Supportnet / Forum / Security/Viren
Trojan.win32.pakes.x3
Frage
Hallo, nun hats auch mich erwischt :-((( und ich weiss nicht, wo ich den Trojaner aufgefangen habe.
- ich habe nichts neues installiert
- der PC war seit mittag online
- ich war nur bei Ebay, auf der SN Seite und auf der Netbanking Seite
- ich habe keine Mails mit Anhängen bekommen
- und keine Mails von Unbekannt geöffnet.
Vor einigen Minuten kam von meinem Kaspersky, folgende Meldung:
Infiziert: trojanisches Programm Trojan.Win32.Pakes.x3 c:\windows\regedit.exe 150 KB
Infiziert: trojanisches Programm Trojan.Win32.Pakes.x3 C:\windows\SERVIC~1\i386\regedit.exe 150 KB
Ich habe natürlich beide löschen lassen. Zugleich kam die Meldung, dass ich die XP Home CD einlegen soll, da einige Systemdateien verändert wurden. Da ich mir die Neuinstallation der Servicepacks etc. ersparen wollte, habe ich es zuerst erfolglos mit der Systemwiederherstellung versucht.
Nun habe ich in der Ereignisanzeige von Kaspersky diese Meldungen:
29.06.2007 22:07:09 Datei c:\windows\regedit.exe wurde gelöscht.
29.06.2007 22:07:16 Datei C:\windows\regedit.exe kann nicht gelöscht werden.
29.06.2007 22:07:30 Datei C:\windows\SERVIC~1\i386\regedit.exe wurde gelöscht.
Wurde sie nun gelöscht oder nicht...? Die Meldung, dass sie nicht gelöscht werden kann, kam danach.
Beide Dateien sind momentan im Backup Ordner von Kaspersky .
Ich habe das Laufwerk C abgescannt, es wird nichts mehr gefunden. Ich habe trotzdem ein etwas mulmiges Gefühl.
Was würdet Ihr mir raten?
Reparaturinstallation? Systemwiederherstellung mit deaktiviertem Kaspersky (scheinbar blockt der die Wiederherstellung)? Komplette Neuinstallation?
Kennt jemand von Euch den Trojan.win32.pakes.x3 ..?
Wo könnte ich das "gute Stück" her haben...? Oder ist das auch so einer, der sich übers Netzwerk und Sicherheitslücken verbreitet? Trotz Firewall, aktuellem Virenscanner + Windows Updates?
Gruss Poison
Antwort 1 von Gonozeal
Zitat:
Systemwiederherstellung mit deaktiviertem Kaspersky (scheinbar blockt der die Wiederherstellung)?
Systemwiederherstellung mit deaktiviertem Kaspersky (scheinbar blockt der die Wiederherstellung)?
Versuchs doch mal im abgesicherten Modus
mfg
Antwort 2 von Seymour
Hallo,
Könnte durchaus auch eine Falschmeldung gewesen sein. Lade die Datei doch mal zum Test nach Jotti oder Virus Total hoch. Meine Regedit.exe (5.1.2600.2180 (xpsp_sp2_rtm.040803-2158))
hat die MD5, 8193CE5FB09E83F2699FD65BBCBE2FD2
Gruß Seymour
Könnte durchaus auch eine Falschmeldung gewesen sein. Lade die Datei doch mal zum Test nach Jotti oder Virus Total hoch. Meine Regedit.exe (5.1.2600.2180 (xpsp_sp2_rtm.040803-2158))
hat die MD5, 8193CE5FB09E83F2699FD65BBCBE2FD2
Gruß Seymour
Antwort 3 von Poison
Hallo Seymore, dafür müsste ich die infizierte regedit.exe wiederherstellen - und das will ich nun auch wieder nicht.
Habe mit Spybot Search & Destroy ein paar DSO-Exploits gefunden.
Gruss Poison
Habe mit Spybot Search & Destroy ein paar DSO-Exploits gefunden.
Gruss Poison
Antwort 4 von Seymour
Zitat:
infizierte regedit.exe wiederherstellen
infizierte regedit.exe wiederherstellen
Sofern sie infiziert ist. Was soll passieren wenn du sie nicht ausführst? Hattest du das zuvor schon getan, oder war sie als als der Schädling entdeckt wurde, im Speicher aktiv?
Gruß Seymour
Antwort 5 von Poison
Nein ich habe sie nicht ausgeführt, ich war zuerst gar nicht am PC. Es war nur der Browser geöffnet und der Outlook Express.
Als die Meldung kam, bin ich gleich auf "löschen" gegangen. Die richtige regedit.exe hat 138kb, die infizierte hatte 150kb.
Aber wieso kam die Meldung, dass eine Systemdatei verändert wurde..? Die richtige Regedit ist ja in C:\WINDOWS\I386, die infizierte war in c:\windows\ und in C:\windows\SERVIC~1\i386\
Folglich wurde die Originale ja nicht verändert...?
Kannst Du mal schauen, in welchen Pfad sie bei Dir ist?
Gruss Poison
Als die Meldung kam, bin ich gleich auf "löschen" gegangen. Die richtige regedit.exe hat 138kb, die infizierte hatte 150kb.
