|
|
|
sysdat.exe
C:\WINNT\sysdat.exe -> Backdoor.SdBot.adq -> W32/Tilebot-L
HijackThis
O23 - Service: change me please (virus) - Unknown owner - C:\WINNT\sysdat.exe
ServiceFilter.zip
Unknown Service # 5
Service Name: virus
Display Name: change me please
Start Mode: Disabled
Start Name: LocalSystem
Description: this is it, you're ...
Service Type: Own Process
Path: "c:\windows\sysdat.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch
c:\windows\sysdat.exe
Registry Search Tool
RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren
Doppelklick:regsrch.vbs
reinkopieren:
virus
change me please
Press OK
warten, bis die Suche beendet ist.
Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]
"DeviceDesc"="change me please"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus]
"DisplayName"="change me please"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]
"DeviceDesc"="change me please"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\virus]
"DisplayName"="change me please"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS\0000]
"DeviceDesc"="change me please"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus]
"DisplayName"="change me please"
Start --> Ausführen --> regedit
bearbeiten --> suchen --> virus
Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\virus]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]
"virus"=dword:00000002 --> löschen
0 = Boot, 1 = System, 2 = Automatic, 3 = Manual, 4 = Disabled
HKLM\SYSTEM\CurrentControlSet\Services\Messenger\
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry\ --> sollte ueber die Dienste deaktiviert werden
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\ --> Telnet
Start
4
Telnet ermöglicht es, fremde Rechner von einem eigenen Terminal aus zu steuern...sollte also ueber die Dienste deaktiviert werden
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
DoNotAllowXPSP2
1 --> (in 0 ändern) denn "1" --> disables delivery of SP2 via Windows Update and the Automatic Update service
allowxpsp2
HKLM\SOFTWARE\Microsoft\Ole\
EnableDCOM
N -> in "Y" aendern
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1 --> in "0" aendern
http://www.symantec.com/avcenter/venc/data/w32.spybot.worm.html
|
C:\Program Files\system64.dat
lpdriver.sys
|
|
