Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

How to... W32.CodBot-S

Anleitung Sicherheit Viren und Trojaner

Mitglied: Desperado

Desperado (Level 1) - Jetzt verbinden

19.07.2005 um 21:46 Uhr, 17135 Aufrufe

(mapi32.exe, aaa.exe-zzz.exe,rdriv.sys,extel.exe)

* Hier wird beschrieben wie man Registry-Einträge löscht. Wer dies macht handelt auf eigene Verantwortung. Bei mir hat u.g. Vorgehensweise keine Systemschädigungen oder Funktionsprobleme verursacht. *

Hallo zusammen,

ich habe viele Beiträge gelesen, in denen nur eine Neuinstallation empfohlen wird. Ich möchte hier kurz dokumentieren, wie wir o.g. Wurm aus dem System geschafft haben... Der Trojaner erzeugt unheimlichen Netzwerktraffic, öffnet plötzlich HTML-Seiten (lokale) von Microsoft oder Symantec. Zudem versucht er zig Reg-Einträge zu machen... Die Microsoft-Seiten heissen update*.html usw. Ausserdem liegen batch-Dateien im winnt-Verzeichnis die r.bat (r.rar), l.bat (l.rar) o.ä. heissen können. Diese habe ich sofort gelöscht. Sie sind verantwortlich für die Registry-Einträge. Gerne werden Programme wie Internet Optimizer oder Media-Motor installiert. Deinstallation bringt nix. HiJackThis hilft Euch diese Programme zu erkennen. Meist wird versucht auf eine Seite mit der einer 217er IP zu connecten, die sich plötzlich öffnet.

1.) aaa.exe-zzz.exe/mapi32.exe

Win im abgesicherten Modus/Eingabeaufforderung. Dann Datei.exe umbenennen und verschieben. Löschen ist hier noch nicht möglich. System erneut starten, Datei ist kein aktiver Prozess mehr und kann daher gelöscht werden.

2.) rdriv.sys

Win im ab gesicherten Modus. rdriv befindet sich in c:\winnt\system32. die datei löschen. in der registry
nach rdriv suchen. Neben einigen Druckern wird hier auch ein verzeichnis gefunden, das rdriv heisst. hier stehen wahrscheinlich entweder die aaa.exe-zzz.exe oder eine mapi32.exe drin. das komplette verzeichnis löschen (achtung, kann mehrfach vorkommen).

3.) extel.exe

Wie oben, Datei liegt aber im c:\winnt ODER in c:\winnt\system32. Auch hier Registry-Einträge suchen. Sollte die Datei nicht gelöscht werden können mit msconfig aus dem Systemstart nehmen.

4.) system hochfahren und aktive prozesse suchen (aaa.exe-zzz.exe, mapi32.exe).

zum schluss sollte ein umfassender virenscan durchgeführt werden. Ich empfehle den Onlinescanner von trendmicro.de

Hoffe, das Tutorial wird einigen helfen...

Grüsse, Desperado

P.S.: BitDefender FreeEdition 7.2 (umsonst, Vollversion) findet diese Trojaner als IRC.Backdoor-Trojaner... www.bitdefender.de // Wer sich mehr leisten kann, dem sei McAfee Enterprise empfohlen. Auch er findet alle diese Trojaner.

* Update: Der Reg-Key LEGACY_RDRIV gehört voraussichtlich nicht zu Trojanern ***
Ähnliche Inhalte
JavaScript
gelöst How to send request to get location id (2)

Frage von thankusomuch zum Thema JavaScript ...

PHP
gelöst How to get counter value from ebay (6)

Frage von thankusomuch zum Thema PHP ...

PHP
How to write phpinfo with special character to file (11)

Frage von thankusomuch zum Thema PHP ...

KVM
How to: Libvirt Port forwarding (2)

Anleitung von fundave3 zum Thema KVM ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Internet
gelöst Jeden morgen Internet-Probleme (59)

Frage von pjrtvly zum Thema Internet ...

DSL, VDSL
VDSL Signal via PowerLine an Fritzbox - Möglich? (19)

Frage von Seichobob zum Thema DSL, VDSL ...

Windows Server
Benutzer sperrt sich immer wieder im Active Directory Contoller (18)

Frage von Kirdy1301 zum Thema Windows Server ...