Aber wieso kam die Meldung, dass eine Systemdatei verändert wurde..? Die richtige Regedit ist ja in C:\WINDOWS\I386, die infizierte war in c:\windows\ und in C:\windows\SERVIC~1\i386\
Folglich wurde die Originale ja nicht verändert...?
Kannst Du mal schauen, in welchen Pfad sie bei Dir ist?
Gruss Poison
Antwort 6 von Seymour
Antwort 7 von Poison
Ojeeeee ich hab gerade geschaut, beim XP Prof (auf meinem anderen PC, der OK ist) sind die regedit.exe genau in DEM Pfad, wo die infizierten (und jetzt gelöschten) waren.
Also in c:\windows\ und in C:\windows\SERVIC~1\i386\
Aber was hab ich dann in C:\WINDOWS\I386 ???
Lt. Kaspersky ist die regedit, die ich dort drin habe nicht infiziert.
Kanns sein, dass die Pfade in XP Home und XP Prof. unterschiedlich sind...?
Gruss Poison
Also in c:\windows\ und in C:\windows\SERVIC~1\i386\
Aber was hab ich dann in C:\WINDOWS\I386 ???
Lt. Kaspersky ist die regedit, die ich dort drin habe nicht infiziert.
Kanns sein, dass die Pfade in XP Home und XP Prof. unterschiedlich sind...?
Gruss Poison
Antwort 8 von Poison
Zitat:
Schau mal hier->http://blog.karotte.org/
Schau mal hier->http://blog.karotte.org/
Na ich weiss nicht, bin misstrauisch :-))
LG Poison
Antwort 9 von 1245
Zitat:
dafür müsste ich die infizierte regedit.exe wiederherstellen - und das will ich nun auch wieder nicht.
dann wähle doch einen wiederherstellungspunkt der vor dem zeit punkt liegtdafür müsste ich die infizierte regedit.exe wiederherstellen - und das will ich nun auch wieder nicht.
Antwort 10 von Seymour
Nein die sind gleich. Eventuell eine komprimierte Version? Die Originale hat 153600 Bytes
ServicePackFiles?
Da ist bei mir auch die 153600 Byte Version drin.
Traue niemals deiner Virenklingel, sondern nur Brain 2007 und seinen Vorgängern. ;-))
Gruß Seymour
Zitat:
C:\windows\SERVIC~1\i386\
C:\windows\SERVIC~1\i386\
ServicePackFiles?
Da ist bei mir auch die 153600 Byte Version drin.
Zitat:
Na ich weiss nicht, bin misstrauisch :-))
Na ich weiss nicht, bin misstrauisch :-))
Traue niemals deiner Virenklingel, sondern nur Brain 2007 und seinen Vorgängern. ;-))
Gruß Seymour
Antwort 11 von Seymour
Antwort 12 von Poison
Hallo Seymour, wenn ich jetzt auf Ausführen / regedit gehe, kann regedit nicht gefunden werden.
Habe jetzt die regedit.exe vom XP Prof. ins XP Home kopiert, nun klappts wieder.
Und Du meinst also ich habe keinen Trojaner drauf, bzw. es war keiner, sondern nur ein Fehlalarm....?
Bin noch immer misstrauisch :-))
LG Poison
Habe jetzt die regedit.exe vom XP Prof. ins XP Home kopiert, nun klappts wieder.
Und Du meinst also ich habe keinen Trojaner drauf, bzw. es war keiner, sondern nur ein Fehlalarm....?
Bin noch immer misstrauisch :-))
LG Poison
Antwort 13 von Poison
Es scheint doch kein Fehlalarm zu sein:
http://www.kaspersky.com/viruswatchlite?search_virus=win32.pakes.&a...
Allerdings gibts noch keine Beschreibung dafür.
Bin noch auf der Suche...
Gruss Poison
http://www.kaspersky.com/viruswatchlite?search_virus=win32.pakes.&a...
Allerdings gibts noch keine Beschreibung dafür.
Bin noch auf der Suche...
Gruss Poison
Antwort 14 von Poison
Hallo, hab was gefunden!
Quelle:
http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&...
Trojan.Win32.Pakes
Aliases: W32.Opanki.D
Betroffene Systeme:
Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003
Infektionslänge: 213kBytes
Kurzbeschreibung:
Installiert sich in die Registry
Benutzt den AOL Messenger um sich zu verbreiten
--------------------------------------------------------------------------------
Nachdem der wurm aktiviert wurde, erzeugt dieser die Datei itunes.exe im Windows Ordner.
Um den Wurm bei jedem Start von Windows zu aktivieren, trägt dieser die soeben erstellte Datei in die Registry ein. Für diesen Zweck erzeugt der Wurm den Wert „Itunes“ in den folgenden Registry Keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Verbindet sich mit dem IRC Kanal #fate auf dem Server xyz.legi0n.net und benutzt dabei TCP Port 4888.
Kann sich der Wurm erfolgreich verbinden, so wird eine infizierte Datei herunter geladen.
