Tipps & Tricks
12.11.2003, 21:15 Uhr
Wie werde ich den Downloader-Virus los?
Seit kurzem findet Norton Antivirus in meinem System (Windows XP) den Virus «Downloader.dluca.b" und verweist immer auf die Datei «win32info.exe». Ich habe keine Ahnung, was das für eine Datei ist und ich kann machen, was ich will: Ich werden den Virus nicht los. Auch Norton kann die Datei nicht löschen - der Zugriff wird immer verwehrt. Habe schon versucht, auf diversen Anti-Viren-Homepages was über den Virus heraus zu finden - bisher leider ohne Erfolg.
Bei Downloader.dluca.B handelt es sich nicht um einen Virus oder Wurm, der sich von selber verbreitet, sondern um eine Art trojanisches Pferd, das Informationen über den PC ausschnüffelt.
Gemäss der Beschreibung von Symantec [1] nistet sich der Schädling so ein:
Er kopiert sich in den System-Ordner von Windows, also z.B. in den Ordner C:\Windows\System\ oder C:\Windows\System32, je nach Windows-Version. Dabei verwendet er verschiedene Dateinamen, darunter auch win32info.exe oder infwin.exe.
Diese Datei trägt er dann in der Windows-Registry ein, und zwar in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der Wert des Eintrags lautet dann z.B. "win32info.exe /noconnect"
Zusätzlich platziert er eine Datei -uninstall.exe, die ebenfalls im System-Ordner liegt. Auch diese verwendet er für einen Eintrag in der Registry, und zwar in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\uninstall\<filename>
Die Einträge lauten dann, sofern sich der Trojaner für den Dateinamen win32info.exe entschieden hat:
"UninstallString"="%System%\win32info.exe -uninstall.exe /uninstall"
"DisplayName"="win32info.exe"
Einen weiteren Eintrag fügt er in diesem Registry-Zweig hinzu:
HKEY_CURRENT_USER\Software\win32info.exe
Mit dem Wert "MIMETYPE_DESCRIPTION"=".wxx"
Um den Schädling nun zu entfernen, müssen Sie zuerst die Systemwiederherstellung von Windows XP (oder Windows Me) deaktivieren. Sonst werden die Trojanerdateien und die unerwünschten Registry-Einträge beim nächsten Start wiederhergestellt.
Aktualisieren Sie die Virendefinitionen Ihres Virenscanners oder installieren Sie eine neue Version Ihres Virenscanners und aktualisieren Sie diese ebenfalls.
Falls Sie Windows 95, 98 oder Me (Millennium Edition) haben, starten Sie den PC im abgesicherten Modus.
Falls Sie Windows NT, 2000 oder XP haben, drücken Sie CTRL+ALT+DELETE, um den Taskmanager aufzurufen. Gehen Sie ins Register "Prozesse" und sortieren Sie durch einen Klick auf "Name" die Liste der Dateinamen alphabetisch. Klicken Sie den Task an, der dem Namen der Trojanerdatei entspricht und klicken Sie auf "Prozess beenden". Schliessen Sie den Taskmanager wieder, via Datei/Beenden oder durch einen Klick aufs X oben rechts.
Nun gehts für alle gleich weiter:
Scannen Sie Ihr System nach Viren und lassen Sie alle Dateien löschen, die als infiziert angezeigt werden. Entfernen Sie in der Windows-Registry die oben erwähnten Einträge, die der Schädling erstellt hat. Hierbei müssen Sie extrem vorsichtig sein: Gehen Sie zu Start/Ausführen, tippen Sie REGEDIT.EXE ein und drücken Sie Enter.
Klicken Sie sich zu den Zweigen durch, die oben erwähnt sind und entfernen Sie die Einträge des Trojaners. Sollten Sie im Umgang mit dem Registry-Editor nicht geübt sein, bitten Sie vielleicht einen Bekannten um Hilfe.
Kommentare
Es sind keine Kommentare vorhanden.
