Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

How to... W32.CodBot-S

Anleitung Sicherheit Viren und Trojaner

Mitglied: Desperado

Desperado (Level 1) - Jetzt verbinden

19.07.2005 um 21:46 Uhr, 17092 Aufrufe

(mapi32.exe, aaa.exe-zzz.exe,rdriv.sys,extel.exe)

* Hier wird beschrieben wie man Registry-Einträge löscht. Wer dies macht handelt auf eigene Verantwortung. Bei mir hat u.g. Vorgehensweise keine Systemschädigungen oder Funktionsprobleme verursacht. *

Hallo zusammen,

ich habe viele Beiträge gelesen, in denen nur eine Neuinstallation empfohlen wird. Ich möchte hier kurz dokumentieren, wie wir o.g. Wurm aus dem System geschafft haben... Der Trojaner erzeugt unheimlichen Netzwerktraffic, öffnet plötzlich HTML-Seiten (lokale) von Microsoft oder Symantec. Zudem versucht er zig Reg-Einträge zu machen... Die Microsoft-Seiten heissen update*.html usw. Ausserdem liegen batch-Dateien im winnt-Verzeichnis die r.bat (r.rar), l.bat (l.rar) o.ä. heissen können. Diese habe ich sofort gelöscht. Sie sind verantwortlich für die Registry-Einträge. Gerne werden Programme wie Internet Optimizer oder Media-Motor installiert. Deinstallation bringt nix. HiJackThis hilft Euch diese Programme zu erkennen. Meist wird versucht auf eine Seite mit der einer 217er IP zu connecten, die sich plötzlich öffnet.

1.) aaa.exe-zzz.exe/mapi32.exe

Win im abgesicherten Modus/Eingabeaufforderung. Dann Datei.exe umbenennen und verschieben. Löschen ist hier noch nicht möglich. System erneut starten, Datei ist kein aktiver Prozess mehr und kann daher gelöscht werden.

2.) rdriv.sys

Win im ab gesicherten Modus. rdriv befindet sich in c:\winnt\system32. die datei löschen. in der registry
nach rdriv suchen. Neben einigen Druckern wird hier auch ein verzeichnis gefunden, das rdriv heisst. hier stehen wahrscheinlich entweder die aaa.exe-zzz.exe oder eine mapi32.exe drin. das komplette verzeichnis löschen (achtung, kann mehrfach vorkommen).

3.) extel.exe

Wie oben, Datei liegt aber im c:\winnt ODER in c:\winnt\system32. Auch hier Registry-Einträge suchen. Sollte die Datei nicht gelöscht werden können mit msconfig aus dem Systemstart nehmen.

4.) system hochfahren und aktive prozesse suchen (aaa.exe-zzz.exe, mapi32.exe).

zum schluss sollte ein umfassender virenscan durchgeführt werden. Ich empfehle den Onlinescanner von trendmicro.de

Hoffe, das Tutorial wird einigen helfen...

Grüsse, Desperado

P.S.: BitDefender FreeEdition 7.2 (umsonst, Vollversion) findet diese Trojaner als IRC.Backdoor-Trojaner... www.bitdefender.de // Wer sich mehr leisten kann, dem sei McAfee Enterprise empfohlen. Auch er findet alle diese Trojaner.

* Update: Der Reg-Key LEGACY_RDRIV gehört voraussichtlich nicht zu Trojanern ***
Neuester Wissensbeitrag
Ähnliche Inhalte
PHP
How to write phpinfo with special character to file (11)

Frage von thankusomuch zum Thema PHP ...

Exchange Server
How to recover Exchange mailbox folder for FREE

Link von Herbrich19 zum Thema Exchange Server ...

Windows Server
How to identify and decline superseded updates in WSUS (13)

Link von Knorkator zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...