Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

Trojan.win32.pakes.x3





Frage

Hallo, nun hats auch mich erwischt :-((( und ich weiss nicht, wo ich den Trojaner aufgefangen habe. - ich habe nichts neues installiert - der PC war seit mittag online - ich war nur bei Ebay, auf der SN Seite und auf der Netbanking Seite - ich habe keine Mails mit Anhängen bekommen - und keine Mails von Unbekannt geöffnet. Vor einigen Minuten kam von meinem Kaspersky, folgende Meldung: Infiziert: trojanisches Programm Trojan.Win32.Pakes.x3 c:\windows\regedit.exe 150 KB Infiziert: trojanisches Programm Trojan.Win32.Pakes.x3 C:\windows\SERVIC~1\i386\regedit.exe 150 KB Ich habe natürlich beide löschen lassen. Zugleich kam die Meldung, dass ich die XP Home CD einlegen soll, da einige Systemdateien verändert wurden. Da ich mir die Neuinstallation der Servicepacks etc. ersparen wollte, habe ich es zuerst erfolglos mit der Systemwiederherstellung versucht. Nun habe ich in der Ereignisanzeige von Kaspersky diese Meldungen: 29.06.2007 22:07:09 Datei c:\windows\regedit.exe wurde gelöscht. 29.06.2007 22:07:16 Datei C:\windows\regedit.exe kann nicht gelöscht werden. 29.06.2007 22:07:30 Datei C:\windows\SERVIC~1\i386\regedit.exe wurde gelöscht. Wurde sie nun gelöscht oder nicht...? Die Meldung, dass sie nicht gelöscht werden kann, kam danach. Beide Dateien sind momentan im Backup Ordner von Kaspersky . Ich habe das Laufwerk C abgescannt, es wird nichts mehr gefunden. Ich habe trotzdem ein etwas mulmiges Gefühl. Was würdet Ihr mir raten? Reparaturinstallation? Systemwiederherstellung mit deaktiviertem Kaspersky (scheinbar blockt der die Wiederherstellung)? Komplette Neuinstallation? Kennt jemand von Euch den Trojan.win32.pakes.x3 ..? Wo könnte ich das "gute Stück" her haben...? Oder ist das auch so einer, der sich übers Netzwerk und Sicherheitslücken verbreitet? Trotz Firewall, aktuellem Virenscanner + Windows Updates? Gruss Poison

Antwort 1 von Gonozeal

Zitat:
Systemwiederherstellung mit deaktiviertem Kaspersky (scheinbar blockt der die Wiederherstellung)?



Versuchs doch mal im abgesicherten Modus

mfg

Antwort 2 von Seymour

Hallo,

Könnte durchaus auch eine Falschmeldung gewesen sein. Lade die Datei doch mal zum Test nach Jotti oder Virus Total hoch. Meine Regedit.exe (5.1.2600.2180 (xpsp_sp2_rtm.040803-2158))
hat die MD5, 8193CE5FB09E83F2699FD65BBCBE2FD2

Gruß Seymour

Antwort 3 von Poison

Hallo Seymore, dafür müsste ich die infizierte regedit.exe wiederherstellen - und das will ich nun auch wieder nicht.
Habe mit Spybot Search & Destroy ein paar DSO-Exploits gefunden.
Gruss Poison

Antwort 4 von Seymour

Zitat:
infizierte regedit.exe wiederherstellen

Sofern sie infiziert ist. Was soll passieren wenn du sie nicht ausführst? Hattest du das zuvor schon getan, oder war sie als als der Schädling entdeckt wurde, im Speicher aktiv?

Gruß Seymour

Antwort 5 von Poison

Nein ich habe sie nicht ausgeführt, ich war zuerst gar nicht am PC. Es war nur der Browser geöffnet und der Outlook Express.

Als die Meldung kam, bin ich gleich auf "löschen" gegangen. Die richtige regedit.exe hat 138kb, die infizierte hatte 150kb.
Aber wieso kam die Meldung, dass eine Systemdatei verändert wurde..? Die richtige Regedit ist ja in C:\WINDOWS\I386, die infizierte war in c:\windows\ und in C:\windows\SERVIC~1\i386\
Folglich wurde die Originale ja nicht verändert...?
Kannst Du mal schauen, in welchen Pfad sie bei Dir ist?


Gruss Poison

Antwort 6 von Seymour

Schau mal hier->http://blog.karotte.org/

Gruß Seymour

Antwort 7 von Poison

Ojeeeee ich hab gerade geschaut, beim XP Prof (auf meinem anderen PC, der OK ist) sind die regedit.exe genau in DEM Pfad, wo die infizierten (und jetzt gelöschten) waren.
Also in c:\windows\ und in C:\windows\SERVIC~1\i386\

Aber was hab ich dann in C:\WINDOWS\I386 ???
Lt. Kaspersky ist die regedit, die ich dort drin habe nicht infiziert.
Kanns sein, dass die Pfade in XP Home und XP Prof. unterschiedlich sind...?
Gruss Poison

Antwort 8 von Poison

Zitat:
Schau mal hier->http://blog.karotte.org/


Na ich weiss nicht, bin misstrauisch :-))

LG Poison

Antwort 9 von 1245

Zitat:
dafür müsste ich die infizierte regedit.exe wiederherstellen - und das will ich nun auch wieder nicht.
dann wähle doch einen wiederherstellungspunkt der vor dem zeit punkt liegt

Antwort 10 von Seymour

Nein die sind gleich. Eventuell eine komprimierte Version? Die Originale hat 153600 Bytes

Zitat:
C:\windows\SERVIC~1\i386\

ServicePackFiles?
Da ist bei mir auch die 153600 Byte Version drin.

