TROJ_AGENT_003930.TOMB

Ändert Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden. Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

File size: 1,298,482 bytes

File type: EXE

Memory resident: Oui

Date de réception des premiers échantillons: 07 juillet 2012

Installation

Erstellt die folgenden Ordner:

%Program Files%\KURBANN

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKLM = "%Program Files%\KURBANN\KURBAN.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HKCU = "%Program Files%\KURBANN\KURBAN.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}
StubPath = "%Program Files%\KURBANN\KURBAN.exe restart"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}
StubPath = "%Program Files%\KURBANN\KURBAN.exe"

Andere Systemänderungen

Ändert die folgenden Dateien:

%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.DTD

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Löscht die folgenden Dateien:

%User Profile%\Windows\X2FgnQuzZi.xtr
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSR.XML
%Windows%\SoftwareDistribution\DataStore\Logs\edbtmp.log

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\SOFTWARE\XtremeRAT

HKEY_CURRENT_USER\SOFTWARE\X2FgnQuzZi

HKEY_LOCAL_MACHINE\Software\Microsoft\
Active Setup\Installed Components\{NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Health\{2074369B-B363-4AC4-B177-41012897B353}

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
MMS

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
HTTP

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
RTSP

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Player\Skins\
res://wmploc/RT_TEXT/wmpdxm.wsz

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\NATCache

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\FirewallPortMappings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\webtv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\webtv\
DEBUG

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General\
LatchSet1

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General\
LatchSet1\bcb70510fba9f4ef628240f580e146f7

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\XtremeRAT
Mutex = "X2FgnQuzZi"

HKEY_CURRENT_USER\Software\X2FgnQuzZi
ServerStarted = "23/05/2012 09:24:30"

HKEY_CURRENT_USER\Software\X2FgnQuzZi
ServerName = "%Program Files%\KURBANN\KURBAN.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Enable = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Size = "a"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
InitHits = "64"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Factor = "14"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
UniqueID = "{DC158FC7-5370-4FDF-BA62-10DEF9C02164}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
ComputerName = "BRIAN-108E9A4A3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
VolumeSerialNumber = "fbdff95"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
MMS
ProxyStyle = "0"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
MMS
ProxyPort = "6db"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
MMS
ProxyBypass = "0"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
HTTP
ProxyStyle = "1"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
HTTP
ProxyPort = "5"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
HTTP
ProxyBypass = "0"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
RTSP
ProxyStyle = "0"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
RTSP
ProxyPort = "22a"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Preferences\ProxySettings\
RTSP
ProxyBypass = "0"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Player\Tasks\
NowPlaying
InitFlags = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
ActiveLatchSet = "b"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
FirstProtocol = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
SetTime = "5cda4f"

HKEY_CURRENT_USER\Software\Microsoft\
MediaPlayer\Player\Skins\
res://wmploc/RT_TEXT/wmpdxm.wsz
Prefs = "debug;Not Rocking Onward"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\NATCache
AddressHash = "8ac4d1ca"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\NATCache
HighDateTime = "1cd38c5"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\NATCache
LowDateTime = "e65c16c"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\NATCache
Result = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General\
LatchSet1\bcb70510fba9f4ef628240f580e146f7
FirstProtocol = "4"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General\
LatchSet1\bcb70510fba9f4ef628240f580e146f7
SetTime = "5cda5b"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
FirstProtocol = "4"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
SetTime = "5cda5b"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General\
LatchSet1\bcb70510fba9f4ef628240f580e146f7
Count = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General\
LatchSet1\bcb70510fba9f4ef628240f580e146f7
Time = "5cda5b"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
Count = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\General
Time = "5cda5b"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
Name = "webtv.EXE"

(Note: The default value data of the said registry entry is iexplore.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
ID = "4dc83981"

(Note: The default value data of the said registry entry is 41107b81.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\Namespace
LocalBase = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNS.XML.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\Namespace
DTDFile = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.DTD"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNS.DTD.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\Namespace
LocalDelta = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSD.XML"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSD.XML.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\Namespace
RemoteDelta = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSR.XML"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSR.XML.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
EventMessageFile = "%System%\ESENT.dll"

(Note: The default value data of the said registry entry is {random values}.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
CategoryMessageFile = "%System%\ESENT.dll"

(Note: The default value data of the said registry entry is {random values}.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
CategoryCount = "1"

(Note: The default value data of the said registry entry is 10.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
TypesSupported = "7"

(Note: The default value data of the said registry entry is 7.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
Name = "svchost.exe"

(Note: The default value data of the said registry entry is iexplore.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
ID = "4117ed6"

(Note: The default value data of the said registry entry is 41107b81.)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML.bak
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML.done
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSD.XML
%Program Files%\KURBANN\KURBAN.exe
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Moteur de scan minimum: 9.200

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Im abgesicherten Modus neu starten

[ learnMore ]

Step 3

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CURRENT_USER\SOFTWARE
- XtremeRAT

In HKEY_CURRENT_USER\SOFTWARE
- X2FgnQuzZi

In HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
- {NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
- CpMRU

