Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.KillReg.f

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.09.2005, 21:16   #1
nemesis
 
Trojan.Win32.KillReg.f - Standard

Trojan.Win32.KillReg.f



Hallo alle miteinander!

Ich habe gestern auf dem PC einer Kollegin mittels eScan einen Trojan.Win32.KillReg.f ausfindig gemacht, konnte im Netz aber keine befriedigenden Infos zu diesem Übeltäter finden - kann mir jemand von euch was dazu sagen? Mir wäre insbesondere wichtig zu erfahren, ob der Trojaner eine Backdoor-Funktion hat.

Vielen Dank schon im Voraus,
nemesis

Alt 01.09.2005, 21:24   #2
Haui45
 
Trojan.Win32.KillReg.f - Standard

Trojan.Win32.KillReg.f



Hallo,

hier mal ein paar Infos zu einem Schädling, der aus der gleichen "Familie" stammen dürfte:
http://www.sophos.de/virusinfo/analy...jkillregc.html


Wenn die Datei noch vorhanden ist, solltest du sie mal bei http://virusscan.jotti.org/de überprüfen.
__________________


Alt 01.09.2005, 21:25   #3
Chris14
 

Trojan.Win32.KillReg.f - Standard

Trojan.Win32.KillReg.f



Nein du hast es hier mit einem destruktiven Trojaner zutun der einfach nur eine Neuinstallation erzwingen will - mit solchen bekommt man es kaum noch zutun heutzutage..

lass die datei C:\WINDOWS\autoclk.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis (um sicher zu gehen)

http://www.sophos.de/virusinfo/analy...jkillregc.html <- Trojaner KillReg-C (die anderen versionen werden wohl kaum jetz noch backdoor qualitys haben..)

sollte meiner meinung nach nicht schwierig zu entfernen sein; einfach die datei autoclk.exe vorher im taskmanager (STRG + ALT + ENTF) unter Process beenden und dann die datei (die sich übrigens im ordner C:\WINDOWS\ befindet) löschen.
nach einem neustart sollte er sich nicht mehr laden. (ich bin mir aber nicht sicher, ob der trojaner dann entfernt ist und ob dann das system noch lädt)

Trotzdem wäre ein HJT-Logfile und ein eScan-Log nicht verkehrt.
__________________

Alt 01.09.2005, 22:24   #4
nemesis
 
Trojan.Win32.KillReg.f - Standard

Trojan.Win32.KillReg.f



Holla, das geht aber promt!

Waren insgesamt 9 .dll's verseucht - habe sie alle mit einer Trial-Version von Kaspersky entfernt.
Allerdings spuckt die Virus Enzykolpädie von denden nur folgendes dazu aus:
h**p://www.viruslist.com/en/viruses/encyclopedia?virusid=87275
Bei Panda Software finde ich eine Beschreibung, von der ich allerdings nicht genau weiß, ob das 1. exakt der bei mir gefundene Virus ist, und 2. ob es sich bei dem dort beschriebenen Effekt um eine Backdoor handelt:
h**p://enterprises.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=38823

eScan findet jetzt nix mehr, HijackThis sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 23:04:58, on 01.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Miramar\PC MACLAN\ATMsg.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Miramar\PC MACLAN\ATSERVER.EXE
C:\Program Files\Miramar\PC MACLAN\ATSPOOL.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\PowerDesk8\PDeskNet.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ecoserv.deneba.com/cvbuy/cvbuy.asp?SerialURL=CICXDBDFDJDNDRDVDRDBDQDUDYECDQEFEBEFEJDXEMEQEUEYEEETEXFBFFFIFMFQFNFNFQFUFTFJGNFPFWGAGEGIGMGQGUGYGAGPGTGXHBGPHEHNHBHHGWHQHUHVHZHLHV HZIDIDIHILIQIQIMIOIUISIIIKJSJTAFAQJUATITJVJDJGJB
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\PowerDesk.exe /silent
O4 - HKLM\..\Run: [Miramar Systems, Inc.] C:\Program Files\Miramar\PC MACLAN\atmsg.exe
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125572767015
O23 - Service: AppleTalk Messenger (ATMsg) - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATMsg.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Miramar AppleTalk File Server - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATSERVER.EXE
O23 - Service: Miramar AppleTalk Print Server - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATSPOOL.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

f-Secure Blacklight scheint auch nix zu finden ... ja, ich weiß, dass das bei einem kompromittierten System nicht unbedingt was heißen muss

Bezüglich der autoclk.exe ... äh ... die finde ich nicht?

Um es noch mal auf den Punkt zu bringen: Ich bin zwar der Ansicht, dass ich den Trojaner selbst erwischt habe - was mich mehr verunsichert, ist die Frage, ob mein System kompromittiert ist!

Vielen Dank schon mal im Voraus an alle!!!

Antwort

Themen zu Trojan.Win32.KillReg.f
ander, escan, gestern, infos, insbesondere, konnte, miteinander, troja, trojaner, wichtig




Ähnliche Themen: Trojan.Win32.KillReg.f


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Win32:Malware-gen und Trojan.Win32.WinloadSDA.dewcdw und PUA.Win32.Packer.Upx-28 - falsch positive Meldungen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (1)
  3. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  4. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  5. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  6. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  7. Verschlüsselungs-Trojaner: Trojan.Win32.Yakes.bshd, Trojan.Win32.Bublik.abyj
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (1)
  8. Win32/Kryptik.AOOB trojan / Win32/Ponmocup.AA trojan entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (7)
  9. Virenfund: Trojan.Win32.zapchast.acwq und Trojan.Win32.small.bmrh
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (27)
  10. Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (11)
  11. Trojaner: Trojan-PSW.Win32.Coced.219 sowie Trojan-BNK.Win32.Keylogger.gen
    Log-Analyse und Auswertung - 24.01.2012 (42)
  12. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  13. Mehrere Viren u.a. Trojan-Dropper.Win32.FrauDrop.bdq, Trojan.Win32.Generic
    Log-Analyse und Auswertung - 13.09.2010 (5)
  14. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  15. win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
    Plagegeister aller Art und deren Bekämpfung - 08.08.2009 (59)
  16. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  17. brauch hilfe bei: Win32/Oleloa.gen!, Trojan.Win32.Golid.g, Trojan.Win32.Small.ev
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (1)

Zum Thema Trojan.Win32.KillReg.f - Hallo alle miteinander! Ich habe gestern auf dem PC einer Kollegin mittels eScan einen Trojan.Win32.KillReg.f ausfindig gemacht, konnte im Netz aber keine befriedigenden Infos zu diesem Übeltäter finden - kann - Trojan.Win32.KillReg.f...
Archiv
Du betrachtest: Trojan.Win32.KillReg.f auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.