TROJ_FAVADD.SMI

Publish Date: 05 Oktober 2013

TrojanDownloader:Win32/VB.PX (Microsoft); :Generic.tfr!o (McAfee); Trojan-Dropper.Win32.VB.bbdf, Trojan-Dropper.Win32.VB.bbdf (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Trojan.Generic.6668712 (FSecure)

Plattform:

Windows 2000, Windows XP, Windows Server 2003

Risikobewertung (gesamt):

Schadenspotenzial::

Verteilungspotenzial::

reportedInfection:

Niedrig

Mittel

Hoch

Kritisch

Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja

Überblick

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Technische Details

Dateigröße: 192,512 bytes

Dateityp: EXE

Erste Muster erhalten am: 01 Oktober 2011

Andere Systemänderungen

Löscht die folgenden Dateien:

%Temporary Internet Files%\Content.IE5\2TPM8950\vplay[1].htm

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hdh

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hdh\DefaultIcon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hdh\shell\open\
command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.hdh

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hyx

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hyx\DefaultIcon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hyx\shell\open\
command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.hyx

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hpf

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hpf\DefaultIcon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hpf\shell\open\
command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.hpf

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htb

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htb\DefaultIcon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htb\shell\open\
command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.htb

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
h35

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
h35\DefaultIcon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
h35\shell\open\
command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.h35

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hli

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hli\DefaultIcon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hli\shell\open\
command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.hli

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu
{871C5380-42A0-1069-A2EA-08002B30309D} = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel
{871C5380-42A0-1069-A2EA-08002B30309D} = 1

Einschleusungsroutine

Schleust die folgenden Dateien ein:

%Desktop%\Internet Expleror.hdh
%Desktop%\?????.hyx
%System Root%\jies.bak.vbs
%System Root%\vplay.exe

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Lösungen

Mindestversion der Scan Engine: 9.200

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- hdh

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hdh
- DefaultIcon

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hdh\shell\open
- command

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- .hdh

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- hyx

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hyx
- DefaultIcon

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hyx\shell\open
- command

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- .hyx

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- hpf

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hpf
- DefaultIcon

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hpf\shell\open
- command

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- .hpf

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- htb

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htb
- DefaultIcon

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htb\shell\open
- command

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- .htb

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- h35

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\h35
- DefaultIcon

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\h35\shell\open
- command

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- .h35

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- hli

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hli
- DefaultIcon

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hli\shell\open
- command

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- .hli

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons
- ClassicStartMenu

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons
- NewStartPanel
Den Registrierungsschlüssel löschen, den diese Malware/Grayware/Spyware erstellt hat:
1. Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
2. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes
3. Suchen und löschen Sie den Schlüssel:
  hdh
4. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hdh
5. Suchen und löschen Sie den Schlüssel:
  DefaultIcon
6. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hdh>shell>open
7. Suchen und löschen Sie den Schlüssel:
  command
8. Suchen und löschen Sie den Schlüssel:
  .hdh
9. Suchen und löschen Sie den Schlüssel:
  hyx
10. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hyx
11. Suchen und löschen Sie den Schlüssel:
  DefaultIcon
12. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hyx>shell>open
13. Suchen und löschen Sie den Schlüssel:
  command
14. Suchen und löschen Sie den Schlüssel:
  .hyx
15. Suchen und löschen Sie den Schlüssel:
  hpf
16. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hpf
17. Suchen und löschen Sie den Schlüssel:
  DefaultIcon
18. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hpf>shell>open
19. Suchen und löschen Sie den Schlüssel:
  command
20. Suchen und löschen Sie den Schlüssel:
  .hpf
21. Suchen und löschen Sie den Schlüssel:
  htb
22. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>htb
23. Suchen und löschen Sie den Schlüssel:
  DefaultIcon
24. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>htb>shell>open
25. Suchen und löschen Sie den Schlüssel:
  command
26. Suchen und löschen Sie den Schlüssel:
  .htb
27. Suchen und löschen Sie den Schlüssel:
  h35
28. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>h35
29. Suchen und löschen Sie den Schlüssel:
  DefaultIcon
30. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>h35>shell>open
31. Suchen und löschen Sie den Schlüssel:
  command
32. Suchen und löschen Sie den Schlüssel:
  .h35
33. Suchen und löschen Sie den Schlüssel:
  hli
34. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hli
35. Suchen und löschen Sie den Schlüssel:
  DefaultIcon
36. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_LOCAL_MACHINE>SOFTWARE>Classes>hli>shell>open
37. Suchen und löschen Sie den Schlüssel:
  command
38. Suchen und löschen Sie den Schlüssel:
  .hli
39. Doppelklicken Sie im linken Fensterbereich auf:
  HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>HideDesktopIcons
40. Suchen und löschen Sie den Schlüssel:
  ClassicStartMenu
41. Suchen und löschen Sie den Schlüssel:
  NewStartPanel
42. Schließen Sie den Registrierungs-Editor.

Step 3

Diesen Registrierungswert löschen

[ learnMore ]

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
- {871C5380-42A0-1069-A2EA-08002B30309D}=1

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
- {871C5380-42A0-1069-A2EA-08002B30309D}=1

Step 4

Diese Dateien suchen und löschen

[ learnMore ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

%Desktop%\Internet Expleror.hdh
%Desktop%\?????.hyx
%System Root%\jies.bak.vbs
%System Root%\vplay.exe

Step 5

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_FAVADD.SMI entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Nehmen Sie an unserer Umfrage teil

TROJ_FAVADD.SMI

Überblick

Technische Details

Lösungen

Ressourcen

Support

Über Trend

Hauptniederlassung DACH

TROJ_FAVADD.SMI

Überblick

Technische Details

Lösungen

Ressourcen

Support

Über Trend

Hauptniederlassung DACH

Nord-, Mittel- und Südamerika

Naher Osten und Afrika

Europa

Asien-Pazifik