TROJ_CARBERP.YWQ
Trojan:Win32/Skeeyah.A!rfn (Microsoft), Trojan-Downloader.Win32.Carberp (Ikarus)
Windows
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Windows%\rdpinst.exe
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Schleust folgende Komponentendateien ein:
- %Windows%\F5Ws94kb.txt
- %Windows%\PsfjH4KN.txt
- %Windows%\VZT6nsdX.txt
- %Windows%\zhsw8lZB.txt
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
aaa99 = "%Windows%\rdpinst.exe"
Andere Systemänderungen
Löscht die folgenden Dateien:
- %Application Data%\NTUSER.DAT
- %Windows%\bootstat.dat
- %Windows%\bootstat2.dat
- C:\Users\All Users\Documents\suchost..exe
- C:\desktop.ini
- C:\recycler
- C:\sYstem.vbs
- DDEDSDM\dde.exe
- Google\update\GoogleUpdate.exe
- Installed\mbarservice.exe
- Microsoft\Super Fitch x86\SuperFitch_x86.exe
- Microsoft\Windows\Default settings protector\dsp.exe
- Microsoft\Windows\Loadmnge32\Loadmnge32.exe
- Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe
- Microsoft\Windows\Officecompiler\Officecompiler.exe
- Microsoft\Windows\Start Menu\MSDCSC\msdcsc.exe
- Mobile Internet\OnlineUpdate\ouc.exe
- SetWallpaper.cmd
- Sysconfig\Sysconfig.exe
- Updata\GoogleUpdata.exe
- WPM\wprotectmanager.exe
- Windows Update\svrupg.exe
- WindowsInstaller\windows.exe
- Windows\check.vbs
- Windows\csrss.exe
- Windows\winpoint
- \MSDCSC\msdcsc.exe
- cmds.exe
- explorer.exe
- fastan~1\FastAndSafeSvc.dll
- lsasss\lsasss.exe
- microsoft\dwmgr.exe
- newnext.me\nengine.dll
- nightupdate\svchost.exe
- start\update.exe
- svchost.exe
- temp\beta\vpn.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Löscht die folgenden Ordner:
- .clamwin
- 360
- 360SD
- AVAST Software
- AVG
- AVG Nation toolbar
- AVS4YOU
- Acceleration Software
- Ad-Aware Antivirus
- Advanced System Protector
- Advanced SystemCare 6
- Advanced SystemCare 7
- Advanced SystemCare 8
- Agnitum
- AhnLab
- Alwil Software
- AntiVir PersonalEdition Classic
- AntiVirus
- AntiWinLocker
- Anvisoft\Anvi Smart Defender
- Arcabit
- Archivos comunes\AVG Secure Search
- Arquivos comuns\AVG Secure Search
- Ashampoo\Ashampoo Anti-Virus
- Ashampoo\Ashampoo FireWall FREE
- Avanquest
- Avetix
- Avira
- BLuPro
- Baidu
- Baidu Security
- BillP Studios
- BitGuard
- Bitdefender
- Bitdefender Agent
- Bkav Corporation
- Bkav2006
- BkavHome
- BkavHomePlus
- BkavPro
- BkavProIS
- Blue Coat K9 Web Protection
- Blue Ridge Networks
- BullGuard
- BullGuard Ltd
- CA
- CMC\Antivirus
- CMC\Internet Security
- COMODO
- Cezurity
- CheckPoint
- ClamWin
- Common Files\AVG Secure Search
- Common Files\AV\McAfee Anti-Virus And Anti-Spyware
- Common Files\Baidu
- Common Files\Bitdefender
- Common Files\BullGuard Ltd
- Common Files\COMODO
- Common Files\Commtouch\AntiVirus5
- Common Files\Doctor Web
- Common Files\G Data
- Common Files\InfoWatch
- Common Files\Intel Security
- Common Files\McAfee
- Common Files\MicroWorld
- Common Files\Panda Security
- Common Files\Steganos\OnlineShield
- Common Files\Symantec Shared
- Common Files\TrustPort
- Common Files\eAcceleration
- Comodo Downloader
- Crystal Security
- DefenseWall
- Doctor Web
- DrWeb
- DrWeb AV-Desk
- DrWeb Enterprise Suite
- EMCO\Malware Destroyer 5
- EMCO\Malware Destroyer 6
- EMCO\Malware Destroyer 7
- EMCO\Malware Destroyer 8
- ESET
- ESTsoft\ALYac
- Elex-tech\YAC
- Emsisoft
- Emsisoft Anti-Malware
- Emsisoft Internet Security
- Essentware\PCKAV
- F-Secure
- FRISK Software
- File comuni\AVG Secure Search
- Filseclab
- Fortego Security
- Fortinet
- G DATA Software
- G Data
- GFI
- GlassWire
- GridinSoft Anti-Malware
- Grisoft
- HAURI
- IKARUS
- INCAInternet\nProtect Netizen v5.5
- INCAInternet\nProtect Online Security
- IObit
- Immunet
- Intel Security
- Jetico
- K7 Computing
- Kaspersky Lab
- Kerio
- Kingsoft\PCDoctor
- Lavasoft
- Loaris\Trojan Remover
- MPC Cleaner
- MSDL-MSDLAV
- Malware Defender
- Malwarebytes
- Malwarebytes Anti-Exploit
- Malwarebytes Anti-Malware
- Malwarebytes' Anti-Malware
- Mamutu
- McAfee
- McAfee Security Scan
- McAfee.com
- McAfeeMOBK
- MicroWorld
- Microsoft Forefront
- Microsoft Security Client
- Microsoft Security Essentials
- MinerGate
- MinerGate-service
- Moon Secure Antivirus
- N-able Technologies
- NANO Antivirus
- NETGATE\Amiti Antivirus
- NETGATE\FortKnox Personal Firewall
- NETGATE\Spy Emergency
- Net Protector 2011
- Net Protector 2014
- NetPolice
- Network Associates\VirusScan
- NetworkShield Firewall 3.0
- NoVirusThanks
- Nora Antimalware Scanner
- Norman
- Norton 360
- Norton Anti-Theft
- Norton AntiVirus
- Norton Internet Security
- Norton Security
- Norton Security Scan
- Norton Security with Backup
- NortonInstaller
- Online Armor
- OnlineArmor
- PC Tools
- PC Tools Firewall Plus
- PC Tools Security
- PSafe
- Padvish Antivirus
- Panda Security
- Panda Security URL Filtering
- PeerBlock
- Preventon Antivirus
- Privacyware
- Proland
- Proland Software
- Quick Heal
- Reason\Security
- Returnil
- Rising
- Roboscan
- Ruiware
- STOPzilla Optimizer
- STOPzilla!
