0
How to... W32.CodBot-S
(mapi32.exe, aaa.exe-zzz.exe,rdriv.sys,extel.exe)
* Hier wird beschrieben wie man Registry-Einträge löscht. Wer dies macht handelt auf eigene Verantwortung. Bei mir hat u.g. Vorgehensweise keine Systemschädigungen oder Funktionsprobleme verursacht. *
Hallo zusammen,
ich habe viele Beiträge gelesen, in denen nur eine Neuinstallation empfohlen wird. Ich möchte hier kurz dokumentieren, wie wir o.g. Wurm aus dem System geschafft haben... Der Trojaner erzeugt unheimlichen Netzwerktraffic, öffnet plötzlich HTML-Seiten (lokale) von Microsoft oder Symantec. Zudem versucht er zig Reg-Einträge zu machen... Die Microsoft-Seiten heissen update*.html usw. Ausserdem liegen batch-Dateien im winnt-Verzeichnis die r.bat (r.rar), l.bat (l.rar) o.ä. heissen können. Diese habe ich sofort gelöscht. Sie sind verantwortlich für die Registry-Einträge. Gerne werden Programme wie Internet Optimizer oder Media-Motor installiert. Deinstallation bringt nix. HiJackThis hilft Euch diese Programme zu erkennen. Meist wird versucht auf eine Seite mit der einer 217er IP zu connecten, die sich plötzlich öffnet.
1.) aaa.exe-zzz.exe/mapi32.exe
Win im abgesicherten Modus/Eingabeaufforderung. Dann Datei.exe umbenennen und verschieben. Löschen ist hier noch nicht möglich. System erneut starten, Datei ist kein aktiver Prozess mehr und kann daher gelöscht werden.
2.) rdriv.sys
Win im ab gesicherten Modus. rdriv befindet sich in c:\winnt\system32. die datei löschen. in der registry
nach rdriv suchen. Neben einigen Druckern wird hier auch ein verzeichnis gefunden, das rdriv heisst. hier stehen wahrscheinlich entweder die aaa.exe-zzz.exe oder eine mapi32.exe drin. das komplette verzeichnis löschen (achtung, kann mehrfach vorkommen).
3.) extel.exe
Wie oben, Datei liegt aber im c:\winnt ODER in c:\winnt\system32. Auch hier Registry-Einträge suchen. Sollte die Datei nicht gelöscht werden können mit msconfig aus dem Systemstart nehmen.
4.) system hochfahren und aktive prozesse suchen (aaa.exe-zzz.exe, mapi32.exe).
zum schluss sollte ein umfassender virenscan durchgeführt werden. Ich empfehle den Onlinescanner von trendmicro.de
Hoffe, das Tutorial wird einigen helfen...
Grüsse, Desperado
P.S.: BitDefender FreeEdition 7.2 (umsonst, Vollversion) findet diese Trojaner als IRC.Backdoor-Trojaner... www.bitdefender.de // Wer sich mehr leisten kann, dem sei McAfee Enterprise empfohlen. Auch er findet alle diese Trojaner.
* Update: Der Reg-Key LEGACY_RDRIV gehört voraussichtlich nicht zu Trojanern ***
Hallo zusammen,
ich habe viele Beiträge gelesen, in denen nur eine Neuinstallation empfohlen wird. Ich möchte hier kurz dokumentieren, wie wir o.g. Wurm aus dem System geschafft haben... Der Trojaner erzeugt unheimlichen Netzwerktraffic, öffnet plötzlich HTML-Seiten (lokale) von Microsoft oder Symantec. Zudem versucht er zig Reg-Einträge zu machen... Die Microsoft-Seiten heissen update*.html usw. Ausserdem liegen batch-Dateien im winnt-Verzeichnis die r.bat (r.rar), l.bat (l.rar) o.ä. heissen können. Diese habe ich sofort gelöscht. Sie sind verantwortlich für die Registry-Einträge. Gerne werden Programme wie Internet Optimizer oder Media-Motor installiert. Deinstallation bringt nix. HiJackThis hilft Euch diese Programme zu erkennen. Meist wird versucht auf eine Seite mit der einer 217er IP zu connecten, die sich plötzlich öffnet.
1.) aaa.exe-zzz.exe/mapi32.exe
Win im abgesicherten Modus/Eingabeaufforderung. Dann Datei.exe umbenennen und verschieben. Löschen ist hier noch nicht möglich. System erneut starten, Datei ist kein aktiver Prozess mehr und kann daher gelöscht werden.
2.) rdriv.sys
Win im ab gesicherten Modus. rdriv befindet sich in c:\winnt\system32. die datei löschen. in der registry
nach rdriv suchen. Neben einigen Druckern wird hier auch ein verzeichnis gefunden, das rdriv heisst. hier stehen wahrscheinlich entweder die aaa.exe-zzz.exe oder eine mapi32.exe drin. das komplette verzeichnis löschen (achtung, kann mehrfach vorkommen).
3.) extel.exe
Wie oben, Datei liegt aber im c:\winnt ODER in c:\winnt\system32. Auch hier Registry-Einträge suchen. Sollte die Datei nicht gelöscht werden können mit msconfig aus dem Systemstart nehmen.
4.) system hochfahren und aktive prozesse suchen (aaa.exe-zzz.exe, mapi32.exe).
zum schluss sollte ein umfassender virenscan durchgeführt werden. Ich empfehle den Onlinescanner von trendmicro.de
Hoffe, das Tutorial wird einigen helfen...
Grüsse, Desperado
P.S.: BitDefender FreeEdition 7.2 (umsonst, Vollversion) findet diese Trojaner als IRC.Backdoor-Trojaner... www.bitdefender.de // Wer sich mehr leisten kann, dem sei McAfee Enterprise empfohlen. Auch er findet alle diese Trojaner.
* Update: Der Reg-Key LEGACY_RDRIV gehört voraussichtlich nicht zu Trojanern ***
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 13345
Url: https://administrator.de/contentid/13345
Printed on: April 26, 2024 at 18:04 o'clock