Entfernung Worm.Zimuse.Gen - Paules-PC-Forum.de

**Paule** · 08.02.2010, 15:03

Autor: bregovic

Entfernung Worm.Zimuse.Gen

Mit dem Worm.Zimuse gibt es erstmals einen Wurm, der die Hardware eines Rechners angreift. Bisher sind zwei Varianten der Verbreitung bekannt:

Tarnung als IQ Test
Selbst entpackende Zip-Datei

Nach 40 bzw. 20 Tagen wird der Anwender aufgefordert, seinen Rechner zu booten. Bei dem Neustart wird der MBR überschrieben.

Von Bitdefender gibt es ein Tool, welches den Wurm erkennt und beseitigt.

Nachfolgend zeigen wir euch, wie ihr dieses Tool einsetzt.

Infektion
Wir zeigen euch hier die Variante der Infektion mit der Tarnung als IQ Test.

Bild 1: IQ Test

Ein Doppelklick auf das Symbol öffnet einen Ordner, in dem zwei Dateien liegen. Zum einen der eigentliche "IQ Test", zum anderen eine readme.txt

Bild 2: Inhalt des Verzeichnisses

Der Inhalt der readme.txt lautet:

Iqtest is configured. To start of IQ test,
run IQTEST.EXE in this folder.

Nach dem Ausführen des "Tests" bootet der Rechner ziemlich schnell neu, es erscheinen (vermutlich) tschechische Schriftzeichen. Der Rechner ließ sich nur "hart" ausschalten. Möglicherweise tritt dieser Effekt nicht bei allen Rechnern auf!

Bild 3: Das Ergebnis des IQ Tests

Nach dem Neustart des Rechners ist nichts von dem Wurm zu bemerken, alles funktioniert wie gehabt.

Testen auf Worm.Zimuse.Gen
Einfach einen Doppelklick auf das Desktop Icon des Bitdefender Tools machen, um das Programm zu starten.

Bild 4: Zimuse Removal Tool

Danach auf "Start" klicken.

Bild 5: Startfenster

Sollte das Zimuse Removal Tool etwas finden, wird es sofort angezeigt.

Bild 6: Gefundene Infektion

Und automatisch bereinigt.

Bild 7: Bereinigung

Im Anschluss sollte der Rechner unbedingt neu gestartet und das Removal Tool erneut ausgeführt werden. Idealerweise sieht das Ergebnis dann so aus.

Bild 8: Ergebnis - "System sauber"

In jedem Fall solltet ihr zum Schluss noch den mbr (master boot record) checken. Dazu verwendet ihr am Besten dieses Tool, das nur über einen Doppelklick gestartet werden muss. Nach Abschluss wird automatisch eine mbr.txt Datei angelegt, deren Inhalt so aussehen sollte (wenn der mbr OK ist).

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Falls Du noch weitere Hilfestellungen benötigst oder Fragen hast, erstellt bitte hier ein neues Thema im Viren-Forum.

08.02.2010, 15:03	#1 (Direktlink)
Paule Moderator Registriert seit: 27.10.2008 Beiträge: 4.376	Entfernung Worm.Zimuse.Gen Autor: bregovic Entfernung Worm.Zimuse.Gen Mit dem Worm.Zimuse gibt es erstmals einen Wurm, der die Hardware eines Rechners angreift. Bisher sind zwei Varianten der Verbreitung bekannt: Tarnung als IQ Test Selbst entpackende Zip-Datei Nach 40 bzw. 20 Tagen wird der Anwender aufgefordert, seinen Rechner zu booten. Bei dem Neustart wird der MBR überschrieben. Von Bitdefender gibt es ein Tool, welches den Wurm erkennt und beseitigt. Nachfolgend zeigen wir euch, wie ihr dieses Tool einsetzt. Infektion Wir zeigen euch hier die Variante der Infektion mit der Tarnung als IQ Test. Bild 1: IQ Test Ein Doppelklick auf das Symbol öffnet einen Ordner, in dem zwei Dateien liegen. Zum einen der eigentliche "IQ Test", zum anderen eine readme.txt Bild 2: Inhalt des Verzeichnisses Der Inhalt der readme.txt lautet: Iqtest is configured. To start of IQ test, run IQTEST.EXE in this folder. Nach dem Ausführen des "Tests" bootet der Rechner ziemlich schnell neu, es erscheinen (vermutlich) tschechische Schriftzeichen. Der Rechner ließ sich nur "hart" ausschalten. Möglicherweise tritt dieser Effekt nicht bei allen Rechnern auf! Bild 3: Das Ergebnis des IQ Tests Nach dem Neustart des Rechners ist nichts von dem Wurm zu bemerken, alles funktioniert wie gehabt. Testen auf Worm.Zimuse.Gen Einfach einen Doppelklick auf das Desktop Icon des Bitdefender Tools machen, um das Programm zu starten. Bild 4: Zimuse Removal Tool Danach auf "Start" klicken. Bild 5: Startfenster Sollte das Zimuse Removal Tool etwas finden, wird es sofort angezeigt. Bild 6: Gefundene Infektion Und automatisch bereinigt. Bild 7: Bereinigung Im Anschluss sollte der Rechner unbedingt neu gestartet und das Removal Tool erneut ausgeführt werden. Idealerweise sieht das Ergebnis dann so aus. Bild 8: Ergebnis - "System sauber" In jedem Fall solltet ihr zum Schluss noch den mbr (master boot record) checken. Dazu verwendet ihr am Besten dieses Tool, das nur über einen Doppelklick gestartet werden muss. Nach Abschluss wird automatisch eine mbr.txt Datei angelegt, deren Inhalt so aussehen sollte (wenn der mbr OK ist). Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Falls Du noch weitere Hilfestellungen benötigst oder Fragen hast, erstellt bitte hier ein neues Thema im Viren-Forum.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Alcra-Entfernung	Paule	4. PC-Sicherheit	0	01.11.2008 13:41
Entfernung der Spyware	PT	Viren-Forum	13	05.03.2008 21:08
Entfernung von Software	ali9100	Software - Allgemein	6	29.04.2007 13:54
Software entfernung	Norbert75000	Allgemein	1	30.03.2007 12:47