicht auf Optionen oder auf Ordneroptionen.
  3. Klicken Sie auf die Registerkarte Ansicht.
  4. Wählen Sie Alle Dateien anzeigen aus, und klicken Sie auf OK.

• Für Windows ME, 2000, XP und Server 2003 Benutzer:

  1. Öffnen Sie den Windows Explorer. Klicken Sie dazu mit der rechten Maustaste auf Start, und klicken Sie auf Explorer.
  2. Klicken Sie im Menü Extras auf Ordneroptionen.
  3. Klicken Sie auf die Registerkarte Ansicht.
  4. Wählen Sie Alle Dateien und Ordner anzeigen aus, und klicken Sie dann auf OK.

Step 4
Diese Zeichenfolgen entfernen, die die Malware/Grayware/Spyware zur HOSTS-Datei hinzugefügt hat Mit diesem Schritt können Sie bösartige und/oder unbefugte Website-Umleitungen vermeiden.

    This is for testing purposes only11


Die HOSTS-Datei Ihres Computers bearbeiten:

  1. Öffnen Sie die folgende Datei in einem Texteditor (z. B. NOTEPAD):
    • Unter Windows 98 und ME:
      %Windows%HOSTS.SAM
    • Unter Windows NT, 2000, XP und Server 2003:
      %System%driversetcHOSTS
  2. Löschen Sie die folgenden Einträge:
        

      ALSO This is for testing purposes only11

  3. Speichern Sie die Datei, und schließen Sie den Texteditor.

Step 5

HINWEISE ZUR AUTOMATISCHEN ENTFERNUNG

HINWEISE ZUR MANUELLEN ENTFERNUNG



Step 6

HINWEISE ZUR AUTOMATISCHEN ENTFERNUNG

Um diese Malware automatisch aus Ihrem System zu entfernen, verwenden Sie bitte das spezielle Fixtool von Trend Micro. Laden Sie das Fixtool herunter, entpacken Sie es, und führen Sie es im selben Ordner aus, in dem auch Ihre aktuelle Trend Micro Pattern-Datei gespeichert ist. Weitere Informationen finden Sie in der Readme-Datei des Fixtools.

HINWEISE ZUR MANUELLEN ENTFERNUNG



Nehmen Sie an unserer Umfrage teil