Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Trojan.Dumaru.A


Alias: TROJ_DUMARIN.A, W32/DUMARU, TrojanSpy.Win32.Dumarin.e


Trojan.Dumaru.A ist ein W32-Wurm, der sich remote über IRC-Kanäle verbreitet.
Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich
Trojan.Dumaru.A remote über IRC-Kanäle.

Trojan.Dumaru.A tritt mit einer bestimmten Web-Seite in Verbindung und teilt dem
Hacker mit, daß ein System erfolgreich infiziert wurde.
Anschließend holt er sich alle Systeminformationen (Computername etc.)

Es werden folgende Registrierungseinträge erstellt:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
load32 = "%System%\netda.exe"

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Explorer>Shell Folders
Startup = %System%\netdb.exe

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe %System%\netdc.exe"

Trojan.Dumaru.A legt eine Textdatei namens HOSTS in C:\\drivers\etc an.
Dese enthält Namen von Antiviren- und anderen Sicherheits-Websites, die mit der
IP-Adresse 127.0.0.1 verknüpft sind und dadurch der Zugriff auf diese Webseiten
unmöglich gemacht wird:

127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com


Entfernung:

Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Löschen Sie den Wert in der Registry.
Bearbeiten der Registrierungseinträge:

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
load32 = "%System%\netda.exe"

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Explorer>Shell Folders
Startup = %System%\netdb.exe

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe %System%\netdc.exe"

(%System% ist die Windows-Systemumgebung)

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
Ändern Sie alle Kennwörter, die möglicherweise gestohlen wurden.








Linktipps: MSC Sinfonia