W32/Spybot-BX

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Ändern Sie alle Daten, die möglicherweis gestohlen wurden. Umbenennen des Registrierungseditors

• Gehen Sie im Windows Explorer auf den Windows-Ordner (normalerweise C:\Windows oder C:\Winnt), klicken Sie mit der rechten Maustaste auf Regedit.exe und erstellen Sie eine Kopie der Datei.
• Benennen Sie die Kopie von Regedit.exe um in Regedit.com.
• Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Windows NT/2000/XP/2003 Unter Windows NT/2000/XP/2003 müssen Sie außerdem die folgenden Registrierungseinträge bearbeiten. Die Entfernung dieser Einträge ist unter Windows 95/98/Me optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Winsock2 driver = WINUPDATE.EXE Löschen Sie diesen Eintrag, sofern er existiert. Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag: HKU\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\RunOnce\Winsock2 driver = WINUPDATE.EXE Löschen Sie diesen Eintrag, sofern er existiert. Schließen Sie den Registrierungseditor und starten Sie Ihren Computer neu.

W32/Spybot-BX ist ein Peer-to-Peer (P2P)-Wurm mit Backdoortrojaner-Funktionen. W32/Spybot-BX versucht, sich nach WINUPDATE.EXE im Windows-Systemordner zu verschieben und erstellt Einträge in der Registrierung an folgenden Stellen, so dass er beim Systemneustart aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Winsock2 driver = WINUPDATE.EXE HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Winsock2 driver = WINUPDATE.EXE W32/Spybot-BX kopiert sich mit folgenden Dateinamen in einen Ordner namens KAZAABACKUPFILES innerhalb des Windows-Systemordners: 5 sluts rape willing male.exe
AquaNox2 Crack.exe
AVP_Crack.exe
Battlefield1942_bloodpatch.exe
CableModem-Uncapper(Surfboard all versions).exe
counterstrike(Wallhack).exe
divx-encoder.exe
FIFA2003 crack.exe
Janet-Superbowl-tittys.exe
MS-Office-XP-Keygen.exe
NBA2003_crack.exe
Osama Video.exe
PingPong.exe
RegionFree-DVD-Fix.exe
Unreal2_bloodpatch.exe
UT2003_bloodpatch.exe
UT-2003-noserial.exe
Virtual-3d-sex.exe
WinXP-Keygen(WorkswithSP1a).exe
zoneallarm_pro_crack.exe W32/Spybot-BX erstellt dann den folgenden Registrierungseintrag, um die Freigabe dieser Dateien mit KaZaA zu aktivieren: HKCU\Software\Kazaa\LocalContent\
Dir0 = 012345:C:\\kazaabackupfiles\ W32/Spybot-BX versucht außerdem, sich in den Autostart-Ordner von verbundenen Netzlaufwerken zu kopieren. Er kann benutzt werden, um Tastenfolgen auf dem betroffenen Computer zu speichern, d. h. er fungiert effektiv als sogenannter "Keylogger". Dieser Wurm kann ebenfalls zum Starten von SYNFlood-Attacken verwendet werden. W32/Spybot-BX bleibt resident, wobei er als Dienstprozess im Hintergrund aktiv ist und auf Befehle von remoten Anwendern mittels IRC-Kanälen wartet. W32/Spybot-BX versucht, verschiedene Überwachungsprogramme zu beenden, u.a.: "NETSTAT.EXE"
"TSKMGR.EXE"
"MSCONFIG.EXE"
"REGEDIT.EXE".