- SUPERAntiSpyware
- SecuraLive Internet Security
- SecureAge
- Smadav
- Sophos
- SpyShelter
- SpyShelter Premium
- Spybot - Search & Destroy
- Spybot - Search & Destroy 2
- Spyware Doctor
- Spyware Terminator
- Steganos Online Shield
- StopSign
- Sygate\SPF
- Symantec AntiVirus
- Symantec.cloud
- Symantec\LiveUpdate
- Symantec\Symantec Endpoint Protection
- Symantec\Symantec Endpoint Protection Manager
- Tencent\QQPCMgr
- ThreatFire
- Tiranium AntiVirus
- Tizer Secure
- Total Defense
- TotalDefense
- TrafInsp
- Trend Micro
- Trend Micro Installer
- Trojan Remover
- TrojanHunter
- TrojanHunter 5.1
- TrojanHunter 5.2
- TrojanHunter 5.3
- TrojanHunter 5.4
- TrojanHunter 5.5
- TrojanHunter 5.6
- TrojanHunter 5.7
- TrojanHunter 5.8
- TrojanHunter 5.9
- TrustPort
- UPCleaner
- UnHackMe
- UnThreat
- UnThreat AntiVirus
- VIPRE
- Vba32
- VnSecurity 2008
- WRData
- Webroot
- WinPcap
- WinRoute Pro
- Winalysis
- Windows Defender
- Zillya Antivirus
- Zillya Internet Security
- Zillya! Internet Security
- avast
- eAcceleration
- eSafe
- eScan
- eScan Web Safe
- geswall
- kingsoft\kingsoft antivirus
- kingsoft\ksdef
- mks_vir_9
- nanoav
- nanolsp
- pandasecuritytb
- xCore Software
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs57 = "%Windows%\system32\netsh.exe winsock reset"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs32 = "%Windows%\system32\bcdedit.exe /set {current} recoveryenabled No"
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0
(Note: The default value data of the said registry entry is 5.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
PromptOnSecureDesktop = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
BootExecute = "autocheck autochk * {malware path and name}"
(Note: The default value data of the said registry entry is "autocheck autochk *".)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1
(Note: The default value data of the said registry entry is 0.)
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- fs32 = "%SystemRoot%\system32\bcdedit.exe /set {current} recoveryenabled No"
- fs32 = "%SystemRoot%\system32\bcdedit.exe /set {current} recoveryenabled No"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- fs57 = "%SystemRoot%\system32\netsh.exe winsock reset"
- fs57 = "%SystemRoot%\system32\netsh.exe winsock reset"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- aaa99 = "%Windows%\rdpinst.exe"
- aaa99 = "%Windows%\rdpinst.exe"
Step 3
Diesen geänderten Registrierungswert wiederherstellen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- From: ConsentPromptBehaviorAdmin = 5
To: ConsentPromptBehaviorAdmin = 0
- From: ConsentPromptBehaviorAdmin = 5
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- From: EnableLUA = 0
To: EnableLUA = 1
- From: EnableLUA = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- From: PromptOnSecureDesktop = 0
To: PromptOnSecureDesktop = 1
- From: PromptOnSecureDesktop = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
- From: BootExecute = "autocheck autochk * {malware path and name}"
To: BootExecute = "autocheck autochk *"
- From: BootExecute = "autocheck autochk * {malware path and name}"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: AntiVirusOverride = 1
To: AntiVirusOverride = 0
- From: AntiVirusOverride = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: FirewallOverride = 1
To: FirewallOverride = 0
- From: FirewallOverride = 1
Step 4
Diese Dateien suchen und löschen
- %Windows%\F5Ws94kb.txt
Step 5
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_CARBERP.YWQ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil