hallo zusammen,
hab mir wohl nen backdoor steuerprogramm eingefangen das mein antivirus auch erkennt und erstmal löscht(BDS/VB.awr.35)
problem ist das nach neustart des rechners der virus wieder da ist, da er sich in 2 dateien und 13 regestry einträgen verewigt
frage : wie säubere ich die regestry ohne schaden anzurichten weiss jemand rat????
hier noch die beschreibung des dings:
danke im voraus rainer voss
Name:
BDS/VB.awr.35
Entdeckt am: 19/03/2007
Art: Backdoor Server
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Mittel
Statische Datei: Ja
Dateigröße: 420.299 Bytes
MD5 Prüfsumme: ecf789e622ab53b9761595f51e63423a
VDF Version: <a title="VDF-Details sehen" href="http://www.avira.com/de/threats/section/vdfhistory/vdf_no/6.38.00.74/6.38.00.74.html">
6.38.00.74[/url] - Mon, 19 Mar 2007 08:54 (GMT+1)
IVDF Version: <a title="iVDF-Details sehen" href="http://www.avira.com/de/threats/section/vdfhistory/ivdf_no/6.38.00.76/6.38.00.76.html">
6.38.00.76[/url] - Mon, 19 Mar 2007 08:54 (GMT+1) General Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Alias:
• Kaspersky: Backdoor.Win32.VB.awr
• F-Secure: Backdoor.Win32.VB.awr
Betriebsysteme:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
• Zeichnet Tastatureingaben auf
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer
Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\scvhost.exe
Es werden folgende Dateien erstellt:
– Nicht virulente Datei:
• %WINDIR%\MSWINSCK.OCX
– %SYSDIR%\offlog.txt Diese Datei enthält gesammelte Tastatureingaben.
Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
• "Windows Update"="%WINDIR%\scvhost.exe"
• "msconfig"="%WINDIR%\scvhost.exe"
• "icq lite"="%WINDIR%\scvhost.exe"
• "Update Checker"="%WINDIR%\scvhost.exe"
• "AntiVir"="%WINDIR%\scvhost.exe"
• @="%WINDIR%\scvhost.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows Update"="%WINDIR%\scvhost.exe"
• "msconfig"="%WINDIR%\scvhost.exe"
• "icq lite"="%WINDIR%\scvhost.exe"
• "Update Checker"="%WINDIR%\scvhost.exe"
• "AntiVir"="%WINDIR%\scvhost.exe"
• @="%WINDIR%\scvhost.exe"
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• "run"="%WINDIR%\scvhost.exe"
Hosts Die hosts Datei wird wie folgt geändert:
– In diesem Fall werden die bestehenden Einträge gelöscht.
– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
• dl1.avgate.net
• dl2.avgate.net
• dl3.avgate.net
• dl4.avgate.net
• dl5.avgate.net
• dl6.avgate.net
• dl7.avgate.net
• dl8.avgate.net
• dl9.avgate.net
Hintertür Kontaktiert Server:
Den folgenden:
• arcrol3**********:1338
Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.
