Kaspersky Norton Virenscanner Trojaner Trojaner entfernen
THEMEN
FREE Downloads
Antivirus Lexikon
Spyware Definitionen
Top Viren Block
Top Spyware Block
Virenschutz Tutorial
Virenschutz Forum
Testberichte
Technik Lexikon
weitere Themen

AntiVirus

VBS.VirusRemoval.A - Virensignatur

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 VirusRemoval.A  VBS.VirusRemoval.A  Wurm
Schaden Entdeckt Ermittelt
 Mittel  28.04.2008  28.04.2008
Größe Verbreitung Noch unterwegs
   mittlere Gefahr  Ja
Andere Namen
 
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
Der Virus löscht Dateien, die zu tückischen Dateien gehören, die dazu entwickelt wurden, Passwörter von Online Spielen zu stehlen. Der Task Manager und Windows Registry Editor werden abgebrochen. Der Virus wird ausgebreitet durch Laufwerke, die von mehreren Benutzer genutzt werden und austauschbar sind.VirusRemoval.A ist ein Wurm, der Dateien löscht, die zu Malware gehören und dazu entwickelt wurden, Passwörter von Online Spielen zu stehlen.
Außerdem werden Objekte wie der Task Manager und der Windows Registry Editor ausgeschaltet.
Der Virus wird ausgebreitet durch Laufwerke, die von mehreren Benutzer genutzt werden und austauschbar sind. So kann er Kopien von sich selbst herstellen.
Technische Beschreibung:

VirusRemoval.A ist nicht einfach zu erkennen, da weder Nachrichten oder Warnungen anzeigt werden, die darauf hinweisen, dass der Virus den Computer erreicht hat.
Trotzdem kann er leicht erkannt werden sobald der User im Internet surft, da der Virus folgende Elemente verändert:
• Die vom User eingestellte Startseite wird abgeändert in: www.risi.50megs.com
• Der Titel der Internet Explorer Fenster wird abgeändert in: www.risi.50megs.co

Wirkungen:
VirusRemoval.A führt folgende Aktionen durch:
• Wenn der Wurm geöffnet wird, wird er beginnen, sich in das Disketten-Laufwerk zu kopieren. Wenn keine Diskette im besagten Laufwerk vorhanden ist, wird folgende Fehlermeldung angezeigt:
• Die vom User eingestellte Startseite wird abgeändert in: www.risi.50megs.com
• Der Virus bricht folgende Objekte ab:
- Task Manager, der ermöglicht, dass laufende Prozesse angezeigt werden
- Windows Registry Editor
• Der Titel des Internet Explorer Fensters wird abgeändert in: www.risi.50megs.com
• Der Virus sucht nach allen der folgenden Dateien in den austauschbaren Laufwerken. Findet er welche, so werden diese gelöscht.
RAVMON.EXE
SXS.EXE
WINFILE.EXE
RUN.WSH
Diese Dateien sind tückisch und gehören zu einigen Programmen, die Passwörter von Online Spielen stehlen.


Ansteckungstaktik:
VirusRemoval.A erschafft folgende Dateien im Windowssystemverzeichnis, die Kopien des Wurms sind:
• VIRUSREMOVAL.VBS.
• WSCRIPT.EXE.
Außerdem erschafft der Virus eine Datei namens AUTORUN.INF im C: Laufwerk wie in den verfügbaren Laufwerken, die von mehreren Benutzern genutzt werden und austauschbar sind. So wird der Wurm immer aktiviert, wenn eines dieser Laufwerke aktiviert wird.

VirusRemoval.A erschafft folgende Einträge im Windowsverzeichnis:
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 00, 00, 00, 00
Damit wird der Windows Registry Editor ausgeschaltet.

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 00, 00, 00, 00
Damit wird der Task Manager ausgeschaltet.

• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Window Title = www.risi.50megs.com
Damit wird der Text, der im Titel des Internet Explorers angezeigt wird, verändert.


VirusRemoval.A verändert folgende Einträge im Windowsverzeichnis:
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe
wird zu:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\VirusRemoval.vbs
Mit dieser Veränderung wird festgelegt, dass VirusRemoval.A immer aktiviert wird, wenn Windows gestartet wird.

• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = %start page established by the user%
wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = www.risi.50megs.com
Damit wird die Startseite des Internet Explorers verändert.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
VBS.VirusRemoval.A Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.
AntiVirus News
Besuchen Sie auch den tagesaktuellen Antivirus News Bereich

AntiVirus News 		Testberichte
Nach Herstellern geordnet, die User Virenscanner Testberichte hier :

Testberichte 		Spyware Lexikon
Nach Vorbild unseres Virenlexikons haben wir auch ein eigenes :

Spyware Lexikon 		Tutorials Bereiche
Von Virenschutz über Firewall bis Wlan erläutert in unseren Tutorials Bereichen

Virenschutz Tutorials 		Virenscanner Übersicht
Produkt Empfehlungen von Security Software hier bei uns in der Übersicht

Übersicht Virenscanner
Virenschutz | Antivirus | Virenscanner | Spyware | Trojaner
Datenschutz