Im Umlauf seit ca.
nicht bekannt, von der jeweilige Version abhängig.

Filegröße ZIP/EXE
keine Angabe

Mögliche Programm-Icone

Eintragung zwecks Autorun bei Systemstart
HKEY-LOCAL-MACHINE - Software - Microsoft - Windows - Current Version - Run

Mögliche Verzeichnisse, wo auffindbar
Windows-System-Ordner (meisstens). Manchmal auch in Windows-System-Temp oder Windows-Ordner.

Beschreibung
Dieser Trojaner arbeitet vom Prinzip her änlich wie BackOrifice. Jedoch ist die Bedienung einfacher und die Funktionaliäten ergieber als BackOrifice. NetBus gibt es in verschiedenen Versionen (Versiion 1.5x, 1.6 und 1.7) und wurde von einem schwedischen Programmierer geschaffen.

Wie komme ich NetBus auf die Spur ?
In der Regel installieren sich alle Versionen in den "\Windows\System - Ordner". Je nach Version trägt NetBus verschiedene Namen. NetBus 1.5x = "SysEdit.exe", 1.6 und 1.7 = "Patch.exe", ~vjqqntp.tmp. Aber es werden auch andere Namen wie z.B. "Explore.exe" verwendet, wenn NetBus über das Spiel "whackamole.exe" (wobei das eigentlicher Originalspiel NICHT infiziert ist) installiert wurde. Ausserdem wird noch eine DLL-Datei Namens "KeyHook.dll" in das gleiche Verzeichnis installiert. Entweder Du suchst nach dem Namen im Windows- System Ordner oder über die Suchfunktion von Windows. Letztere Möglichkeit ist die Sicherste, sollte sich NetBus widererwarten in einen anderen Ordner installiert haben. Denn es kommt auch hin und wieder vor (wenn auch selten), daß NetBus sich lediglich im Windows-Ordner (also: C:\Windows\.........) installiert.

Besonderheiten
Ermöglicht Zugriff auf betroffende Systeme. Verbreitet sich häufig über die Installation anderer Programme, die selbst nicht unmittelbar davon betroffen sind. Das so gewünschte Programm bleibt von seiner Funktion unbeeinflusst.

Entfernung
Nachdem Du wie oben beschrieben den Trojaner lokalisiert hast, gehe wie folgt vor: WindowsStart, dann auf Ausführen, "regedit" eingeben, auf "OK" klicken (es öffnet sich Deine Registrier- datenbank). Nun folgende Ordner der Reihe nach öffnen, indem Du jeweils auf das "+" - Zeichen klickst: HKEY-LOCAL-MACHINE - Software - Microsoft - Windows - Current Version - Run. Im linken Programmfenster findest Du eine Eintragung wie folgt: \nomsg . - Vor dem "\" findest Du den Namen des Trojaner, wie ebenfalls oben beschrieben. Ein Registrierungseintrag kann also z.B. so aussehen: "Patch.exe\nomsg". Diesen Eintrag löschen und NetBus kann beim nächsten Systemstart nicht mehr automatisch mitgestartet werden. Jetzt noch System neu starten. Den zuvor gefundenen Trojaner, sowie die "KeyHook.dll"löschen. Die DLL-Datei hatte unter anderem den Zweck, Tastaturfolgen aufzuzeichnen und zu versenden. Alleine kann die DLL-Datei jedoch keinen Schaden anrichten, falls Du vergessen solltest, diese zu löschen.Wem dieses zu Aufwendig erscheint, oder sich immer noch nicht sicher ist, kann sich auch einem AntiVirenProgramm bedienen. - Fast alle aktuellen Virenscanner sind inzwischen in der Lage NetBus zu identifizieren.