Worm.Win32.BRONTOK.D
Worm:Win32/Ludbaruma.A [non_writable_container](Microsoft); HEUR:Trojan.Win32.Generic (Kaspersky)
Windows
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Leitet Dateien durch Hinzufügen bestimmter Registrierungseinträge um. Dadurch kann diese Malware ausgeführt werden, auch wenn andere Anwendungen geöffnet sind.
Ändert bestimmte Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren. Dadurch kann diese Malware ihre Routinen unentdeckt ausführen. Deaktiviert Task-Manager, Registrierungseditor
Technische Details
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein und führt sie aus:
- %Windows%\nEwb0Rn.exe
- %System32%\WishfulThinking.exe
- %AppDataLocal%\WINDOWS\WINLOGON.EXE
- %AppDataLocal%\WINDOWS\SERVICES.EXE
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %AppDataLocal%\winlogon.exe
Erstellt die folgenden Ordner:
- %AppDataLocal%\WINDOWS
- %Drive Letter%\nEwb0Rn
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
nEwb0Rn = %Windows%\nEwb0Rn.exe
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
n3wb012n{Computer Name} = %AppDataLocal%\WINDOWS\WINLOGON.EXE
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
n210bw3n = %AppDataLocal%\WINDOWS\SERVICES.EXE
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe "%System32%\WishfulThinking.exe"
(Note: The default value data of the said registry entry is Explorer.exe.)
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System32%\userinit.exe,%System32%\WishfulThinking.exe
(Note: The default value data of the said registry entry is %System32%\userinit.exe.)
Leitet Dateien um, damit sie beim Zugriff auf bestimmte Dateitypen ausgeführt wird, indem sie die folgenden Einträge hinzufügt:
HKLM\SOFTWARE\Classes\
exefile\shell\open\
command
(Default) = "%System32%\JawsOfLife.exe" "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKLM\SOFTWARE\Classes\
lnkfile\shell\open\
command
(Default) = "%System32%\JawsOfLife.exe" "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKLM\SOFTWARE\Classes\
piffile\shell\open\
command
(Default) = "%System32%\JawsOfLife.exe" "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKLM\SOFTWARE\Classes\
batfile\shell\open\
command
(Default) = "%System32%\JawsOfLife.exe" "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKLM\SOFTWARE\Classes\
comfile\shell\open\
command
(Default) = "%System32%\JawsOfLife.exe" "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
Fügt die folgenden "Image File Execution Options"-Registrierungseinträge hinzu, um sich beim Starten bestimmter Anwendungen automatisch selbst auszuführen:
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
notepad.exe
Debugger = %System32%\cmd.exe
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
msconfig.exe
Debugger = %System32%\cmd.exe
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
mmc.exe
Debugger = %System32\cmd.exe
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
rstrui.exe
Debugger = %System32%\cmd.exe
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
ntvdm.exe
Debugger = %System32%\cmd.exe
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
regedit.exe
Debugger = %System32%\cmd.exe
Andere Systemänderungen
Ändert die folgenden Registrierungsschlüssel:
HKCU\Software\Policies\
Microsoft\Windows\System
DisableCMD = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisallowRun = 1
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisallowRun = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
1 = notepad.exe
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
2 = taskmgr.exe
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
3 = install.exe
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
4 = rstrui.exe
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
5 = mmc.exe
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
6 = ntvdm.exe
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
7 = regedit.exe
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
8 = msconfig.exe
HKLM\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1
HKLM\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1
HKLM\SOFTWARE\Policies\
Microsoft\Windows\Installer
LimitSystemRestoreCheckpointing = 1
HKLM\SOFTWARE\Policies\
Microsoft\Windows\Installer
DisableMSI = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0
(Note: The default value data of the said registry entry is 1.)
HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0
(Note: The default value data of the said registry entry is 1.)
HKU\.DEFAULT\Control Panel\
Desktop
AutoEndTasks = 1
HKCU\Control Panel\Desktop
AutoEndTasks = 1
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AeDebug
Debugger = "%System32%\JawsOfLife.exe"
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOrganization = VM : bagus_badboy
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOwner = w32.nEwb0Rn.A
HKCU\Software\Microsoft\
Internet Explorer\Main
Window Title = w32.nEwb0Rn.A
Ändert die folgenden Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren:
HKLM\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1
HKLM\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1
HKLM\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1
HKLM\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1
HKLM\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1
Erstellt den oder die folgenden Registrierungseinträge, um Task-Manager, Registrierungs-Tools und Ordneroptionen zu deaktivieren:
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFileAssociate = 1
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFileAssociate = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoViewContextMenu = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoTrayContextMenu = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoTrayItemsDisplay = 1
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFind = 1
HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %System32%\JawsOfLife.exe
- %System32%\DamageControl.scr
- %User Startup%\Empty.pif
- %AppDataLocal%\WINDOWS\CSRSS.EXE
- %AppDataLocal%\WINDOWS\LSASS.EXE
- %AppDataLocal%\WINDOWS\SMSS.EXE
- %System Root%\about.htm
- %Windows%\msvbm60.dll
- %Drive Letter%\nEwb0Rn\Folder.htt
- %Drive Letter%\nEwb0Rn\New Folder.exe
- %Drive Letter%\desktop.ini
- %Drive Letter%\Download {Machine name}
- %Drive Letter%\MP3[NEW-RELEASE].exe
- %Drive Letter%\Wallpaper.exe
- %Drive Letter%\Friendster Blog.exe
- %Drive Letter%\StyleXP-WindowsVistapack.exe
- %Drive Letter%\Mini Games.exe
- %System Root%\nEwb0Rn.exe
(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Lösungen
Step 2
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 4
Dateien erkennen und deaktivieren, die als Worm.Win32.BRONTOK.D entdeckt wurden
- Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier. herunterladen.
- Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
- Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.
Step 5
Diesen Prozess beenden
- Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier. herunterladen.
- Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
- Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.
- nEwb0Rn.exe
- WishfulThinking.exe
- WINLOGON.EXE
- SERVICES.EXE
Step 6
Restore this modified registry value
Important: Editing the Windows Registry incorrectly can lead to irreversible system malfunction. Please do this only if you know how to or you can seek your system administrator’s help. You may also check out this Microsoft article first before modifying your computer's registry.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
To: (Default) = "%1" %*
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
To: (Default) = "%1" %*
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" (Default)%*
To: (Default) = "%1" %*
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" (Default)%*
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
To: (Default) = "%1" %*
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
To: (Default) = "%1" %*
- From: (Default) = "%System32%\JawsOfLife.exe" "%1" %*
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- From: AlternateShell = C:\Windows\nEwb0Rn.exe
To: AlternateShell = cmd.exe
- From: AlternateShell = C:\Windows\nEwb0Rn.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Shell = Explorer.exe "C:\Windows\system32\WishfulThinking.exe"
To: Shell = Explorer.exe
- From: Shell = Explorer.exe "C:\Windows\system32\WishfulThinking.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Userinit = C:\Windows\system32\userinit.exe,C:\Windows\system32\WishfulThinking.exe
To: Userinit = C:\Windows\system32\userinit.exe
- From: Userinit = C:\Windows\system32\userinit.exe,C:\Windows\system32\WishfulThinking.exe
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
- From: WaitToKillServiceTimeout = 1
To: WaitToKillServiceTimeout = 12000
- From: WaitToKillServiceTimeout = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control
- From: WaitToKillServiceTimeout = 1
To: WaitToKillServiceTimeout = 12000
- From: WaitToKillServiceTimeout = 1
- In HKEY_USERS\.DEFAULT\Control Panel\Desktop
- From: WaitToKillServiceTimeout = 1
To: WaitToKillServiceTimeout = 12000
- From: WaitToKillServiceTimeout = 1
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: WaitToKillServiceTimeout = 1
To: WaitToKillServiceTimeout = 12000
- From: WaitToKillServiceTimeout = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: HideFileExt = 1
To: HideFileExt = 0
- From: HideFileExt = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: Hidden = 0
To: Hidden = 1
- From: Hidden = 0
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: ShowSuperHidden = 0
To: ShowSuperHidden = 1
- From: ShowSuperHidden = 0
Step 7
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- nEwb0Rn = C:\Windows\nEwb0Rn.exe
- nEwb0Rn = C:\Windows\nEwb0Rn.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- n3wb012ndyituser_732 = C:\Users\dyituser_732\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
- n3wb012ndyituser_732 = C:\Users\dyituser_732\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- n210bw3n = data: C:\Users\dyituser_732\Local Settings\Application Data\WINDOWS\SERVICES.EXE
- n210bw3n = data: C:\Users\dyituser_732\Local Settings\Application Data\WINDOWS\SERVICES.EXE
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
- Debugger = "C:\Windows\system32\JawsOfLife.exe"
- Debugger = "C:\Windows\system32\JawsOfLife.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
- Auto = 1
- Auto = 1
- In HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- DisableCMD = 1
- DisableCMD = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = VM : bagus_badboy
- RegisteredOrganization = VM : bagus_badboy
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOwner = w32.nEwb0Rn.A
- RegisteredOwner = w32.nEwb0Rn.A
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Window Title = w32.nEwb0Rn.A
- Window Title = w32.nEwb0Rn.A
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFileAssociate = 1
- NoFileAssociate = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFileAssociate = 1
- NoFileAssociate = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- DisallowRun = 1
- DisallowRun = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
- DisallowRun = 1
- DisallowRun = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 1 = notepad.exe
- 1 = notepad.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 2 = taskmgr.exe
- 2 = taskmgr.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 3 = install.exe
