Übertragungsdetails
Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\Default.scr
- %System%\config\cache\Dasktop.ini
- %System%\config\lsass.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.
Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:
- OLLYDBG
- SICE
- SIWVID
- NTICE
- REGSYS
- REGVXG
- FILEVXG
- FILEM
- TRW
- ICEEXT
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Audio Driver = %System%\config\lsass.exe
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
15 = guardgui.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\systemrestore
DisableSR = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisallowRun = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
0 = avp.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
1 = avz.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
2 = autoruns.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
3 = outpost.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
4 = spidernt.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
5 = SpyDerAgent.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
6 = dwengine.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
7 = spiderui.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
8 = acs.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
9 = op_mon.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
10 = klnagent.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
11 = egui.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
12 = sched.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
13 = avgnt.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
14 = avguard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer
NoFolderoptions = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DisableNotifications = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
enableFirewall = 0
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = 100
(Note: The default value data of the said registry entry is {user-defined}.)
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1
(Note: The default value data of the said registry entry is {user-defined}.)
Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0
(Note: The default value data of the said registry entry is 1.)
Löscht die folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
Ändert die folgenden Registrierungseinträge, um Dateierweiterungen auszublenden:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1
(Note: The default value data of the said registry entry is 0.)
Verbreitung
Sucht nach Ordnern in allen Festplatten- und Wechsellaufwerken, um dort Kopien von sich selbst innerhalb des Ordner als {Ordnername}.EXE.
Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- acs.exe
- autoruns.exe
- avgnt.exe
- avguard.exe
- avp.exe
- avz.exe
- dwengine.exe
- egui.exe
- ESET NOD32 Antivirus
- ESET Smart Security
- filemon.exe
- guardgui.exe
- HiJackThis.exe
- Kaspersky Internet Security
- KillProcess.exe
- klnagent.exe
- msconfig.exe
- op_mon.exe
- OS.exe
- outpost.exe
- phunter.exe
- PrcInfo.exe
- Prcview.exe
- Process Viewer
- procexp.exe
- procmon.exe
- Reg Organizer
- regedit.exe
- regmon.exe
- sched.exe
- Security Task Manager
- servise.exe
- spidernt.exe
- spiderui.exe
- SpyDerAgent.exe
- Symantec AntiVirus
- sysinspector.exe
- TaskInfo.exe
- Unlocker.exe
- UnlockerAssistant.exe
Step 2
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als WORM_QHOST.TX entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 3
Diesen Registrierungswert löschen
[ Saber mais ]
[ De volta ]
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Intel Audio Driver = %System%\config\lsass.exe
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
SaveZoneInformation = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
0 = avp.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
1 = avz.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
2 = autoruns.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
3 = outpost.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
4 = spidernt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
5 = SpyDerAgent.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
6 = dwengine.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
7 = spiderui.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
8 = acs.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
9 = op_mon.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
10 = klnagent.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
11 = egui.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
12 = sched.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
13 = avgnt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
14 = avguard.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
15 = guardgui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
NoFolderoptions = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallOverride = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DisableNotifications = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
enableFirewall = 0
Den Registrierungswert löschen, den diese Malware/Grayware/Spyware erstellt hat:
- Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
- Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Intel Audio Driver = %System%\config>lsass.exe - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Control Panel>Desktop - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
SCRNSAVE.EXE = %System%\Default.scr - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows NT>CurrentVersion>systemrestore - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
DisableSR = 1 - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Associations - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
LowRiskFileTypes = .exe;.bat;.reg;.scr; - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Attachments - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
SaveZoneInformation = 1 - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
DisallowRun = 1 - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer>Disallowrun - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
0 = avp.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
1 = avz.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
2 = autoruns.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
3 = outpost.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
4 = spidernt.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
5 = SpyDerAgent.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
6 = dwengine.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
7 = spiderui.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
8 = acs.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
9 = op_mon.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
10 = klnagent.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
11 = egui.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
12 = sched.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
13 = avgnt.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
14 = avguard.exe - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
15 = guardgui.exe - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>explorer - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
NoFolderoptions = 1 - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
FirewallOverride = 1 - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
FirewallDisableNotify = 1 - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StardardProfile - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
DisableNotifications = 1 - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
DoNotAllowExceptions = 0 - Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
enableFirewall = 0 - Schließen Sie den Registrierungs-Editor.