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Health
- {2074369B-B363-4AC4-B177-41012897B353}

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences
- ProxySettings

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings
- MMS

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings
- HTTP

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings
- RTSP

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Skins
- res://wmploc/RT_TEXT/wmpdxm.wsz

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK
- NATCache

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK
- FirewallPortMappings

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process
- webtv

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\webtv
- DEBUG

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- LatchSet1

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General\LatchSet1
- bcb70510fba9f4ef628240f580e146f7

Den Registrierungsschlüssel löschen, den diese Malware/Grayware/Spyware erstellt hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>SOFTWARE
Suchen und löschen Sie den Schlüssel:
XtremeRAT
Suchen und löschen Sie den Schlüssel:
X2FgnQuzZi
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>Active Setup>Installed Components
Suchen und löschen Sie den Schlüssel:
{NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>International
Suchen und löschen Sie den Schlüssel:
CpMRU
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Health
Suchen und löschen Sie den Schlüssel:
{2074369B-B363-4AC4-B177-41012897B353}
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Preferences
Suchen und löschen Sie den Schlüssel:
ProxySettings
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Preferences>ProxySettings
Suchen und löschen Sie den Schlüssel:
MMS
Suchen und löschen Sie den Schlüssel:
HTTP
Suchen und löschen Sie den Schlüssel:
RTSP
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Player>Skins
Suchen und löschen Sie den Schlüssel:
res://wmploc/RT_TEXT/wmpdxm.wsz
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows Media>WMSDK
Suchen und löschen Sie den Schlüssel:
NATCache
Suchen und löschen Sie den Schlüssel:
FirewallPortMappings
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>ESENT>Process
Suchen und löschen Sie den Schlüssel:
webtv
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>ESENT>Process>webtv
Suchen und löschen Sie den Schlüssel:
DEBUG
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows Media>WMSDK>General
Suchen und löschen Sie den Schlüssel:
LatchSet1
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows Media>WMSDK>General>LatchSet1
Suchen und löschen Sie den Schlüssel:
bcb70510fba9f4ef628240f580e146f7
Schließen Sie den Registrierungs-Editor.

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM = "%Program Files%\KURBANN\KURBAN.exe"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU = "%Program Files%\KURBANN\KURBAN.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}
- StubPath = "%Program Files%\KURBANN\KURBAN.exe restart"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}
- StubPath = "%Program Files%\KURBANN\KURBAN.exe"

In HKEY_CURRENT_USER\Software\XtremeRAT
- Mutex = "X2FgnQuzZi"

In HKEY_CURRENT_USER\Software\X2FgnQuzZi
- ServerStarted = "23/05/2012 09:24:30"

In HKEY_CURRENT_USER\Software\X2FgnQuzZi
- ServerName = "%Program Files%\KURBANN\KURBAN.exe"

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- Enable = "1"

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- Size = "a"

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- InitHits = "64"

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- Factor = "14"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- UniqueID = "{DC158FC7-5370-4FDF-BA62-10DEF9C02164}"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- ComputerName = "BRIAN-108E9A4A3"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- VolumeSerialNumber = "fbdff95"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\MMS
- ProxyStyle = "0"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\MMS
- ProxyPort = "6db"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\MMS
- ProxyBypass = "0"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\HTTP
- ProxyStyle = "1"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\HTTP
- ProxyPort = "5"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\HTTP
- ProxyBypass = "0"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\RTSP
- ProxyStyle = "0"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\RTSP
- ProxyPort = "22a"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings\RTSP
- ProxyBypass = "0"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Tasks\NowPlaying
- InitFlags = "1"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- ActiveLatchSet = "b"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- FirstProtocol = "0"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- SetTime = "5cda4f"

In HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Skins\res://wmploc/RT_TEXT/wmpdxm.wsz
- Prefs = "debug;Not Rocking Onward"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\NATCache
- AddressHash = "8ac4d1ca"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\NATCache
- HighDateTime = "1cd38c5"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\NATCache
- LowDateTime = "e65c16c"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\NATCache
- Result = "0"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General\LatchSet1\bcb70510fba9f4ef628240f580e146f7
- FirstProtocol = "4"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General\LatchSet1\bcb70510fba9f4ef628240f580e146f7
- SetTime = "5cda5b"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- FirstProtocol = "4"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- SetTime = "5cda5b"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General\LatchSet1\bcb70510fba9f4ef628240f580e146f7
- Count = "1"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General\LatchSet1\bcb70510fba9f4ef628240f580e146f7
- Time = "5cda5b"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- Count = "1"

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General
- Time = "5cda5b"

