Hallo alle miteinander!

Ich habe gestern auf dem PC einer Kollegin mittels eScan einen Trojan.Win32.KillReg.f ausfindig gemacht, konnte im Netz aber keine befriedigenden Infos zu diesem Übeltäter finden - kann mir jemand von euch was dazu sagen? Mir wäre insbesondere wichtig zu erfahren, ob der Trojaner eine Backdoor-Funktion hat.

Vielen Dank schon im Voraus,
nemesis

Hallo,

hier mal ein paar Infos zu einem Schädling, der aus der gleichen "Familie" stammen dürfte:
http://www.sophos.de/virusinfo/analy...jkillregc.html


Wenn die Datei noch vorhanden ist, solltest du sie mal bei http://virusscan.jotti.org/de überprüfen.

Nein du hast es hier mit einem destruktiven Trojaner zutun der einfach nur eine Neuinstallation erzwingen will - mit solchen bekommt man es kaum noch zutun heutzutage..

lass die datei C:\WINDOWS\autoclk.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis (um sicher zu gehen)

http://www.sophos.de/virusinfo/analy...jkillregc.html <- Trojaner KillReg-C (die anderen versionen werden wohl kaum jetz noch backdoor qualitys haben..)

sollte meiner meinung nach nicht schwierig zu entfernen sein; einfach die datei autoclk.exe vorher im taskmanager (STRG + ALT + ENTF) unter Process beenden und dann die datei (die sich übrigens im ordner C:\WINDOWS\ befindet) löschen.
nach einem neustart sollte er sich nicht mehr laden. (ich bin mir aber nicht sicher, ob der trojaner dann entfernt ist und ob dann das system noch lädt)

Trotzdem wäre ein HJT-Logfile und ein eScan-Log nicht verkehrt.

Holla, das geht aber promt!

Waren insgesamt 9 .dll's verseucht - habe sie alle mit einer Trial-Version von Kaspersky entfernt.
Allerdings spuckt die Virus Enzykolpädie von denden nur folgendes dazu aus:
h**p://www.viruslist.com/en/viruses/encyclopedia?virusid=87275
Bei Panda Software finde ich eine Beschreibung, von der ich allerdings nicht genau weiß, ob das 1. exakt der bei mir gefundene Virus ist, und 2. ob es sich bei dem dort beschriebenen Effekt um eine Backdoor handelt:
h**p://enterprises.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=38823

eScan findet jetzt nix mehr, HijackThis sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 23:04:58, on 01.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Miramar\PC MACLAN\ATMsg.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Miramar\PC MACLAN\ATSERVER.EXE
C:\Program Files\Miramar\PC MACLAN\ATSPOOL.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\PowerDesk8\PDeskNet.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ecoserv.deneba.com/cvbuy/cvbuy.asp?SerialURL=CICXDBDFDJDNDRDVDRDBDQDUDYECDQEFEBEFEJDXEMEQEUEYEEETEXFBFFFIFMFQFNFNFQFUFTFJGNFPFWGAGEGIGMGQGUGYGAGPGTGXHBGPHEHNHBHHGWHQHUHVHZHLHV HZIDIDIHILIQIQIMIOIUISIIIKJSJTAFAQJUATITJVJDJGJB
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\PowerDesk.exe /silent
O4 - HKLM\..\Run: [Miramar Systems, Inc.] C:\Program Files\Miramar\PC MACLAN\atmsg.exe
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125572767015
O23 - Service: AppleTalk Messenger (ATMsg) - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATMsg.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Miramar AppleTalk File Server - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATSERVER.EXE
O23 - Service: Miramar AppleTalk Print Server - Miramar Systems Inc. - C:\Program Files\Miramar\PC MACLAN\ATSPOOL.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

f-Secure Blacklight scheint auch nix zu finden ... ja, ich weiß, dass das bei einem kompromittierten System nicht unbedingt was heißen muss

Bezüglich der autoclk.exe ... äh ... die finde ich nicht?

Um es noch mal auf den Punkt zu bringen: Ich bin zwar der Ansicht, dass ich den Trojaner selbst erwischt habe - was mich mehr verunsichert, ist die Frage, ob mein System kompromittiert ist!

Vielen Dank schon mal im Voraus an alle!!!