[KB6099] Wiederherstellung von Ordnern, die von der Malware Win32/Zlader.L betroffen sind

• Ihr ESET-Produkt erkennt Win32/Zlader.L
• Ordner auf Dateifreigaben werden nicht mehr geöffnet oder lösen Bedrohungswarnungen aus. Betroffene Ordner werden als Verknüpfungen (.lnk-Dateien) angezeigt.

Win32/Zlader.L befällt Netzwerkfreigaben. Die Bedrohung benennt Ordner um und blendet sie aus und ersetzt diese Ordner dann durch .lnk-Dateien mit demselben Namen wie der ursprüngliche Ordner. Diese Ordner auf Dateifreigaben lassen sich nicht mehr öffnen und lösen keine Bedrohungswarnungen mehr aus.

Um betroffene Ordner wiederherzustellen, führen Sie die folgenden Schritte auf dem Server durch, auf dem sich die betroffenen Dateifreigaben befinden:

1. Überprüfen Sie die Eigentumsrechte an den Verknüpfungsdateien, um Benutzer zu identifizieren, die ebenfalls infiziert sein könnten. Wenn ein Benutzer infiziert ist, sollte seine Workstation vom Netzwerk isoliert werden (auf diesen Workstations werden häufig Win32/PSW.Papras und Win32/PSW.Fareit angezeigt).
   
2. Überprüfen Sie die Eigenschaften einer der betroffenen Verknüpfungsdateien (.lnk), um festzustellen, ob eine bösartige Datei vorhanden ist (siehe Abbildung 1-1 für ein Beispiel). Wenn sich eine bösartige Datei noch auf dem System befindet, sollte sie entfernt werden. Sie können das Vorhandensein einer bösartigen Datei überprüfen, indem Sie den Inhalt des Feldes Ziel kopieren und in ein leeres Notepad-Dokument einfügen.
   

   

   Abbildung 1-1
   Klicken Sie auf das Bild, um es in einem neuen Fenster zu vergrößern

3. Versteckte Dateien oder Ordner anzeigen: Sie sehen nun Ordner mit Namen im folgenden Format: {12345678-7891-1112-8475-141516451687}. Dies sind Ihre Originalordner.
   

   

   Abbildung 1-2
   Klicken Sie auf das Bild, um es in einem neuen Fenster zu vergrößern

4. Wählen Sie die erste Verknüpfung
   1. Dokumentieren Sie den Namen der Verknüpfung.
   
   
   1. Überprüfen Sie die Eigenschaften der Verknüpfung (klicken Sie mit der rechten Maustaste und wählen Sie im Kontextmenü Eigenschaften ). Die letzte {GUID} ist der Ordner (im Feld Ziel ), den Sie wieder in den Namen umbenennen müssen, den Sie in Schritt a oben dokumentiert haben.
   
   
   1. Nachdem Sie sich vergewissert haben, dass Ihr Ordner korrekt umbenannt wurde, löschen Sie die entsprechende Verknüpfungsdatei (wir empfehlen Ihnen, die Datei in den Papierkorb zu verschieben).
      
   2. Deaktivieren Sie die in Schritt 3 aufgedeckten versteckten Dateien. Klicken Sie dazu mit der rechten Maustaste auf einen versteckten Ordner, wählen Sie im Kontextmenü Eigenschaften , aktivieren Sie das Kontrollkästchen neben Versteckt und klicken Sie dann auf OK. Wiederholen Sie diesen Schritt für alle versteckten Dateien oder Ordner.
      
   3. Wiederholen Sie diese Schritte für alle bösartigen Verknüpfungsdateien. Beachten Sie, dass möglicherweise nicht alle Verknüpfungen bösartig sind.
      
5. Scannen Sie Ihren Computer. Wenn Sie keine Antivirenlösung installiert haben, können Sie Ihr System kostenlos mit dem ESET Online Scanner scannen. Alternativ können Sie sich auch an ESET wenden und mehr über Testversionen von ESET Business-Produkten erfahren.