Virus:Win32/Badda.5137 (Microsoft); W32/Badaya (McAfee); W32.Badda.5137 (Symantec); Virus.Win32.Badda.5137 (Kaspersky); BehavesLike.Win32.Malware.sfm (mx-v) (Sunbelt); Win32/Badda.5137 (AVG)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    File infector

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Deaktiviert Task-Manager, Registrierungseditor

  Detalhes técnicos

Tipo de compactação: 46,592 bytes
Tipo de arquivo: EXE
Residente na memória: Não
Data de recebimento das amostras iniciais: 10 maio 2013

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT
.grp = "MSProgramGroup"

HKEY_CLASSES_ROOT
MSProgramGroup = "Microsoft Program Group"

HKEY_CLASSES_ROOT
MSProgramGroup\Shell\Open\Command = "{malware path and file name} %1"

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\GrpConv
Log = "Init Application."

(Note: The default value data of the said registry entry is Uninit Application..)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\GrpConv
Log = "dros: ..."

(Note: The default value data of the said registry entry is Uninit Application..)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\GrpConv
Log = "dros: Renames."

(Note: The default value data of the said registry entry is Uninit Application..)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\GrpConv
Log = "dros: Copies."

(Note: The default value data of the said registry entry is Uninit Application..)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\GrpConv
Log = "dros: Deletes."

(Note: The default value data of the said registry entry is Uninit Application..)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\GrpConv
Log = "dros: Done."

(Note: The default value data of the said registry entry is Uninit Application..)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\GrpConv
Log = "Uninit Application."

(Note: The default value data of the said registry entry is Uninit Application..)

Erstellt den oder die folgenden Registrierungseinträge, um Task-Manager, Registrierungs-Tools und Ordneroptionen zu deaktivieren:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
EditLevel = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoClose = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoSaveSettings = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFileMenu = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoCommonGroups = "0"

  Solução

Mecanismo de varredura mínima: 9.300

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Aktivieren Sie Registrierungseditor, Task-Manager und Ordneroptionen.

[ Saber mais ]
Mit diesem Schritt aktivieren Sie auch andere Anwendungen/Programme, die von dieser Malware/Grayware/Spyware deaktiviert wurden.

Registrierungseditor, Task-Manager und Ordneroptionen aktivieren:

  1. Öffnen Sie den Editor. Klicken Sie dazu auf ""Start > Ausführen"", geben Sie in das Textfeld ""Notepad"" ein, und drücken Sie die Eingabetaste.
  2. Kopieren Sie das folgende Skript, und fügen Sie es ein:
  3. Speichern Sie diese Datei unter C:\RESTORE.VBS.
  4. Klicken Sie erneut auf Start > Ausführen. Geben Sie in das Textfeld C:\RESTORE.VBS ein, und drücken Sie die Eingabetaste.
  5. Klicken Sie in der Meldung auf Ja, um die VBS-Datei auszuführen.

Step 3

Diesen Registrierungswert löschen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CLASSES_ROOT
    • .grp = "MSProgramGroup"
  • In HKEY_CLASSES_ROOT
    • MSProgramGroup = "Microsoft Program Group"
  • In HKEY_CLASSES_ROOT
    • MSProgramGroup\Shell\Open\Command = "{malware path and file name} %1"

Step 4

Diesen geänderten Registrierungswert wiederherstellen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv
    • From: Log = "Init Application."
      To: Log = ""Uninit Application.""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv
    • From: Log = "dros: ..."
      To: Log = ""Uninit Application.""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv
    • From: Log = "dros: Renames."
      To: Log = ""Uninit Application.""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv
    • From: Log = "dros: Copies."
      To: Log = ""Uninit Application.""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv
    • From: Log = "dros: Deletes."
      To: Log = ""Uninit Application.""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv
    • From: Log = "dros: Done."
      To: Log = ""Uninit Application.""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv
    • From: Log = "Uninit Application."
      To: Log = ""Uninit Application.""

Step 5

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und säubern Sie Dateien, die als PE_BADDA.5137 entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Sie können die in Quarantäne verschobenen Dateien einfach löschen. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participe da nossa pesquisa!