Im Umlauf seit ca.
seit November 1998 Filegröße ZIP/EXE
Client: 444 KB / Server: 302 oder 336 KB
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\windll.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General
Mögliche Verzeichnisse, wo auffindbar
C:\Windows
Beschreibung
Es handelt sich um ein Server-Programm, welches den Zugriff auf ein betroffendes System ermöglicht.
Girlfriend besteht aus dem Clienten GF.exe (Größe: 444 KB) und dem Server windll.exe. Die Windll.exe liegt in zwei Versionen mit verschiedenen Iconen vor. - Eine Version trägt das Icon eines Kombifaxgerätes (Größe: 302 KB), die Andere das Windows- Logo (Größe: 336 KB).
Die Windll.exe ist der eigentlich Trojaner, der nach Doppelklick eine Kopie im Windows-Ordner anlegt. Dabei erfolgt eine Ein- tragung in die Registrierung unter folgendem Pfad: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ Windows\CurrentVersion\ Run\windll.exe
Somit ist auch hier gewährleistet, dass dieses Programm bei jedem Systemstart mitgeladen wird und im Hintergrund mitläuft. - Das Programm zeichnet Passworteingaben bei der Einwahl in Online-Dienste auf, sowie ebensolche Eingaben auf Webseiten. Die Daten werden unter dem Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General abgespeichert. Der Trojaner Windll.exe wird im Task unter verschiedenen, wechselnden Namen angezeigt, wie z.B. Winhelp, jedoch auch unter dem echten Namen.
Besonderheiten
Daten werden in Registrierung abgespeichert
Entfernung
Genannte Eintragungen in der Registrierung suchen und diese entfernen. Die Windll mit Task entfernen. Die Windll. im entsprechenden Ordner löschen. - Sicherheitshalber bitte mit Hilfe der Windows-Suchfunktion suchen. - So ist gewährleistet, dass eventuell noch andere Windll.´s gefunden werden, die durch das Programm in anderen Verzeichnissen angelegt wurden, ebenfalls entfernt werden.