Step 4
Diese Zeichenfolgen entfernen, die die Malware/Grayware/Spyware zur HOSTS-Datei hinzugefügt hat
[ Saber mais ]
[ De volta ]
174.133.168.212 www.viruslist.com174.133.168.212 www.kaspersky.ru
174.133.168.212 www.kaspersky.com
174.133.168.212 www.securelist.com
174.133.168.212 z-oleg.com
174.133.168.212 www.trendsecure.com
174.133.168.212 ftp.drweb.com
174.133.168.212 virusinfo.info
174.133.168.212 www.viruslab.ru
174.133.168.212 www.novirus.ru
174.133.168.212 online.drweb.com
174.133.168.212 www.informyx.ru
174.133.168.212 vms.drweb.com
174.133.168.212 stopvirus.ru
174.133.168.212 www.esetnod32.ru
174.133.168.212 devbuilds.kaspersky-labs.com
174.133.168.212 www.agnitum.ru
174.133.168.212 www.drweb.com
174.133.168.212 www.avirus.ru
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-01.geo.kaspersky.com
174.133.168.212 dnl-02.geo.kaspersky.com
174.133.168.212 dnl-03.geo.kaspersky.com
174.133.168.212 dnl-04.geo.kaspersky.com
174.133.168.212 dnl-05.geo.kaspersky.com
174.133.168.212 dnl-06.geo.kaspersky.com
174.133.168.212 dnl-07.geo.kaspersky.com
174.133.168.212 dnl-08.geo.kaspersky.com
174.133.168.212 dnl-09.geo.kaspersky.com
174.133.168.212 dnl-10.geo.kaspersky.com
174.133.168.212 dnl-11.geo.kaspersky.com
174.133.168.212 dnl-12.geo.kaspersky.com
174.133.168.212 dnl-13.geo.kaspersky.com
174.133.168.212 dnl-14.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-16.geo.kaspersky.com
174.133.168.212 dnl-17.geo.kaspersky.com
174.133.168.212 dnl-18.geo.kaspersky.com
174.133.168.212 dnl-19.geo.kaspersky.com
174.133.168.212 dnl-20.geo.kaspersky.com
174.133.168.212 downloads1.kaspersky-labs.com
174.133.168.212 downloads2.kaspersky-labs.com
174.133.168.212 downloads3.kaspersky-labs.com
174.133.168.212 downloads4.kaspersky-labs.com
174.133.168.212 downloads5.kaspersky-labs.com
174.133.168.212 msk1.drweb.com
174.133.168.212 msk2.drweb.com
174.133.168.212 msk3.drweb.com
174.133.168.212 msk4.drweb.com
174.133.168.212 msk5.drweb.com
174.133.168.212 download.eset.com
174.133.168.212 u40.eset.com
174.133.168.212 u41.eset.com
174.133.168.212 u42.eset.com
174.133.168.212 u43.eset.com
174.133.168.212 u44.eset.com
174.133.168.212 u45.eset.com
174.133.168.212 u46.eset.com
174.133.168.212 u47.eset.com
174.133.168.212 u48.eset.com
174.133.168.212 u49.eset.com
174.133.168.212 u50.eset.com
174.133.168.212 u51.eset.com
174.133.168.212 u52.eset.com
174.133.168.212 u53.eset.com
174.133.168.212 u54.eset.com
174.133.168.212 u55.eset.com
174.133.168.212 u56.eset.com
174.133.168.212 u57.eset.com
174.133.168.212 u58.eset.com
174.133.168.212 u59.eset.com
174.133.168.212 um10.eset.com
174.133.168.212 um11.eset.com
174.133.168.212 um12.eset.com
174.133.168.212 um13.eset.com
174.133.168.212 um14.eset.com
174.133.168.212 um15.eset.com
174.133.168.212 um16.eset.com
174.133.168.212 um17.eset.com
174.133.168.212 um18.eset.com
174.133.168.212 um19.eset.com
Die HOSTS-Datei Ihres Computers bearbeiten:
- Öffnen Sie die folgende Datei in einem Texteditor (z. B. NOTEPAD):
• Unter Windows 98 und ME:
• Unter Windows NT, 2000, XP und Server 2003:
- Löschen Sie die folgenden Einträge:
174.133.168.212 www.viruslist.com174.133.168.212 www.kaspersky.ru
174.133.168.212 www.kaspersky.com
174.133.168.212 www.securelist.com
174.133.168.212 z-oleg.com
174.133.168.212 www.trendsecure.com
174.133.168.212 ftp.drweb.com
174.133.168.212 virusinfo.info
174.133.168.212 www.viruslab.ru
174.133.168.212 www.novirus.ru
174.133.168.212 online.drweb.com
174.133.168.212 www.informyx.ru
174.133.168.212 vms.drweb.com
174.133.168.212 stopvirus.ru
174.133.168.212 www.esetnod32.ru
174.133.168.212 devbuilds.kaspersky-labs.com
174.133.168.212 www.agnitum.ru
174.133.168.212 www.drweb.com
174.133.168.212 www.avirus.ru
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-01.geo.kaspersky.com
174.133.168.212 dnl-02.geo.kaspersky.com
174.133.168.212 dnl-03.geo.kaspersky.com
174.133.168.212 dnl-04.geo.kaspersky.com
174.133.168.212 dnl-05.geo.kaspersky.com
174.133.168.212 dnl-06.geo.kaspersky.com
174.133.168.212 dnl-07.geo.kaspersky.com
174.133.168.212 dnl-08.geo.kaspersky.com
174.133.168.212 dnl-09.geo.kaspersky.com
174.133.168.212 dnl-10.geo.kaspersky.com
174.133.168.212 dnl-11.geo.kaspersky.com
174.133.168.212 dnl-12.geo.kaspersky.com
174.133.168.212 dnl-13.geo.kaspersky.com
174.133.168.212 dnl-14.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-16.geo.kaspersky.com
174.133.168.212 dnl-17.geo.kaspersky.com
174.133.168.212 dnl-18.geo.kaspersky.com
174.133.168.212 dnl-19.geo.kaspersky.com
174.133.168.212 dnl-20.geo.kaspersky.com
174.133.168.212 downloads1.kaspersky-labs.com
174.133.168.212 downloads2.kaspersky-labs.com
174.133.168.212 downloads3.kaspersky-labs.com
