Plattform:

Windows 2000, XP, Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick



Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Wird möglicherweise von anderer Malware eingeschleust.
Fügt Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
Verbindet sich mit IRC-Servern (Internet Relay Chat).
Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.
Verwendet einen Sniffer, um Kennwörter aus Netzwerkpaketen zu erhalten. Dadurch kann diese Malware Kennwörter für Computer erhalten, die mit dem System verbunden sind.
Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.
Entwendet CD-Schlüssel, Seriennummern und/oder die Produktkennung bestimmter Software. Cyber-Kriminelle können aus diesen Daten Profit schlagen.
Löscht sich nach der Ausführung selbst.
Umgeht die Windows Firewall. Dadurch kann diese Malware ihre geplante Routine ausführen, ohne von einer installierten Firewall entdeckt zu werden.
Nutzt Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten.

  Technische Details

Erste Muster erhalten am: 01 Januar 0001



Übertragungsdetails


Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.


Wird möglicherweise von anderer Malware eingeschleust.



Autostart-Technik


Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update='host.exe'



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Update='host.exe'



HKEY_CURRENT_USER\Software\Microsoft\OLE
Windows Update='host.exe'



Backdoor-Routine


Verbindet sich mit einem oder mehreren der folgenden IRC-Server:

  • blah.swapixtreme.com:7878


Wählt sich in einen oder mehrere der folgenden IRC-Kanäle ein:

  • #b



Dateiinfektion


Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.



Datendiebstahl


Startet einen Carnivore-Sniffer, um mit Hilfe bestimmter Zeichenfolgen Kennwörter aus Netzwerkpaketen zu erhalten.


Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.


Entwendet CD-Schlüssel, Seriennummern und/oder die Produktkennung bestimmter Software.



Installation


Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\host.exe



Andere Details


Weitere Informationen über diese Schwachstelle finden Sie weiter unten:

  • http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx

  • http://www.microsoft.com/technet/security/bulletin/ms03-026.mspx

  • http://www.microsoft.com/technet/security/bulletin/ms03-049.mspx

  • http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

  • http://www.securityfocus.com/bid/1055/solution


Löscht sich nach der Ausführung selbst.



Andere Systemänderungen


Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MaxConnectionsPer1_0Server=80



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MaxConnectionsPerServer=80



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableRemoteConnect='N'



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server
Enabled=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TCP1320Opts=3



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
KeepAliveTime=144000



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
BcastQueryTimeout=750



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
BcastNameQueryCount=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
CacheTimeout=60000



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Size/Small/Medium/Large=3



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
LargeBufferSize=4096



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAckProtect=2



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
PerformRouterDiscovery=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnablePMTUBHDetect=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
FastSendDatagramThreshold=1024



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
StandardAddressLength=24



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultReceiveWindow=16384



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultSendWindow=16384



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
BufferMultiplier=512



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
PriorityBoost=2



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IrpStackSize=4



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IgnorePushBitOnReceives=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DisableAddressSharing=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
AllowUserRawAccess=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DisableRawSecurity=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DynamicBacklogGrowthDelta=50



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
FastCopyReceiveThreshold=1024



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
LargeBufferListDepth=10



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
MaxActiveTransmitFileCount=2



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
MaxFastTransmit=64



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
OverheadChargeGranularity=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SmallBufferListDepth=32



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SmallerBufferSize=128



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TransmitWorker=32



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DNSQueryTimeouts={random hex values}



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultRegistrationTTL=20



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DisableReplaceAddressesInConflicts=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DisableReverseAddressRegistrations=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
UpdateSecurityLevel=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
QueryIpMatching=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
NoNameReleaseOnDemand=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableDeadGWDetect=0



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableFastRouteLookup=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
MaxFreeTcbs=2000



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
MaxHashTableSize=2048



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SackOpts=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Tcp1323Opts=3



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpMaxDupAcks=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpRecvSegmentSize=1413



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpSendSegmentSize=1413



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL=48



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpMaxHalfOpen=75



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpMaxHalfOpenRetried=80



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
MaxNormLookupMemory=200000



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
FFPControlFlags=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
FFPFastForwardingCacheSize=200000



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
MaxForwardBufferMemory=105975



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
MaxFreeTWTcbs=2000



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
GlobalMaxTcpWindowSize=512512



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnablePMTUDiscovery=1



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
ForwardBufferMemory=105975


Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\wscsvc
Start=4

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start=4

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist 3.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Start=4

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist 2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM='N'

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist 'Y'.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous=1

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist 0.)


Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%System%\host.exe='%system\host.exe:*:Enabled:host%'



Verbreitung


Nutzt die folgenden Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten:

  • Buffer Overrun In RPCSS Service Could Allow Code Execution (MS03-039)

  • Buffer Overrun In RPC Interface Could Allow Code Execution (MS03-026)

  • Buffer Overrun in the Workstation Service Could Allow Code Execution (MS03-049)

  • MS04-011

  • SQL Weak Password Exploit (CVE-2000-0199)

  Lösungen

Mindestversion der Scan Engine: 8.900


Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2
Diesen Prozess beenden
[ learnMore ]

  1. Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier.
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.


Step 3
Diesen Registrierungswert löschen Mit diesem Schritt können Sie den Registrierungswert löschen, den die Malware erstellt hat.

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Windows Update=host.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    • Windows Update=host.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\OLE
    • Windows Update=host.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • MaxConnectionsPer1_0Server=80
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • MaxConnectionsPerServer=80
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
    • EnableRemoteConnect=N
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server
    • Enabled=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
    • AutoShareWks=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
    • AutoShareServer=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • TCP1320Opts=3
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • KeepAliveTime=144000
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • BcastQueryTimeout=750
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • BcastNameQueryCount=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • CacheTimeout=60000
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • Size/Small/Medium/Large=3
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • LargeBufferSize=4096
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • SynAckProtect=2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • PerformRouterDiscovery=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • EnablePMTUBHDetect=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • FastSendDatagramThreshold=1024
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • StandardAddressLength=24
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DefaultReceiveWindow=16384
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DefaultSendWindow=16384
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • BufferMultiplier=512
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • PriorityBoost=2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • IrpStackSize=4
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • IgnorePushBitOnReceives=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DisableAddressSharing=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • AllowUserRawAccess=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DisableRawSecurity=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DynamicBacklogGrowthDelta=50
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • FastCopyReceiveThreshold=1024
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • LargeBufferListDepth=10
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • MaxActiveTransmitFileCount=2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • MaxFastTransmit=64
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • OverheadChargeGranularity=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • SmallBufferListDepth=32
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • SmallerBufferSize=128
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • TransmitWorker=32
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DNSQueryTimeouts={random hex values}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DefaultRegistrationTTL=20
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DisableReplaceAddressesInConflicts=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DisableReverseAddressRegistrations=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • UpdateSecurityLevel=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • QueryIpMatching=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • NoNameReleaseOnDemand=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • EnableDeadGWDetect=0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • EnableFastRouteLookup=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • MaxFreeTcbs=2000
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • MaxHashTableSize=2048
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • SackOpts=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • Tcp1323Opts=3
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • TcpMaxDupAcks=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • TcpRecvSegmentSize=1413
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • TcpSendSegmentSize=1413
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • DefaultTTL=48
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • TcpMaxHalfOpen=75
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • TcpMaxHalfOpenRetried=80
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • MaxNormLookupMemory=200000
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • FFPControlFlags=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • FFPFastForwardingCacheSize=200000
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • MaxForwardBufferMemory=105975
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • MaxFreeTWTcbs=2000
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • GlobalMaxTcpWindowSize=512512
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • EnablePMTUDiscovery=1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • ForwardBufferMemory=105975

Den Registrierungsschlüssel löschen, den diese Malware erstellt hat:

