|
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.KillReg.fWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.09.2005, 21:16 | #1 |
| Trojan.Win32.KillReg.f Hallo alle miteinander! Ich habe gestern auf dem PC einer Kollegin mittels eScan einen Trojan.Win32.KillReg.f ausfindig gemacht, konnte im Netz aber keine befriedigenden Infos zu diesem Übeltäter finden - kann mir jemand von euch was dazu sagen? Mir wäre insbesondere wichtig zu erfahren, ob der Trojaner eine Backdoor-Funktion hat. Vielen Dank schon im Voraus, nemesis |
01.09.2005, 21:24 | #2 |
| Trojan.Win32.KillReg.f Hallo,
__________________hier mal ein paar Infos zu einem Schädling, der aus der gleichen "Familie" stammen dürfte: http://www.sophos.de/virusinfo/analy...jkillregc.html Wenn die Datei noch vorhanden ist, solltest du sie mal bei http://virusscan.jotti.org/de überprüfen. |
01.09.2005, 21:25 | #3 |
Trojan.Win32.KillReg.f Nein du hast es hier mit einem destruktiven Trojaner zutun der einfach nur eine Neuinstallation erzwingen will - mit solchen bekommt man es kaum noch zutun heutzutage..
__________________lass die datei C:\WINDOWS\autoclk.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis (um sicher zu gehen) http://www.sophos.de/virusinfo/analy...jkillregc.html <- Trojaner KillReg-C (die anderen versionen werden wohl kaum jetz noch backdoor qualitys haben..) sollte meiner meinung nach nicht schwierig zu entfernen sein; einfach die datei autoclk.exe vorher im taskmanager (STRG + ALT + ENTF) unter Process beenden und dann die datei (die sich übrigens im ordner C:\WINDOWS\ befindet) löschen. nach einem neustart sollte er sich nicht mehr laden. (ich bin mir aber nicht sicher, ob der trojaner dann entfernt ist und ob dann das system noch lädt) Trotzdem wäre ein HJT-Logfile und ein eScan-Log nicht verkehrt. |
01.09.2005, 22:24 | #4 |
| Trojan.Win32.KillReg.f Holla, das geht aber promt! Waren insgesamt 9 .dll's verseucht - habe sie alle mit einer Trial-Version von Kaspersky entfernt. Allerdings spuckt die Virus Enzykolpädie von denden nur folgendes dazu aus: h**p://www.viruslist.com/en/viruses/encyclopedia?virusid=87275 Bei Panda Software finde ich eine Beschreibung, von der ich allerdings nicht genau weiß, ob das 1. exakt der bei mir gefundene Virus ist, und 2. ob es sich bei dem dort beschriebenen Effekt um eine Backdoor handelt: h**p://enterprises.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=38823 eScan findet jetzt nix mehr, HijackThis sieht wie folgt aus: Logfile of HijackThis v1.99.1 Scan saved at 23:04:58, on 01.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Miramar\PC MACLAN\ATMsg.exe C:\Program Files\Network Associates\Common Framework\FrameworkService.exe C:\Program Files\Network Associates\VirusScan\Mcshield.exe C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe C:\Program Files\Miramar\PC MACLAN\ATSERVER.EXE C:\Program Files\Miramar\PC MACLAN\ATSPOOL.EXE C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\System32\PowerDesk8\PDeskNet.exe C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\security\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*h**p://www.yahoo.com/ext/search/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*h**p://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*h**p://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ecoserv.deneba.com/cvbuy/cvbuy.asp?SerialURL=CICXDBDFDJDNDRDVDRDBDQDUDYECDQEFEBEFEJDXEMEQEUEYEEETEXFBFFFIFMFQFNFNFQFUFTFJGNFPFWGAGEGIGMGQGUGYGAGPGTGXHBGPHEHNHBHHGWHQHUHVHZHLHV HZIDIDIHILIQIQIMIOIUISIIIKJSJTAFAQJUATITJVJDJGJB O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\PowerDesk.exe /silent O4 - HKLM\..\Run: [Miramar Systems, Inc.] C:\Program Files\Miramar\PC MACLAN\atmsg.exe O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125572767015 O23 - Service: AppleTalk Messenger (ATMsg) - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATMsg.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: Miramar AppleTalk File Server - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATSERVER.EXE O23 - Service: Miramar AppleTalk Print Server - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATSPOOL.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe f-Secure Blacklight scheint auch nix zu finden ... ja, ich weiß, dass das bei einem kompromittierten System nicht unbedingt was heißen muss Bezüglich der autoclk.exe ... äh ... die finde ich nicht? Um es noch mal auf den Punkt zu bringen: Ich bin zwar der Ansicht, dass ich den Trojaner selbst erwischt habe - was mich mehr verunsichert, ist die Frage, ob mein System kompromittiert ist! Vielen Dank schon mal im Voraus an alle!!! |
Themen zu Trojan.Win32.KillReg.f |
ander, escan, gestern, infos, insbesondere, konnte, miteinander, troja, trojaner, wichtig |