THEMEN

AntiVirus

Win32.Gruel.A(B,C)@mm - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Gruel.A  Win32.Gruel.A(B,C)@mm  Ausführender Mass Mailer
Schaden Entdeckt Ermittelt
 Hoch  16.07.2003  16.07.2003
Größe Verbreitung Noch unterwegs
 102,400 bytes  Gering  Unbekannt
Andere Namen
 W32.Gruel@mm (Symantec) | W32/Gruel-A (Sophos)
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
• Präsenz der Datei:
C:\Rundll32.exe
• Präsenz einer der nächsten Registry Keys:
[HKCU\Software\kIlLeRgUaTe 1.03] mit den Registry Entries: FirstRun, Password, AppPath,
[HKCU\Software\VB und VBA Program Settings\KILLERGUATE\KILLERGUATE] mit den Registry Entries: st, start, now, reg, alt
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] "MediaPath"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\]
"Rundll32"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX\]
"DevicePath"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SETUP\] "NetCache"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\] "ProxyDevice"="C:\Rundll32.exe"
[HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\] "Window Title"="kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE I dOn'T hAvE NoThInG tO dO!!"
Er setzt auch die nächsten Registry Entries:
[HKCR\exeDatei\shell\open\] "command"="%VIRUS% %1
[HKCR\comDatei\shell\open\] "command"="%VIRUS% %1
[HKCR\batDatei\shell\open\] "command"="%VIRUS% %1
[HKCR\pifDatei\shell\open\] "command"="%VIRUS% %1
[HKCR\htaDatei\shell\open\] "command"="%VIRUS% %1
[HKCR\htDatei\shell\open\] "command"="%VIRUS% %1
wo %VIRUS% der volle Pfad und Name der infizierten Datei ist(z.B.: C:\My Documents\Tool.exe)
Technische Beschreibung:

Der Virus kommt als Emailanhang an.
Beim Betrieb macht er u.a. Folgendes:
Er kopiert sich als C:\Rundll32.exe;
Er platziert sich als:
Version A@mm:
in C:\windows\Program Files\Kazaa\My Shared Ordner\Norton 2003 Pro.exe
C:\WINNT\Program Files\Kazaa\My Shared Ordner\Norton 2003 Pro.exe
Versions B@mm und C@mm:
in C:\windows\Program Files\Kazaa\My Shared Ordner\Windows XP KeyGen 2.5.exe
in C:\WINNT\Program Files\Kazaa\My Shared Ordner\Windows XP KeyGen 2.5.exe
Er sendet Kopien an alle Email addresses in Outlook;
Er versucht Dateien zu löschen wie:
C:\AUTOEXEC.bat
C:\config.sys
%WINDOWS%\System32\*.dll
%WINDOWS%\System32\*.exe
%WINDOWS%\System32\*.com
%WINDOWS%\System32\*.ocx
%WINDOWS%\System32\ntoskrnl.exe
%WINDOWS%\System32\command.com
%WINDOWS%\regedit.exe
wo %WINDOWS% zum Windows Ordner (oder Winnt) weist.
Eventuell versucht er verschiedene Dateien und Unterordner vom Windows Ordner zu löschen:
(z.B.: C:\WINDOWS\SYSTEM\*.DLL, *.EXE,
C:\WINDOWS\SYSTEM\PRECOPY\*.CAB,
C:\WINDOWS\SYSTEM32\DRIVERS\*.SYS und sogar den gesamten Ordner C:\WINDOWS\SYSTEM32)
Nach einer Weile zeigt er vor dem Neustart folgende Meldung an:
Windows has encountered a problem a needs to close. We are sorry for the inconvenience.
Zu diesem Zeitpunkt fehlen dem System schon kritische Dateien und es kann eventuell nicht mehr laden/neustarten.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Gruel.A(B,C)@mm Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.