Zitat:
Na ich weiss nicht, bin misstrauisch :-))

Traue niemals deiner Virenklingel, sondern nur Brain 2007 und seinen Vorgängern. ;-))

Gruß Seymour

Antwort 11 von Seymour

Antwort 12 von Poison

Hallo Seymour, wenn ich jetzt auf Ausführen / regedit gehe, kann regedit nicht gefunden werden.
Habe jetzt die regedit.exe vom XP Prof. ins XP Home kopiert, nun klappts wieder.
Und Du meinst also ich habe keinen Trojaner drauf, bzw. es war keiner, sondern nur ein Fehlalarm....?
Bin noch immer misstrauisch :-))

LG Poison

Antwort 13 von Poison

Es scheint doch kein Fehlalarm zu sein:

http://www.kaspersky.com/viruswatchlite?search_virus=win32.pakes.&a...

Allerdings gibts noch keine Beschreibung dafür.
Bin noch auf der Suche...
Gruss Poison

Antwort 14 von Poison

Hallo, hab was gefunden!
Quelle:
http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&...

Trojan.Win32.Pakes

Aliases: W32.Opanki.D

Betroffene Systeme:
Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003

Infektionslänge: 213kBytes

Kurzbeschreibung:

Installiert sich in die Registry

Benutzt den AOL Messenger um sich zu verbreiten

--------------------------------------------------------------------------------


Nachdem der wurm aktiviert wurde, erzeugt dieser die Datei itunes.exe im Windows Ordner.


Um den Wurm bei jedem Start von Windows zu aktivieren, trägt dieser die soeben erstellte Datei in die Registry ein. Für diesen Zweck erzeugt der Wurm den Wert „Itunes“ in den folgenden Registry Keys:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon


Verbindet sich mit dem IRC Kanal #fate auf dem Server xyz.legi0n.net und benutzt dabei TCP Port 4888.
Kann sich der Wurm erfolgreich verbinden, so wird eine infizierte Datei herunter geladen.


Um sich zu verbreiten, benutzt der Wurm den AOL Messenger. Für diesen Zweck sendet der Wurm eine Nachricht, welche einen infizierten Link enthält, an alle Kontakte.

Manuelle Entfernung

Um den Wurm manuell zu entfernen, sind die folgenden Schritte notwendig.

Löschen der erzeugten Registry Einträge:

Start > Ausführen
Eingeben des Befehls regedit und bestätigen mit OK

Nun löschen Sie den Wert:

„Itunes“ = „%Windir%\itunes.exe“

in den folgenden Registry Keys:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon


Gruss Poison

Antwort 15 von Poison

Noch etwas:

Quelle: http://www.avira.com/de/threats/section/fulldetails/id_vir/1974/tr_...

Verbreitungsmethode:
• Keine eigene Verbreitungsroutine


Aliases:
• Mcafee: Downloader-AAP
• Kaspersky: Trojan.Win32.Pakes
• TrendMicro: TROJ_YABE.O
• Sophos: Troj/Sickbt-E
• Bitdefender: Trojan.Downloader.Small.ANM


Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Auswirkungen:
• Erstellt eine potentiell gefährliche Datei

Dateien Es wird folgende Datei erstellt:

– %SYSDIR%\sysldr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/TComBill.O.2

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
• "sysldr"="{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}"

– [HKCR\CLSID\{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}
\InprocServer32]
• @="sysldr.dll"

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.


Gruss Poison

Antwort 16 von Poison

Scheinbar doch ein Fehlalarm...?
Wo sind die Kaspersky Nutzer im SN? Noch jemand mit der gleichen Meldung? Wenns ein Fehlalarm war, muss es doch alle betroffen haben..?

http://forum.kaspersky.com/index.php?showtopic=42076

Gruss Poison

Antwort 17 von Seymour

Hallo Poison,

Es war ein Fehlalarm, wie ich schon zuvor vermutet hatte. Sowas passiert schon mal hin und wieder. Du solltest den Meldungen deines Scanners weniger Vertrauen schenken, und sie auch anderweitig überprüfen. Der von mir vorgeschlagene Test hätte das sofort geklärt.

Gruß Seymour

Antwort 18 von Poison

OKI :-))) Danke nochmal.

Aber lieber doppelt + dreifach überprüfen, bevor man sich in Sicherheit wiegt ;-)))

Liebe Grüsse Poison

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: