Wurm: "W32.HLLW.Studd"

  • ...die Kazaa nicht lassen können...Schlechte Nachrichten für Per-to-Per User, wie z. B. Kazaa! Nachdem der geneigte P2P-User sich schon mit Benjamin, Backdoor.K0wbot.1.3.B und Co. herumschlagen musste, haben die lieben Netzwerkfreunde nun noch einen weiteren Spielgefährten der besonderen Art. So neu ist er nun mal nicht und hat in der Runde der Partner von PC-Special jemandem den gesamten Festplatteninhalt gekostet. Gerade in den letzten Tagen gab es auf PC-Special dazu einige Anfragen. Nennen wir unseren Spielgefährten W32.HLLW.Studd Das Dumme an der Geschichte ist, dass es noch kein Tool gibt, das die Spätfolgen des Kollegen Studd beseitigt. Herkömmliche Antivirentools, z. B. Symantec, killen zwar den eigentlichen Wurm/Virus, sind aber nicht in der Lage, das System zu säubern! Daher an dieser Stelle mal eine, hoffentlich Laien verständliche, Anleitung von mir: In letzter Zeit tritt, ausschließlich bei p2p-Nutzern (z. B. Kaaza), oben genannter Schädling in Aktion. Das Dumme an der Sache ist, dass dieser Fiesling zwar von Antivirentools erkannt wird, aber es noch kein Tool zur Rückstands freien Beseitigung gibt. Symantec z. B. löscht zwar den eigentlichen Virus/Wurm,lässt aber die sich neu generierten Verweise auf dem PC. Derzeit gibt es also nur die Möglichkeit der "händischen" Reinigung. Ich werde mal versuchen, eine verständliche Anleitung zu geben. Nachdem der eigentliche Schädling durch ein Antivirentool entfernt wurde, nervt uns Windows mit mehreren Fehlermeldungen und einem gestörten Startverhalten. Begründet ist dies damit, dass in wichtigen Systemteilen (Registry, win.ini, system, system32) Verweise auf eine "Dust.exe" angelegt sind und Windows dieses (vom Virentool entfernte) Programm aufrufen will. Um überhaupt wirkungsvoll etwas zu erreichen, müssen wir die Systemwiederherstellung abschalten. Ansonsten schreibt sich alles in den Ordner "Restore" und wir fangen beim nächsten Systemstart wieder von vorn an. Unabhängig vom Virenscanner lassen wir per Suche (Windows-Explorer -> suchen -> Dust.exe -> erweitert -> alle unsichtbaren und Systemdateien mit durchsuchen) noch mal das System checken. Bitte als Ausgangspunkt im Verzeichnis den "Arbeitsplatz" wählen! Wenn wir fündig werden, rechts den Eintrag jeweils löschen. So, weiter geht's. Auch die Registry müssen wir uns vorknöpfen. Unter "Ausführen" geben wir den Befehl "regedit" ein, auch dort lassen wir "Dust.exe " suchen. Wichtig ist, immer oben im Verzeichnis zu beginnen. Nachdem wir ihn auch dort gekillt haben, kommt das Kernstück: Die System.ini (Start -> Ausführen -> msconfig). Dort suchen wir den Abschnitt [boot]. Wenn dort: Shell=Explorer.exe dust.exe steht, haben wir schon einiges geschafft. Wir ändern den Eintrag in Shell=Explorer.exe. Als nächstes verfahren wir so auch mit der win.ini und boot.ini. Abschließend suchen wir die explorer.exe im System und ersetzen diese mit der Originaldatei von unserer Windows-CD (Egal ob 98, ME, 2000 oder XP. Nun dürften wir es geschafft haben.

    [img]http://www.pits-security.de/winbooster.gif[/img] winbooster alias Peter Braeuniger -Security-VIP im Team der PC-Special.net kostenlose Computer-Hilfe in 24h - Webmastertools, Scripts und mehr [url]http://www.pc-special.net[/url] - [email]winbooster@pc-special.net[/email]