%SystemDrive% ist eine Variable, die sich auf das Laufwerk bezieht, auf dem Windows installiert ist. Standardmäßig ist dies das Laufwerk C.
Es könnte sich um den W32.Serflog.A Wurm handeln.
Er deaktiviert möglicherweise folgende Programme:
Registrierungsbearbeitungsprogramme
Befehlszeile
Prozessüberwachungsprogramme
Task-Manager
Er erstellt die folgende Mutex, (Abk. für engl. Mutual Exclusion, „wechselseitiger Ausschluss“) damit nur eine Instanz des Wurms auf dem infizierten Computer ausgeführt wird:
'-F-u-c-k-'-Y-o-u-'
Er erstellt die folgenden versteckten Kopien von sich selbst:
* %System%\formatsys.exe
* %System%\serbw.exe
* %Windir%\msmbw.exe
* %SystemDrive%\Crazy frog gets killed by train!.pif
* %SystemDrive%\Annoying crazy frog getting killed.pif
* %SystemDrive%\See my lesbian friends.pif
* %SystemDrive%\LOL that ur pic!.pif
* %SystemDrive%\My new photo!.pif
* %SystemDrive%\Me on holiday!.pif
* %SystemDrive%\The Cat And The Fan piccy.pif
* %SystemDrive%\How a Blonde Eats a Banana...pif
* %SystemDrive%\Mona Lisa Wants Her Smile Back.pif
* %SystemDrive%\Topless in Mini Skirt! lol.pif
* %SystemDrive%\Fat Elvis! lol.pif
* %SystemDrive%\Jennifer Lopez.scr
* %SystemDrive%\lspt.exe
* %UserProfile%\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe
Um es kurz zu sagen, bitte mit Hijackthis scannen:
http://computercops.biz/zx/Merijn/hijackthis.zip
oder:
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Bebilderte Anleitung:
http://hjt.klaffke.de/