  1. Öffnen Sie den Registrierungs-Editor. Klicken Sie dazu auf Start>Ausführen, geben Sie regedit in das Textfeld ein, und drücken Sie die Eingabetaste.
  2. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
  3. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    Windows Update=host.exe
  4. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunServices
  5. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    Windows Update=host.exe
  6. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_CURRENT_USER>Software>Microsoft>OLE
  7. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    Windows Update=host.exe
  8. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings
  9. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxConnectionsPer1_0Server=80
  10. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings
  11. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxConnectionsPerServer=80
  12. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole
  13. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    EnableRemoteConnect=N
  14. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>SecurityProviders>SCHANNEL>Protocols>PCT1.0>Server
  15. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    Enabled=0
  16. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>lanmanserver>parameters
  17. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    AutoShareWks=0
  18. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>lanmanserver>parameters
  19. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    AutoShareServer=0
  20. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  21. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    TCP1320Opts=3
  22. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  23. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    KeepAliveTime=144000
  24. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  25. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    BcastQueryTimeout=750
  26. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  27. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    BcastNameQueryCount=1
  28. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  29. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    CacheTimeout=60000
  30. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  31. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    Size/Small/Medium/Large=3
  32. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  33. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    LargeBufferSize=4096
  34. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  35. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    SynAckProtect=2
  36. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  37. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    PerformRouterDiscovery=0
  38. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  39. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    EnablePMTUBHDetect=0
  40. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  41. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    FastSendDatagramThreshold=1024
  42. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  43. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    StandardAddressLength=24
  44. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  45. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DefaultReceiveWindow=16384
  46. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  47. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DefaultSendWindow=16384
  48. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  49. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    BufferMultiplier=512
  50. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  51. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    PriorityBoost=2
  52. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  53. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    IrpStackSize=4
  54. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  55. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    IgnorePushBitOnReceives=0
  56. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  57. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DisableAddressSharing=0
  58. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  59. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    AllowUserRawAccess=0
  60. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  61. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DisableRawSecurity=0
  62. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  63. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DynamicBacklogGrowthDelta=50
  64. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  65. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    FastCopyReceiveThreshold=1024
  66. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  67. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    LargeBufferListDepth=10
  68. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  69. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxActiveTransmitFileCount=2
  70. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  71. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxFastTransmit=64
  72. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  73. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    OverheadChargeGranularity=1
  74. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  75. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    SmallBufferListDepth=32
  76. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  77. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    SmallerBufferSize=128
  78. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  79. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    TransmitWorker=32
  80. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  81. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DNSQueryTimeouts={random hex values}
  82. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  83. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DefaultRegistrationTTL=20
  84. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  85. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DisableReplaceAddressesInConflicts=0
  86. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  87. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DisableReverseAddressRegistrations=1
  88. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  89. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    UpdateSecurityLevel=0
  90. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  91. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    QueryIpMatching=0
  92. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  93. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    NoNameReleaseOnDemand=1
  94. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  95. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    EnableDeadGWDetect=0
  96. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  97. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    EnableFastRouteLookup=1
  98. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  99. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxFreeTcbs=2000
  100. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  101. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxHashTableSize=2048
  102. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  103. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    SackOpts=1
  104. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  105. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    Tcp1323Opts=3
  106. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  107. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    TcpMaxDupAcks=1
  108. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  109. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    TcpRecvSegmentSize=1413
  110. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  111. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    TcpSendSegmentSize=1413
  112. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  113. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DefaultTTL=48
  114. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  115. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    TcpMaxHalfOpen=75
  116. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  117. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    TcpMaxHalfOpenRetried=80
  118. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  119. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxNormLookupMemory=200000
  120. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  121. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    FFPControlFlags=1
  122. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  123. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    FFPFastForwardingCacheSize=200000
  124. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  125. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxForwardBufferMemory=105975
  126. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  127. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    MaxFreeTWTcbs=2000
  128. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  129. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    GlobalMaxTcpWindowSize=512512
  130. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  131. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    EnablePMTUDiscovery=1
  132. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Tcpip>Parameters
  133. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    ForwardBufferMemory=105975
  134. Schließen Sie den Registrierungs-Editor.

Step 4
Diesen geänderten Registrierungswert wiederherstellen Mit diesem Schritt können Sie eine Änderung rückgängig machen, die die Malware/Grayware/Spyware an einem Registrierungswert vorgenommen hat.

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\wscsvc
    • From: Start=4
      To: Start=2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    • From: Start=4
      To: Start=3
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
    • From: Start=4
      To: Start=2
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
    • From: EnableDCOM=N
      To: EnableDCOM=Y
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    • From: restrictanonymous=1
      To: restrictanonymous=0

Den Registrierungswert wiederherstellen, den diese Malware/Grayware/Spyware geändert hat:

  1. Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
  2. Doppelklicken Sie im linken Fensterbereich auf:
    HKEY_LOCAL_MACHINE>SYSTEM>ControlSet>Services>wscsvc
  3. Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
    Start=4
  4. Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
    Start=2
  5. Doppelklicken Sie im linken Fensterbereich auf:
    HKEY_LOCAL_MACHINE>SYSTEM>ControlSet>Services>wscsvc
  6. Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
  7. Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
    Start=4Start=3
  8. Doppelklicken Sie im linken Fensterbereich auf:
    HKEY_LOCAL_MACHINE>SYSTEM>ControlSet>Services>wscsvc
  9. Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>wuauserv
  10. Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>OleEnableDCOM=NEnableDCOM=Y
  11. Doppelklicken Sie im linken Fensterbereich auf:
    HKEY_LOCAL_MACHINE>SYSTEM>ControlSet>Services>wscsvc
  12. Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Lsa
  13. Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
    restrictanonymous=1restrictanonymous=0
  14. Schließen Sie den Registrierungs-Editor.

Step 5
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als WORM_SDBOT.CEM entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 6
Diese Sicherheits-Patches herunterladen und übernehmen Verwenden Sie diese Produkte erst, wenn die entsprechenden Patches installiert wurden. Trend Micro empfiehlt Benutzern, wichtige Patches nach der Veröffentlichung sofort herunterzuladen. http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-026.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-049.mspx
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
http://www.securityfocus.com/bid/1055/solution

Nehmen Sie an unserer Umfrage teil