Kostenloses Lavandros.A Removal-Tool von BitDefender

[Christoph]

Zitat:

Backdoor.Lavandos.A späht vor allem Passwörter von Online Banking- und FTP-Zugängen aus, gibt aber auch andere private Daten weiter. Infizierte PCs lassen sich jetzt mit einem kostenlosen Removal-Tool der Firma BitDefender von dem Schädling befreien.

Sobald Backdoor.Lavandos.A einen PC infiziert hat, generiert er eine "setupapi.dll" für jeden auf dem PC vorhandenen Browser. Diese Datei speichert er im Installationsverzeichnis von Mozilla Firefox, Opera und Internet Explorer. Danach kann er leicht bestimmte Browserfunktionen manipulieren, um beispielsweise Zertifikate zu importieren oder ein selbstbestätigendes Zertifikat als vertrauenswürdig einzustufen. Der Besitzer des PCs riskiert dabei sowohl die Preisgabe sensibler Informationen im Zusammenhang mit seinem Online-Banking-Account als auch den Verlust seiner FTP-Accounts.

Der Schädling selber sitzt in der Windows Registry, was ihm ein unauffälliges Profil verschafft. Wer die BitDefender-Antivirenprogramme verwendet, ist bereits durch generische Packer-Routinen in der Signaturdatenbank vor Backdoor.Lavandos.A recht gut geschützt. Alle anderen Anwender können ihren PC mit dem kostenlosen Removal-Tool von BitDefender überprüfen und gegebenenfalls den Trojaner entfernen.

Das Removal-Tool steht auf www.malwarecity.com kostenfrei zum Download zur Verfügung.

Quelle: http://www.magnus.de/news/kostenlose...r-1051180.html

[stz]

Auf www.malwarecity.com findet man ein File: Backdoor Lavandos.A Removal Tool zum downloaden. Versucht man den Download bekommt man ein Consol-Lavandos-Removal-exe, also unterschiedliche Namen. Ist das richtig, oder versteckt sich hier hinter der Removal-Tol ein neuer Trojaner?

[stz]

Da ich zu lange gebraucht habe um den ersten Beitrag zu ändern muss ich nun einen zweiten schreiben.

Auf meinem Laptop befindet sich "setupapi.dll" 4 mal und zwar in:
C:\WINDOWS\system32 (966 KB, 4.8.2004),
C:\WINDOWS\system32\dllcache (966 KB, 4.8.2004),
C:\WINDOWS\SoftwareDistribution\Download\a746b2abb bec3e139e29152ba22decd1 (967 KB, 14.4.2008), und
C:\WINDOWS\SoftwareDistribution\Download\a746b2abb bec3e139e29152ba22decd1\update (967 KB, 14.4.2008).

Die ersten beiden habe ich mit dem Laptop mit installiertem WinXP (legal) mitbekommen.
die zweiten beiden ????
Interssanterweise sind die zweiten beiden um ein Byte länger.

In den Installationsverzeichnissen der Browser befindet sich kein solches File.

Hat das etwas mit dem Trojaner zu tun?

[Christoph]

Das kann ich Dir aus dem Handgelenk nicht sagen, müßte suchen.
In \system32\ und \system32\dllcache sind sie auch bei mir, in dllcache ist´s klar, zur Sicherheit, sonst sind sie nirgends vorhanden.

Du könntest mal Dateiversion und Firma etc. vergleichen.

[stz]

Habe die zwei Versionen mit FC verglichen, die Dateien sind nicht vergleichbar.
Dann habe ich die in C:\WINDOWS\SoftwareDistribution\Download\.... abgelegten Dateien bis zur Unkenntlichkeit umbenannt, kein Einfluss auf das Verhalten des Laptops. Man kann sie wohl löschen.

Zu meiner Frage wegen des Removal-Tools: Ist das OK oder ist das gefährlich?

M.f.G.
Stz.

[Christoph]

Die Datei kannst Du löschen, wenn keine Probleme ohne auftraten.

Ob das Removal-Tool gefährlich ist kann ich Dir, mangels Erfahrung damit, nicht sagen, Du könntest aber den Blog dazu lesen, bzw. im Internet dazu suchen.

[stz]

Habe den Blog gelesen; im Internet mit Google gesucht. Es führt alles zm selben Link "www.malwarecity.com" und dort zum Download von "Consol-Lavandos-Removal.exe".
Weil das so anders klingt bin ich skeptisch, vielleicht zu unrecht?
Stz.