Um sich zu verbreiten, benutzt der Wurm den AOL Messenger. Für diesen Zweck sendet der Wurm eine Nachricht, welche einen infizierten Link enthält, an alle Kontakte.
Manuelle Entfernung
Um den Wurm manuell zu entfernen, sind die folgenden Schritte notwendig.
Löschen der erzeugten Registry Einträge:
Start > Ausführen
Eingeben des Befehls regedit und bestätigen mit OK
Nun löschen Sie den Wert:
„Itunes“ = „%Windir%\itunes.exe“
in den folgenden Registry Keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Gruss Poison
Quelle:
http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&...
Trojan.Win32.Pakes
Aliases: W32.Opanki.D
Betroffene Systeme:
Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003
Infektionslänge: 213kBytes
Kurzbeschreibung:
Installiert sich in die Registry
Benutzt den AOL Messenger um sich zu verbreiten
--------------------------------------------------------------------------------
Nachdem der wurm aktiviert wurde, erzeugt dieser die Datei itunes.exe im Windows Ordner.
Um den Wurm bei jedem Start von Windows zu aktivieren, trägt dieser die soeben erstellte Datei in die Registry ein. Für diesen Zweck erzeugt der Wurm den Wert „Itunes“ in den folgenden Registry Keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Verbindet sich mit dem IRC Kanal #fate auf dem Server xyz.legi0n.net und benutzt dabei TCP Port 4888.
Kann sich der Wurm erfolgreich verbinden, so wird eine infizierte Datei herunter geladen.
Um sich zu verbreiten, benutzt der Wurm den AOL Messenger. Für diesen Zweck sendet der Wurm eine Nachricht, welche einen infizierten Link enthält, an alle Kontakte.
Manuelle Entfernung
Um den Wurm manuell zu entfernen, sind die folgenden Schritte notwendig.
Löschen der erzeugten Registry Einträge:
Start > Ausführen
Eingeben des Befehls regedit und bestätigen mit OK
Nun löschen Sie den Wert:
„Itunes“ = „%Windir%\itunes.exe“
in den folgenden Registry Keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Gruss Poison
Antwort 15 von Poison
Noch etwas:
Quelle: http://www.avira.com/de/threats/section/fulldetails/id_vir/1974/tr_...
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Mcafee: Downloader-AAP
• Kaspersky: Trojan.Win32.Pakes
• TrendMicro: TROJ_YABE.O
• Sophos: Troj/Sickbt-E
• Bitdefender: Trojan.Downloader.Small.ANM
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Erstellt eine potentiell gefährliche Datei
Dateien Es wird folgende Datei erstellt:
– %SYSDIR%\sysldr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/TComBill.O.2
Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
• "sysldr"="{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}"
– [HKCR\CLSID\{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}
\InprocServer32]
• @="sysldr.dll"
Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Gruss Poison
Quelle: http://www.avira.com/de/threats/section/fulldetails/id_vir/1974/tr_...
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Mcafee: Downloader-AAP
• Kaspersky: Trojan.Win32.Pakes
• TrendMicro: TROJ_YABE.O
• Sophos: Troj/Sickbt-E
• Bitdefender: Trojan.Downloader.Small.ANM
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Erstellt eine potentiell gefährliche Datei
Dateien Es wird folgende Datei erstellt:
– %SYSDIR%\sysldr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/TComBill.O.2
Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
• "sysldr"="{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}"
– [HKCR\CLSID\{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}
\InprocServer32]
• @="sysldr.dll"
Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Gruss Poison
Antwort 16 von Poison
Scheinbar doch ein Fehlalarm...?
Wo sind die Kaspersky Nutzer im SN? Noch jemand mit der gleichen Meldung? Wenns ein Fehlalarm war, muss es doch alle betroffen haben..?
http://forum.kaspersky.com/index.php?showtopic=42076
Gruss Poison
Wo sind die Kaspersky Nutzer im SN? Noch jemand mit der gleichen Meldung? Wenns ein Fehlalarm war, muss es doch alle betroffen haben..?
http://forum.kaspersky.com/index.php?showtopic=42076
Gruss Poison
Antwort 17 von Seymour
Hallo Poison,
Es war ein Fehlalarm, wie ich schon zuvor vermutet hatte. Sowas passiert schon mal hin und wieder. Du solltest den Meldungen deines Scanners weniger Vertrauen schenken, und sie auch anderweitig überprüfen. Der von mir vorgeschlagene Test hätte das sofort geklärt.
Gruß Seymour
Es war ein Fehlalarm, wie ich schon zuvor vermutet hatte. Sowas passiert schon mal hin und wieder. Du solltest den Meldungen deines Scanners weniger Vertrauen schenken, und sie auch anderweitig überprüfen. Der von mir vorgeschlagene Test hätte das sofort geklärt.
Gruß Seymour
Antwort 18 von Poison
OKI :-))) Danke nochmal.
Aber lieber doppelt + dreifach überprüfen, bevor man sich in Sicherheit wiegt ;-)))
Liebe Grüsse Poison
Aber lieber doppelt + dreifach überprüfen, bevor man sich in Sicherheit wiegt ;-)))
Liebe Grüsse Poison