- 3 = install.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 4 = rstrui.exe
- 4 = rstrui.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 5 = mmc.exe
- 5 = mmc.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 6 = ntvdm.exe
- 6 = ntvdm.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 7 = regedit.exe
- 7 = regedit.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 8 = msconfig.exe
- 8 = msconfig.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe
- Debugger = C:\Windows\system32\cmd.exe
- Debugger = C:\Windows\system32\cmd.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
- Debugger = C:\Windows\system32\cmd.exe
- Debugger = C:\Windows\system32\cmd.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
- Debugger = C:\Windows\system32\cmd.exe
- Debugger = C:\Windows\system32\cmd.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
- Debugger = C:\Windows\system32\cmd.exe
- Debugger = C:\Windows\system32\cmd.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe
- Debugger = C:\Windows\system32\cmd.exe
- Debugger = C:\Windows\system32\cmd.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
- Debugger = C:\Windows\system32\cmd.exe
- Debugger = C:\Windows\system32\cmd.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = 1
- DisableRegistryTools = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = 1
- DisableRegistryTools = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegedit = 1
- DisableRegedit = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegedit = 1
- DisableRegedit = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- DisableConfig = 1
- DisableConfig = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- DisableSR = 1
- DisableSR = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
- LimitSystemRestoreCheckpointing = 1
- LimitSystemRestoreCheckpointing = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
- DisableMSI = 1
- DisableMSI = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = 1
- AntiVirusDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusOverride = 1
- AntiVirusOverride = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallOverride = 1
- FirewallOverride = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallDisableNotify = 1
- FirewallDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UpdatesDisableNotify = 1
- UpdatesDisableNotify = 1
- In HKEY_CURRENT_USER\Control Panel\Desktop
- AutoEndTasks = 1
- AutoEndTasks = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoViewContextMenu = 1
- NoViewContextMenu = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoTrayContextMenu = 1
- NoTrayContextMenu = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoTrayItemsDisplay = 1
- NoTrayItemsDisplay = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFind = 1
- NoFind = 1
DATA_GENERIC_ENTRY
Step 8
Diese Dateien suchen und löschen
- %AppDataLocal%\winlogon.exe
- %Windows%\nEwb0Rn.exe
- %System Root%\nEwb0Rn.exe
- %System32%\JawsOfLife.exe
- %System32%\\DamageControl.scr
- %System32%\WishfulThinking.exe
- %User Startup%\Empty.pif
- %AppDataLocal%\WINDOWS\WINLOGON.EXE
- %AppDataLocal%\WINDOWS\CSRSS.EXE
- %AppDataLocal%\WINDOWS\SERVICE.EXE
- %AppDataLocal%\WINDOWS\LSASS.EXE
- %AppDataLocal%\WINDOWS\SMSS.EXE
- %System Root%\about.htm
- %Windows%\msvbm60.dll
- %Drive Letter%\nEwb0Rn\Folder.htt -
- %Drive Letter%\desktop.ini -
- %Drive Letter%\nEwb0Rn\New Folder.exe *
- %Drive Letter%\Download {Machine name} *
- %Drive Letter%\MP3[NEW-RELEASE].exe *
- %Drive Letter%\Wallpaper.exe *
- %Drive Letter%\Friendster Blog.exe *
- %Drive Letter%\StyleXP-WindowsVistaPack.exe *
- %Drive Letter%\Mini Games.exe *
- %AppDataLocal%\winlogon.exe
- %Windows%\nEwb0Rn.exe
- %System Root%\nEwb0Rn.exe
- %System32%\JawsOfLife.exe
- %System32%\\DamageControl.scr
- %System32%\WishfulThinking.exe
- %User Startup%\Empty.pif
- %AppDataLocal%\WINDOWS\WINLOGON.EXE
- %AppDataLocal%\WINDOWS\CSRSS.EXE
- %AppDataLocal%\WINDOWS\SERVICE.EXE
- %AppDataLocal%\WINDOWS\LSASS.EXE
- %AppDataLocal%\WINDOWS\SMSS.EXE
- %System Root%\about.htm
- %Windows%\msvbm60.dll
- %Drive Letter%\nEwb0Rn\Folder.htt -
- %Drive Letter%\desktop.ini -
- %Drive Letter%\nEwb0Rn\New Folder.exe *
- %Drive Letter%\Download {Machine name} *
- %Drive Letter%\MP3[NEW-RELEASE].exe *
- %Drive Letter%\Wallpaper.exe *
- %Drive Letter%\Friendster Blog.exe *
- %Drive Letter%\StyleXP-WindowsVistaPack.exe *
- %Drive Letter%\Mini Games.exe *
Step 9
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und säubern Sie Dateien, die als Worm.Win32.BRONTOK.D entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Sie können die in Quarantäne verschobenen Dateien einfach löschen. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil