Troj/SdBot-EG

Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.

Überprüfen Sie Ihre Administratorkennwörter sowie die Sicherheit in Ihrem Netzwerk. Sie müssen die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup. Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Netview = C:\<Windows system>\GESFM32.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Netview = C:\<Windows system>\GESFM32.EXE Löschen Sie diese Einträge, sofern sie existieren. Schließen Sie den Registrierungseditor.

Troj/SdBot-EG ist ein Backdoor-Trojaner, der als Dienstprozess im Hintergrund läuft und unbefugten Fernzugriff auf den Computer via IRC-Kanälen ermöglicht. Der Trojaner kopiert sich als GESFM32.EXE in den Windows-Systemordner und fügt die folgenden Einträge zur Registrierung hinzu, so dass er beim Systemneustart aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Netview = C:\<Windows system>\GESFM32.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Netview = C:\<Windows system>\GESFM32.EXE Troj/SdBot-EG versucht, sich mit einem vordefinierten IRC-Kanal zu verbinden und wartet auf Anweisungen von einem remoten Eindringling. Wenn der Trojaner einen entsprechenden Befehl empfängt, versucht er, sich in folgende Speicherorte auf remoten Netzwerkfreigaben mit einfachen Kennwörtern zu kopieren: Admin$\system32\MSMONK32.EXE
C$\winnt\system32\MSMONK32.EXE