174.133.168.212 downloads4.kaspersky-labs.com
174.133.168.212 downloads5.kaspersky-labs.com
174.133.168.212 msk1.drweb.com
174.133.168.212 msk2.drweb.com
174.133.168.212 msk3.drweb.com
174.133.168.212 msk4.drweb.com
174.133.168.212 msk5.drweb.com
174.133.168.212 download.eset.com
174.133.168.212 u40.eset.com
174.133.168.212 u41.eset.com
174.133.168.212 u42.eset.com
174.133.168.212 u43.eset.com
174.133.168.212 u44.eset.com
174.133.168.212 u45.eset.com
174.133.168.212 u46.eset.com
174.133.168.212 u47.eset.com
174.133.168.212 u48.eset.com
174.133.168.212 u49.eset.com
174.133.168.212 u50.eset.com
174.133.168.212 u51.eset.com
174.133.168.212 u52.eset.com
174.133.168.212 u53.eset.com
174.133.168.212 u54.eset.com
174.133.168.212 u55.eset.com
174.133.168.212 u56.eset.com
174.133.168.212 u57.eset.com
174.133.168.212 u58.eset.com
174.133.168.212 u59.eset.com
174.133.168.212 um10.eset.com
174.133.168.212 um11.eset.com
174.133.168.212 um12.eset.com
174.133.168.212 um13.eset.com
174.133.168.212 um14.eset.com
174.133.168.212 um15.eset.com
174.133.168.212 um16.eset.com
174.133.168.212 um17.eset.com
174.133.168.212 um18.eset.com
174.133.168.212 um19.eset.com
- Speichern Sie die Datei, und schließen Sie den Texteditor.
Step 5
Diesen geänderten Registrierungswert wiederherstellen
[ Saber mais ]
[ De volta ]
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = 100
{user-defined}
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1
{user-defined}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
1
Den Registrierungswert wiederherstellen, den diese Malware/Grayware/Spyware geändert hat:
- Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
- Doppelklicken Sie im linken Fensterbereich auf:
- Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
= - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Control Panel>Desktop - Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
ScreenSaveTimeOut = 100 - Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
ScreenSaveTimeOut = {user-defined} - Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
ScreenSaveActive = 1 - Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
ScreenSaveActive = {user-defined} - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>SystemRestore - Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
DisableSR = 1 - Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
DisableSR = 0 - Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced - Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
HideFileExt = 1 - Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
HideFileExt = 0 - Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Hidden = 0 - Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
Hidden = 1 - Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
ShowSuperHidden = 0 - Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
ShowSuperHidden = 1 - Schließen Sie den Registrierungs-Editor.
Step 6
Diese Dateien suchen und löschen
[ Saber mais ]
[ De volta ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen
Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen. {malware file name}.lnk
Malware/Grayware/Spyware-Komponentendateien löschen:
- Klicken Sie mit der rechten Maustaste auf Start und dann je nach Windows Version auf Suchen... oder Finden....
- Geben Sie in das Feld Name Folgendes ein:
- Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
- Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.
- Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien:
Step 7
AUTORUN.INF Dateien suchen und löschen, die von WORM_QHOST.TX erstellt wurden und diese Zeichenfolgen enthalten
[ Saber mais ]
[ De volta ]
;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}
Erstellte AUTORUN.INF Dateien erkennen und löschen:
- Klicken Sie mit der rechten Maustaste auf Start und dann je nach Windows Version auf Suchen... oder Finden....
- Geben Sie in das Feld Name Folgendes ein:
AUTORUN.INF - Wählen Sie im Listenfeld Suchen in: ein Laufwerk aus, und drücken Sie die Eingabetaste.
- Wählen Sie die Datei aus, und öffnen Sie sie im Editor.
- Prüfen Sie, ob die Datei die folgenden Zeilen enthält:
;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}
- Falls ja, löschen Sie die Datei.
- Wiederholen Sie die Schritte 3 bis 6 für die übrigen AUTORUN.INF Dateien in anderen Wechsellaufwerken.
- Schließen Sie die Suchergebnisse.
Step 8
Dateien über eine Sicherungskopie wiederherstellen Nur Microsoft basierte Dateien werden wiederhergestellt. Falls diese Malware/Grayware/Spyware auch Dateien aus Programmen gelöscht hat, die nicht von Microsoft stammen, installieren Sie diese Programme auf Ihrem Computer bitte neu.
Participe da nossa pesquisa!