Kaum bekannter Trojaner |
||
---|---|---|
#0
| ||
11.11.2005, 12:32
...neu hier
Beiträge: 2 |
||
|
||
11.11.2005, 15:42
Moderator
Beiträge: 7805 |
#2
LAss die Dateien mal hier pruefen http://virusscan.jotti.org/ und schau ob sie bereits erkannt werden.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.11.2005, 07:51
...neu hier
Themenstarter Beiträge: 2 |
#3
Nun denn-
hatt leider etwas gedauert ( bin etwas in Stress). Aber jetzt: In beiden Files wird inzwischen etwas von den meisten Scanner ekannt: AntiVir Found Trojan/Drop.Grobot.2, Trojan/Grobot ArcaVir Found Trojan.Clicker.Vb.Ji Avast Found nothing AVG Antivirus Found Clicker.XW, Clicker.XN BitDefender Found Trojan.Grobt ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found W32/Adclicker.JE Fortinet Found Adware/VB Kaspersky Anti-Virus Found Trojan-Clicker.Win32.VB.ji NOD32 Found probably unknown NewHeur_PE (probable variant) Norman Virus Control Found nothing UNA Found nothing VBA32 Found Trojan-Clicker.Win32B.ji Mein Problem war anscheinend das mich meine zwei Scanner TrendMicro und Nod dieses mal in Stich ließen. Na ja- war mal was zur Übung- Gruß wisciwaschi |
|
|
da ich als Gastleser schon sehr häufig die Informationen von diesem Board benutzen "durfte" und konnte möchte ich erst einmal Danke für die Hilfe sagen.
Als nächstes möchte ich einen Hinweis auf einen etwas selteneren Vertreter eines Trojaners hinweisen der von KAV als Trojan-Clicker.Win32.VB.ji bezeichnet wird.
Dieses Ding installiert im C:\WINNT\system32 die Dateien winifo.dll und wmram.exe
Gleichzeitig wird Reg-Eintrag vorgenommen:
HKLM\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects mit dem Eintrag:{D9CEE-89F-CC54-4337-A283-7035335B42E6}
Wird exe wmram mit dem taskmanager gekillt wird sie sofort wieder erzeugt.
Das killen des prozessbaumes erwirkt dass eine stetig ansteigende Anzahl dieser Datei erzeugt wird.
Ein entfernen dieser Datei, insbesondere der .dll Datei war nur mit einem von CD gestartetem Livesystem möglich.
Ist der Trojaner aktiv, startet er den IE im Hidden- Modus und nimmt Kontakt zu volgenden Seiten auf:
h~~p\\www.biz-com.info
und
h~~p\\pagead2.googlesyndication.com/.... (habe mir den Rest leider nicht ganz merken können)
Wenn Interesse an den zwei Dateien hat- ich habe sie mir beide als rar- File gesichert.
Hoffe etwas von Interesse gebracht zu haben
Mit Grüßen
wisciwaschi