TROJ_NEUREVT.X
Trojan:Win32/Skeeyah.A!rfn (Microsoft)
Windows
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Löscht sich nach der Ausführung selbst.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %ProgramData%\Windows Search 5.3.10\{random filename}.exe (for Windows Vista and above)
- %Program Files%\Common Files\Windows Search 5.3.10\{random filename}.exe (for Windows XP and below)
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Schleust die folgenden Dateien ein:
- %User Temp%\{random filename}.js
- %User Temp%\{random filename 1}
- %User Temp%\{random filename 2}
- %User Temp%\br.gif
- %User Temp%\css_injector_13.css
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %ProgramData%\Windows Search 5.3.10 (for Windows Vista and above)
- %Program Files%\Common Files\Windows Search 5.3.10 (for Windows XP and below)
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Search 5.3.10 = "%Program Files%\Common Files\Windows Search 5.3.10\{random filename}.exe" (for Windows XP and below)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Search 5.3.10 = "%Program Files%\Common Files\Windows Search 5.3.10\{random filename}.exe" (for Windows XP and below)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
Windows Search 5.3.10 = "%ProgramData%\Windows Search 5.3.10\{random filename}.exe" (for Windows Vista and above)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Search 5.3.10 = "%ProgramData%\Windows Search 5.3.10\{random filename}.exe" (for Windows Vista and above)
Fügt die folgenden "Image File Execution Options"-Registrierungseinträge hinzu, um sich beim Starten bestimmter Anwendungen automatisch selbst auszuführen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{filename}.exe
Debugger = ""%ProgramData%\Windows Search 5.3.10\{random filename}.exe" /uac /ifeo" (for Windows Vista and above)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{filename}.exe
Debugger = ""%Program Files%\Common Files\Windows Search 5.3.10" /uac /ifeo" (for Windows XP and below)
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\AppDataLow\
Software\{UID}
HKEY_CURRENT_USER\Software\AppDataLow\
Software\MyMailClient
HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater (for Windows Vista and above)
HKEY_CURRENT_USER\Software\Logitech, Inc. (for Windows XP and below)
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"
HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater
LastUpdate = "{hex values}" (for Windows Vista and above)
HKEY_CURRENT_USER\Software\Logitech, Inc.
WindowLayout = "{hex values}" (for Windows XP and below)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"
Andere Details
Löscht sich nach der Ausführung selbst.
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Im abgesicherten Modus neu starten
Step 6
Diesen Ordner suchen und löschen
- %ProgramData%\Windows Search 5.3.10 (for Windows Vista and above)
- %Program Files%\Common Files\Windows Search 5.3.10 (for Windows XP and below)
Step 7
Diese Dateien suchen und löschen
- %User Temp%\{random filename}.js
- %User Temp%\{random filename 1}
- %User Temp%\{random filename 2}
- %User Temp%\br.gif
- %User Temp%\css_injector_13.css
- %User Temp%\{random filename}.js
- %User Temp%\{random filename 1}
- %User Temp%\{random filename 2}
- %User Temp%\br.gif
- %User Temp%\css_injector_13.css
Step 8
Sicherheitseinstellungen für das Internet wiederherstellen
Step 9
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TROJ_NEUREVT.X entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil