Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

How to... W32.CodBot-S

Anleitung Sicherheit Viren und Trojaner

Mitglied: Desperado

Desperado (Level 1) - Jetzt verbinden

19.07.2005 um 21:46 Uhr, 17121 Aufrufe

(mapi32.exe, aaa.exe-zzz.exe,rdriv.sys,extel.exe)

* Hier wird beschrieben wie man Registry-Einträge löscht. Wer dies macht handelt auf eigene Verantwortung. Bei mir hat u.g. Vorgehensweise keine Systemschädigungen oder Funktionsprobleme verursacht. *

Hallo zusammen,

ich habe viele Beiträge gelesen, in denen nur eine Neuinstallation empfohlen wird. Ich möchte hier kurz dokumentieren, wie wir o.g. Wurm aus dem System geschafft haben... Der Trojaner erzeugt unheimlichen Netzwerktraffic, öffnet plötzlich HTML-Seiten (lokale) von Microsoft oder Symantec. Zudem versucht er zig Reg-Einträge zu machen... Die Microsoft-Seiten heissen update*.html usw. Ausserdem liegen batch-Dateien im winnt-Verzeichnis die r.bat (r.rar), l.bat (l.rar) o.ä. heissen können. Diese habe ich sofort gelöscht. Sie sind verantwortlich für die Registry-Einträge. Gerne werden Programme wie Internet Optimizer oder Media-Motor installiert. Deinstallation bringt nix. HiJackThis hilft Euch diese Programme zu erkennen. Meist wird versucht auf eine Seite mit der einer 217er IP zu connecten, die sich plötzlich öffnet.

1.) aaa.exe-zzz.exe/mapi32.exe

Win im abgesicherten Modus/Eingabeaufforderung. Dann Datei.exe umbenennen und verschieben. Löschen ist hier noch nicht möglich. System erneut starten, Datei ist kein aktiver Prozess mehr und kann daher gelöscht werden.

2.) rdriv.sys

Win im ab gesicherten Modus. rdriv befindet sich in c:\winnt\system32. die datei löschen. in der registry
nach rdriv suchen. Neben einigen Druckern wird hier auch ein verzeichnis gefunden, das rdriv heisst. hier stehen wahrscheinlich entweder die aaa.exe-zzz.exe oder eine mapi32.exe drin. das komplette verzeichnis löschen (achtung, kann mehrfach vorkommen).

3.) extel.exe

Wie oben, Datei liegt aber im c:\winnt ODER in c:\winnt\system32. Auch hier Registry-Einträge suchen. Sollte die Datei nicht gelöscht werden können mit msconfig aus dem Systemstart nehmen.

4.) system hochfahren und aktive prozesse suchen (aaa.exe-zzz.exe, mapi32.exe).

zum schluss sollte ein umfassender virenscan durchgeführt werden. Ich empfehle den Onlinescanner von trendmicro.de

Hoffe, das Tutorial wird einigen helfen...

Grüsse, Desperado

P.S.: BitDefender FreeEdition 7.2 (umsonst, Vollversion) findet diese Trojaner als IRC.Backdoor-Trojaner... www.bitdefender.de // Wer sich mehr leisten kann, dem sei McAfee Enterprise empfohlen. Auch er findet alle diese Trojaner.

* Update: Der Reg-Key LEGACY_RDRIV gehört voraussichtlich nicht zu Trojanern ***
Ähnliche Inhalte
JavaScript
gelöst How to send request to get location id (2)

Frage von thankusomuch zum Thema JavaScript ...

PHP
gelöst How to get counter value from ebay (6)

Frage von thankusomuch zum Thema PHP ...

PHP
How to write phpinfo with special character to file (11)

Frage von thankusomuch zum Thema PHP ...

Exchange Server
How to recover Exchange mailbox folder for FREE

Link von Herbrich19 zum Thema Exchange Server ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Statische Routen mit Shorewall, ISC-DHCP Server konfigurieren für Android Devices (24)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Hardware
16-20 Port POE Switch mit VLAN (16)

Frage von thomasreischer zum Thema Hardware ...

Windows Server
Exchange HyperV Prozessorlast (16)

Frage von theoberlin zum Thema Windows Server ...