hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Betroffene Betriebssysteme | Windows |
|---|---|
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von infizierten EXE-Dateien.
Bitte folgen Sie den Hinweise zur Desinfektion von PE-Viren.
Bearbeiten der Registrierung
Unter Windows NT/2000/XP müssen Sie folgenden Registrierungseintrag bearbeiten. Unter Windows 95/98/Me ist das Entfernen dieses Schlüssels optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\<Name der infizierten Datei>
Löschen Sie ihn, sofern er existiert.
Schließen Sie den Registrierungseditor.
Bearbeiten der Win.ini
Klicken Sie in der Taskleiste auf Start|Ausführen und geben Sie "Sysedit" ein. Bringen Sie Win.ini in den Vordergrund. Suchen Sie im Abschnitt [windows] nach einer Zeile, die mit "Run=" beginnt. Löschen Sie alle Verweise auf die von Ihnen gelöschten Dateien. Löschen Sie nur die Verweise, keinen anderen Text.
Starten Sie Ihren Computer neu.
Weitere Informationen
Bitte beachten: Einige Anwender verwechseln diesen Virus mit den Hoaxes SULFNBK und JDBGMGR hoaxes.
W32/Magistr-A ist ein polymorpher Windows32-Exe-Dateivirus, der sich über Dateiinfektionen und über E-Mail verbreitet. Magistr enthält einen äußerst zerstörerischen Code, der - wenn ausgelöst - alle Dateien auf lokalen Netzlaufweren löscht, die CMOS-Einstellungen verändert und den BIOS-Chip auf dem Computer zerstört.
Der Virus durchsucht das Adressbuch des Anwenders, Mailboxen und andere Dateien auf dem Computer nach E-Mail-Adressen. Der Virus sucht speziell nach Adressen von Outlook Express, Netscape Navigator und Internet Mail and News.Er sendet sich dann an diese E-Mail-Adressen mit Hilfe seines eigenen SMTP- Clients.
Der E-Mail-Text, den er sendet, hat einen zufällig erstellten Betreff, Text und Dateinamen des Attachments.
Unter anderen verwendet der Virus folgende Dateinamen:
CFGWIZ32.EXE
CHLINST.EXE
DPLAYSVR.EXE
MAKETAG.EXE
MKCOMPAT.EXE
MLSET32.EXE
MSOOBD.EXE
MSOOBE.EXE
OEMRNCE.EXE
SETMODD.EXE
SUCATREG.EXE
SULFNBK.EXE
UNREGASF.EXE
Bitte beachten Sie, dass diese Dateien oft auf nicht infizierten Systemen gefunden werden, so dass, wenn Sie diese Dateien auf Ihrem Rechner entdecken, dies nicht zwangsläufig eine Infektion mit diesem Virus bedeutet.
W32/Magistr-A versucht, Dateien in freigegebenen Netzwerkressourcen zu infizieren. Dazu gehören auch Dateien in verknüpften Laufwerken und in den genannten Freigaben.
Bei dem Versuch aktiv zu bleiben, wenn Windows neugestartet wird, fügt der Virus den Namen der infizierten Datei in die "run="-Zeile der WIN.INI und in folgenden Registry-Key ein:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\<infected filename>.
Der Virus enthält den folgenden Text:
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by The Judges Disemboweler written in Malmo (Sweden)
Der Virus enthält zahlreiche Wörter und Sätze, u. a. folgende:
sentences you
sentences him to
sentence you to
ordered to prison
convict
judge
circuit judge
trial judge
found guilty
find him guilty
affirmed
judgment of conviction
verdict
guilty plea
trial court
trial chamber
sufficiency of proof
sufficiency of the evidence
proceedings
against the accused
habeas corpus
jugement
Er enthält ähnliche Sätze in den Sprachen Französisch und Spanisch.
|