Den Registrierungswert löschen, den diese Malware/Grayware/Spyware erstellt hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
HKLM = "%Program Files%\KURBANN\KURBAN.exe"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
HKCU = "%Program Files%\KURBANN\KURBAN.exe"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Active Setup>Installed Components>{NN1545RO-G0OW-M47C-Q42J-7J2MLKE26P75}
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
StubPath = "%Program Files%\KURBANN\KURBAN.exe restart"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
StubPath = "%Program Files%\KURBANN\KURBAN.exe"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>XtremeRAT
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Mutex = "X2FgnQuzZi"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>X2FgnQuzZi
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ServerStarted = "23/05/2012 09:24:30"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ServerName = "%Program Files%\KURBANN\KURBAN.exe"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>International>CpMRU
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Enable = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Size = "a"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
InitHits = "64"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Factor = "14"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows Media>WMSDK>General
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
UniqueID = "{DC158FC7-5370-4FDF-BA62-10DEF9C02164}"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ComputerName = "BRIAN-108E9A4A3"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
VolumeSerialNumber = "fbdff95"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Preferences>ProxySettings>MMS
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyStyle = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyPort = "6db"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyBypass = "0"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Preferences>ProxySettings>HTTP
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyStyle = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyPort = "5"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyBypass = "0"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Preferences>ProxySettings>RTSP
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyStyle = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyPort = "22a"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ProxyBypass = "0"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Player>Tasks>NowPlaying
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
InitFlags = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
ActiveLatchSet = "b"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
FirstProtocol = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
SetTime = "5cda4f"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>MediaPlayer>Player>Skins>res://wmploc/RT_TEXT/wmpdxm.wsz
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Prefs = "debug;Not Rocking Onward"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows Media>WMSDK>NATCache
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
AddressHash = "8ac4d1ca"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
HighDateTime = "1cd38c5"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
LowDateTime = "e65c16c"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Result = "0"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows Media>WMSDK>General>LatchSet1>bcb70510fba9f4ef628240f580e146f7
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
FirstProtocol = "4"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
SetTime = "5cda5b"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
FirstProtocol = "4"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
SetTime = "5cda5b"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Count = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Time = "5cda5b"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Count = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Time = "5cda5b"
Schließen Sie den Registrierungs-Editor.

Step 5

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
- From: Name = "webtv.EXE"
  To: Name = ""iexplore.exe""

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
- From: ID = "4dc83981"
  To: ID = ""41107b81""

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\Namespace
- From: LocalBase = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML"
  To: LocalBase = ""%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNS.XML""

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\Namespace
- From: DTDFile = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.DTD"
  To: DTDFile = ""%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNS.DTD""

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\Namespace
- From: LocalDelta = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSD.XML"
  To: LocalDelta = ""%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSD.XML""

In HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\Namespace
- From: RemoteDelta = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSR.XML"
  To: RemoteDelta = ""%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSR.XML""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: EventMessageFile = "%System%\ESENT.dll"
  To: EventMessageFile = ""{random values}""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: CategoryMessageFile = "%System%\ESENT.dll"
  To: CategoryMessageFile = ""{random values}""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: CategoryCount = "1"
  To: CategoryCount = ""10""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: TypesSupported = "7"
  To: TypesSupported = ""7""

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
- From: Name = "svchost.exe"
  To: Name = ""iexplore.exe""

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
- From: ID = "4117ed6"
  To: ID = ""41107b81""

Den Registrierungswert wiederherstellen, den diese Malware/Grayware/Spyware geändert hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>DirectDraw>MostRecentApplication
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Name = "webtv.EXE"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
Name = "iexplore.exe"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
ID = "4dc83981"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
ID = "41107b81"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows Media>WMSDK>Namespace
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
LocalBase = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
LocalBase = "%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNS.XML"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
DTDFile = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.DTD"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
DTDFile = "%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNS.DTD"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
LocalDelta = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSD.XML"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
LocalDelta = "%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSD.XML"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
RemoteDelta = "%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSR.XML"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
RemoteDelta = "%System Root%\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSR.XML"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Services>Eventlog>Application>ESENT
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
EventMessageFile = "%System%\ESENT.dll"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
EventMessageFile = "{random values}"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
CategoryMessageFile = "%System%\ESENT.dll"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
CategoryMessageFile = "{random values}"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
CategoryCount = "1"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
CategoryCount = "10"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
TypesSupported = "7"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
TypesSupported = "7"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Name = "svchost.exe"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
Name = "iexplore.exe"
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
ID = "4117ed6"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
ID = "41107b81"
Schließen Sie den Registrierungs-Editor.

Step 6

Diese Dateien suchen und löschen

[ learnMore ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML.bak
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML.done
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNSD.XML
%Program Files%\KURBANN\KURBAN.exe
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML

Step 7

Diesen Ordner suchen und löschen

[ learnMore ]

Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.

%Program Files%\KURBANN

Step 8

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TROJ_AGENT_003930.TOMB entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 9

Diese Datei über eine Sicherungskopie wiederherstellen Nur Microsoft basierte Dateien werden wiederhergestellt. Falls diese Malware/Grayware/Spyware auch Dateien aus Programmen gelöscht hat, die nicht von Microsoft stammen, installieren Sie diese Programme auf Ihrem Computer bitte neu.

%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.XML
%Application Data%\Microsoft\Windows Media\9.0\WMSDKNS.DTD

Participez à notre enquête!

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

TROJ_AGENT_003930.TOMB

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

Amérique

Moyen-Orient et Afrique

Europe

Asie-Pacifique