|
Informationen über Worm:W32/AutoRun.KD? Explorer.exe weg... Hi, einer unser User hat gestern den Anhang einer E-Mail geöffnet, die in diesem Artikel beschrieben sind: http://tech.de.msn.com/sicherheit/news_artikel.aspx?cp-documentid=11250345:F-Secure identifiziert ihn mittlerweile als Worm:W32/AutoRun.KD. Nach dem, was ich davon mitbekommen habe, hat der Wurm den Ordner C:\Progamme\Microsoft Commonund darin eine Datei mit dem Namen svchost.exeerstellt. F-Secure hat die Dateien umbenannt. Wobei ich mir nicht sicher bin, wann genau das passiert ist - denn heute morgen beim Hochfahren des Rechners startete auf einmal der Explorer nicht mehr - explorer.exe weg! Da liegt die Vermutung nahe, dass das die Arbeit des Wurms ist und dass F-Secure zu spät gekommen ist. Weiß jemand, wo man nähere Informationen über den Wurm bekommt? Ich könnte zwar das Notebook ans Netz nehmen und die explorer.exe einfach wieder kopieren. Allerdings weiß ich nicht, was der Wurm noch so auf dem Notebook verschandelt hat. Mit einer LiveCD wird es leider schwieriger, da die Festplatte des Notebooks komplett mit Safeguard Easy verschlüsselt ist. Gruß luke |
Hab noch mal ein bisschen gegoogelt und bin jetzt auf folgende Beschreibung von Avira (da heißt der Wurm anders) gestoßen: http://www.avira.com/en/threats/sect....ibill.bd.html Mal sehen. Übrigens ist die Explorer.exe nicht weg, sondern sie kann nur nicht gestartet werden. Versuche mal das, was auf der Seite steht. /edit: Problem war, dass durch den Registry-Eintrag Registry The following registry key is added:nicht mehr die explorer.exe gestartet, sondern versucht wurde, die infizierte svchose.exe zu starten. Hab den Eintrag gelöscht, jetzt funktioniert wieder alles wie gewünscht. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board