hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Schutz erhältlich seit | 28 September 2003 09:47:16 (GMT) |
|---|---|
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.
Windows 95/98/Me und Windows NT/2000/XP
Um den Trojaner und die Anwendung zu entfernen, die er installiert, führen Sie folgende Schritte aus:
Sie müssen den Prozess winsrv32.exe stoppen, bevor Sie die Datei löschen können. Wenn die Anwendung aktiv ist, ist diese Datei gesperrt. Stoppen Sie die Anwendung in diesem Fall über den Windows Task-Manager.
Windows 95/98/Me
- Drücken Sie Strg+Alt+Entf.
- Suchen Sie nach einem Prozess namens winsrv32 in der Liste.
- Klicken Sie auf diesen Prozess, um ihn zu markieren.
- Klicken Sie auf die Schaltfläche "Task beenden".
- Suchen Sie nach weiteren Instanzen von winsrv32 und beenden Sie diese ebenfalls.
Windows NT/2000/XP
- Drücken Sie Strg+Alt+Entf.
- Klicken Sie auf die Schaltfläche "Task-Manager".
- Wählen Sie die Registerkarte "Prozesse".
- Suchen Sie einem Prozess mit dem Namen winsrv32.exe in der Liste.
- Klicken Sie auf den Prozess, um ihn zu markieren.
- Klicken Sie auf die Schaltfläche "Prozess beenden".
- Suchen Sie nach weiteren Instanzen von winsrv32.exe und beenden Sie diese ebenfalls.
Entfernen Sie dann mit Sophos Anti-Virus die Trojaner-Dateien. Lesen Sie die Hinweise zum Entfernen von Trojaner.
Suchen Sie nach den folgenden Dateien und löschen Sie diese, sofern sie vorhanden sind:
C:\DRG.EXE
C:\Program Files\win32.dll
C:\Program Files\winsrv32.exe
Um Ihre Startseite im Internet Explorer zu ändern, wählen Sie Extras|Internetoptionen. Ändern Sie im Bereich "Startseite" die Startseite.
Sie sollten außerdem die Systemwiederherstellung löschen auf den Betriebssystemen Windows Me und Windows XP.
Sie sollten das Microsoft-Patch installieren, indem Sie den Link oben folgen oder die Website Windows update besuchen.
Sonstige Plattformen
Auf anderen Plattformen sollten Sie den Hinweisen zum Entfernen von Trojanern folgen.
Weitere Informationen
Troj/JSurf-A wird in einer HTML-E-Mail versendet, wobei er eine Schwachstelle ausnutzt, die mit dem Cumulative Patch für den Internet Explorer (MS03-032) geschlossen wird.
Die E-Mail enthält ein Object Data Tag, das ein VBS-Skript remote startet. Das Skript legt eine EXE-Datei im Laufwerk C:\ als DRG.EXE ab. Diese Komponente von Troj/JSurf-A verbindet sich mit einer Remote-Website, lädt eine DLL nach C:\Program Files\win32.dll herunter und startet dann regsvr32.exe, um sie im System zu registrieren.
Der Trojaner verlässt sich auf eine Schwachstelle in Software von Microsoft. Microsoft hat im August 2003 ein Patch zur Verfügung gestellt, das dieses Problem lösen soll. Das Patch steht unter www.microsoft.com/technet/security/bulletin/MS03-032.asp zur Verfügung.
|
