|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Backdoor.Sdbot.HW
Alias: W32/Sdbot-HW, Win32/Optix.Pro.132 trojan, W32.Randex.gen, W32/Sdbot.worm.gen.i
Backdoor.Sdbot.HW ist ein W32-Wurm, der sich remote über IRC-Kanäle verbreitet.
Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich
Backdoor.Sdbot.HW als AL.EXE in den Windows-Systemordner und erstellt
folgende Registrierungseinträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Backdoor.Sdbot.HW kopiert sich local als PAYLOAD.DAT.
Um die Verwendung von Registrierungs-Tools (z.B. regedit) zu deaktivieren:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableRegistryTools = "1"
Backdoor.Sdbot.HW versucht folgende Prozesse zu beenden:
REGEDIT.EXE
MSCONFIG.EXE
TASKMGR.EXE
TEST.EXE
TASKMON.EXE
Informationen über das Netzwerk werden unter dem File SCLOG.TXT gespeichert,
diverse Tasteneingaben und Schlüsselwörter unter KEYLOG.TXT.
Entfernung:
Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Löschen Sie die Registry-Werte.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und
drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Jeder User hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\.
Suchen Sie für jeden User den Eintrag:
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
|
|
Linktipps: Rentenversicherung
|
|
|
|
