Backdoor.Berbew

Hi,

mein PC ist mit folgenden Viren infiziert:

Backdoor.Berbew.L
Backdoor.Berbew.N
Backdoor.Berbew.F

Hat jemand Erfahrung im Entfernen dieser Viren und kann mir helfen ?

Danke
pezzilou

 

deutsch:
http://www.google.de/search?hl=de&q=Backdoor.Berbew&btnG=Suche&meta=lr=lang_de

englisch:
http://www.google.de/search?hl=de&q=Backdoor.Berbew&btnG=Suche&meta=

 

Hallo,

http://www.pcwelt.de/forum/showthread.php?p=715802#post715802
in dem Thread fragst du "scheinheilig" warum dein Norton NIS nicht rund läuft. Hier schreibst du dass die Maschine mit einem Backdoor infiziert ist. Auf die Idee dass es da einen Zusammenhang gibt bist du nicht gekommen ??.

Der angesprochene Trojaner klaut unter anderem Passwörter, solltest du es schaffen ihn zu Entfernen musst du alle deine Passworter ändern. Bei einem Backdoor ist das System allerdings in einer Art kompromittiert die eigentlich nur eine Neuinstallation zulässt.

Kurzbeschreibung: Berbew kann gespeicherte Passwörter stehlen und ermöglicht es Dritten durch einen Backdoor, Zugang zum infizierten Computer zu erlangen.

Berbew führt folgende Operationen auf dem infizierten Computer durch:

• Registry Änderungen:

Fügt folgenden Wert in die Registry hinzu um bei jedem Start von Windows automatisch gestartet zu werden.

"Web Event Logger" = "{7CFBACFF-EE01-1231-ABDD-416592E5D639}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad

Erzeugt mehrere Einträge unter dem Subkey:

HKEY_CLASSES_ROOT\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32

• Erzeugt die folgenden Dateien:

%System%\[8 zufällige Zeichen].exe
%System%\[8 zufällige Zeichen].dll
%System%\[8 zufällige Zeichen].html

• Erzeugt ein Mutex mit den Namen „VEN2b“ um sicherzustellen, dass nur eine Instanz von Berbew auf der infizierten Maschine läuft.

• Öffnet einen Proxy Server auf einem zufälligen Port, dies erlaubt dass der infizierte Computer als ein verdeckter Proxy verwendet wird.

• Benutzt „rootkit“ Technologie um die Prozesse und Dateien des Trojaners geheim zu halten und vor dem Benutzer verborgen zu bleiben.

• Stiehlt Passwörter in dem er diese von den Datenfelder des Internet Explorers ausließt.

• Sendet diese gestohlenen Informationen an einen Angreifer, indem er eine Abfrage an eine vorbestimmte URL sendet.

• Durchsucht die Festplatte nach einem Ordner mit dem Namen „system“ und versucht diesen zu löschen.

Manuelle Entfernung:

Um die erzeugten Registry Keys zu löschen sind folgende Schritte notwendig:

1.) Start > Ausführen

2.) Eingeben des Befehls regedit und bestätigen mit OK.

3.) Löschen des folgenden Werts

"Web Event Logger" = "{7CFBACFF-EE01-1231-ABDD-416592E5D639}"

In dem Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad

4.) Löschen des folgenden Keys und dessen Subkeys:

HKEY_CLASSES_ROOT\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32

UKW

 

Und genau deshalb solltest du dein System neu aufsetzen, denn du weißt nicht wer sich da schon alles Zugriff verschafft hat.


-------

Infiziertes System neu aufsetzen:

Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

Auf dem infizierten System:
- wichtige Daten sichern (sofern noch möglich)
- Windows neu installieren mit NTFS-Neuformatierung der Systempartition
(oder ein sauberes Image zurückspielen)
- die Service Packs und Patches von der CD installieren
- Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
- Virenwächter installieren (AntiVir und AVG gibts kostenlos)
- sämtliche Passwörter ändern
- Spybot S&D installieren und das System immunisieren
- die automatische Windows-Update Funktion aktivieren
- alle anderen Partitionen auf Schädlinge prüfen
- die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
NIE ausführbare Dateien zurückspielen

-------

 

Hallo UKW,

zunächst Danke für Deine Hilfe, werde gleich an die Arbeit gehen ...

Es handelt sich um 2 Rechner, der, auf dem NIS nicht rund läuft, ist nicht infiziert.

 

@UKW: Gut so! Immer die klasse Tipps raushauen. Warum soll sich Pezzilou auch die Mühe des Neuaufsetzens machen, wenn er (evtl. ohne entsprechende Kenntnisse) seine verseuchte Kiste auch zu Fuss, oberflächlich "bereinigen" kann. Warum überlässt Du es nicht dem Arzt
(the Doctor Zitat:Berbew kann gespeicherte Passwörter stehlen und ermöglicht es Dritten durch einen Backdoor, Zugang zum infizierten Computer zu erlangen.)?

Da keiner weiss, was bereits auf Pezzilous Rechner stattgefunden hat, ist Neuaufsetzen geradezu Bürgerpflicht! Wenn Pezzilou nicht richtig firm ist mit der registry, kann er seinen Rechner lahmlegen, wenn er etwas falsch macht; OK - ist auch ein Weg, eine Virenschleuder zu killen; fände ich aber etwas niederträchtig.

 

@Tabano,

du hast doch eigentlich genug Forenerfahrung, um solch eine Leichenschändung zu unterlassen, oder?