seit 2000
Datei des Formulars TFTPxxx versucht, beim Start ausgeführt zu werden
Eine Datei der Form TFTPxxx (wobei xxx = Zahlen) versucht, beim Systemstart ausgeführt zu werden, und Windows weiß nicht, wie das geht. Was ist das und was sollten Sie tun?
Das Windows Trivial File Transfer Program (TFTP.EXE) ist ein kleiner Dateiübertragungsclient, der mit Windows bereitgestellt wird (TFTP unterscheidet sich von FTP, über das allgemein gesprochen wird, und ist kein Ersatz dafür – siehe die Referenzen unten). Wenn dieses Programm ausgeführt wird, hinterlässt es manchmal eine Datei der Form TFTPxxx in dem Verzeichnis, das beim Ausführen des Programms standardmäßig verwendet wurde. Die Dateien sind harmlos; sie sind nur noch vom laufenden TFTP-Programm übrig geblieben. Das erklärt, woher die Datei kommt. Jetzt müssen wir ein bisschen zurückrudern...
Am 16. Juli 2003 veröffentlichte Microsoft einen Patch, um eine Sicherheitslücke in einer RPC-Schnittstelle (Remote Procedure Call) von Windows Distributed Component Object Model (DCOM) zu beheben. Ohne den Patch waren Computer anfällig für Cracker oder Programme, die in einen anfälligen Computer eindringen und beliebigen Code auf diesem anfälligen Computer ausführen könnten. Leider wussten die meisten Leute nichts von dem Patch oder ignorierten ihn. Eine Beschreibung der Schwachstelle und Links zum Patch finden Sie auf der Microsoft-Website...
Etwa einen Monat später wurde eine modifizierte Form des Blaster-Wurms veröffentlicht, die speziell auf diese Schwachstelle abzielte. Während der Wurm einem infizierten Computer wenig Schaden zufügte, führte er den Windows-TFTP-Client aus, um sich selbst an andere Computer zu senden, und verursachte dabei, da er das Startverzeichnis als Standard verwendete, dass das Programm TFTPxxx-Dateien im Startverzeichnis ablegte. Beim nächsten Start von Windows stieß es auf diese Dateien und wusste nicht, wie es ausgeführt werden sollte. Windows forderte die Benutzer dann auf, ein Programm anzugeben oder im Internet zu suchen. Viele wählten die zweite Option und landeten auf der FILExt-Site, was schließlich zu dieser FAQ führte.
Was tun?
Falls noch nicht geschehen, laden Sie den oben beschriebenen Windows-Patch SOFORT herunter und installieren Sie ihn. Dadurch werden weitere eingehende Angriffe gestoppt.
Sobald Sie dies getan haben, müssen Sie alles beseitigen, was das Problem verursacht hat. Dazu sollten Sie wirklich eine aktualisierte Antivirensoftware haben. Durch Scannen Ihres Systems sollte es die entsprechenden Dateien für Sie finden und verarbeiten. FILExt gibt keine spezifische Empfehlung ab.
Sie können sich weiter selbst helfen, indem Sie die Windows Filewall aktivieren.
Schließlich erscheinen die TFTPxxx-Dateien in der Autostart-Gruppe in Windows. Sie sollten sie im Verzeichnis C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Startup\TFTPxxxx sehen können
...oder indem Sie Start | wählen Programmdateien | Anlaufen
Löschen Sie diese Dateien (sie sind möglicherweise schreibgeschützt, und in diesem Fall müssen Sie möglicherweise mit der rechten Maustaste auf die Datei klicken, Eigenschaften auswählen und das Attribut ReadOnly deaktivieren). Wie oben angegeben, sind diese Dateien ungefährlich. Sie verstopfen nur das Startverzeichnis und veranlassen Windows, anzuhalten, um Sie während des Starts nach ihnen zu fragen.
Halten Sie dann Ihre Firewall- und Antivirensoftware immer auf dem neuesten Stand.
Installieren Sie Windows-Sicherheitspatches, wenn sie veröffentlicht werden.
Hinzugefügter Hinweis: Andere Malware taucht auf und verwendet das TFTP-Programm und hinterlässt daher TFTPxxxx-Dateien auf Systemen. Einige dieser Dateien können Signaturen der Malware enthalten und von Antivirensoftware als infiziert gekennzeichnet werden. Die Lösung ist die gleiche wie oben: Stellen Sie sicher, dass Sie über die neuesten kritischen Microsoft-Updates verfügen, und löschen Sie die verbleibenden Dateien. Die Antivirensoftware sollte die Malware selbst entfernen oder ihre Website sollte über ein Programm verfügen, das die Entfernung durchführt.