Falscher Virenalarm in regedit.exe

Friday, June 29. 2007

Falscher Virenalarm in regedit.exe

Hui, da hat mich mein Virenscanner ganz schön aufgeschreckt. Angeblich leidet meine C:\Windows\regedit.exe unter dem bösen Virus Trojan.Win32.Pakes.x3. Aber nach kurzem Vergleich mit anderen Windows XP Systemen gibt es Entwarnung, die Datei hat die richtige MD5-Summe:
regedit.exe 8193ce5fb09e83f2699fd65bbcbe2fd2

Also kein Virus sondern falscher Alarm von AVK bzw. von der Kaspersky Engine.

Update:
GDATA hat mir bestätigt, dass es sich um einen falschen Alarm handelt.

Posted by Sebastian in Rechner und Netz at 22:03 | Comments (7) | Trackbacks (0)

Defined tags for this entry: avk, kaspersky, regedit.exe, trojaner, virus

Related entries by tags:

Windows updaten - aber fix!

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

Display comments as (Linear | Threaded)

hm... ich meine, da hätt ich auch mal was bei heise drüber gelesen...

#1 Lena (Homepage) on 2007-06-29 22:15

ich hoffe Du hast Recht. Ich habe die gleiche Meldung beim Scan erhalten. Die Datei war in Quarantäne, wurde desinfisziert und zurück geschoben. Noch einmal gescannt - scheint alles okay zu sein.

Im Internet fand ich allerdings den begriff "Backdoor"- klingt nicht gut.

Viele Grüße

Oliver

#2 Oliver (Homepage) on 2007-06-30 08:02

Ganz sicher eine Falschmeldung, ganz sicher ...

#3 Lucinda Liberty on 2007-06-30 10:01

Habe gestern die identische Meldung von Kaspersky. Auch heute meldet Kaspersky die regedit.exe als Trojaner. Mal sehen wann Kaspersky das behebt

#4 Torsten on 2007-06-30 10:36

Achtung!! Unbedingt Virenscanner aktualisieren!! Der Trojaner infiziert die regedit.exe, wird aber von Kaspersky (oder anderen aktuellen Virenscannern) erkannt! Falls eine Infektion gemeldet wird, sofort vom Virenprogramm löschen lassen. Die Regedit.exe kann von der Windows CD wiederhergestellt werden.
Der Virus scheint neu zu sein, Infos über Trojan.Win32.Pakes.x3 sind erst seit heute im Netz!
Mich hats gestern abend erwischt, ich konnte gestern noch keine Infos darüber finden. Dank täglicher Updates vom Kaspersky Virenscanner konnte ich ihn aber abfangen + löschen.

Quelle:
http://www.ikarus-software.at/
Trojan.Win32.Pakes

Aliases: W32.Opanki.D

Betroffene Systeme:
Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003

Infektionslänge: 213kBytes

Kurzbeschreibung:

Installiert sich in die Registry

Benutzt den AOL Messenger um sich zu verbreiten

--------------------------------------------------------------------------------

Nachdem der wurm aktiviert wurde, erzeugt dieser die Datei itunes.exe im Windows Ordner.

Um den Wurm bei jedem Start von Windows zu aktivieren, trägt dieser die soeben erstellte Datei in die Registry ein. Für diesen Zweck erzeugt der Wurm den Wert „Itunes“ in den folgenden Registry Keys:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

Verbindet sich mit dem IRC Kanal #fate auf dem Server xyz.legi0n.net und benutzt dabei TCP Port 4888.
Kann sich der Wurm erfolgreich verbinden, so wird eine infizierte Datei herunter geladen.

Um sich zu verbreiten, benutzt der Wurm den AOL Messenger. Für diesen Zweck sendet der Wurm eine Nachricht, welche einen infizierten Link enthält, an alle Kontakte.

Manuelle Entfernung

Um den Wurm manuell zu entfernen, sind die folgenden Schritte notwendig.

Löschen der erzeugten Registry Einträge:

Start > Ausführen
Eingeben des Befehls regedit und bestätigen mit OK

Nun löschen Sie den Wert:

„Itunes“ = „%Windir%itunes.exe“

in den folgenden Registry Keys:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

Gruss Poison

#5 Poison on 2007-06-30 13:12

Nochmal: Kaspersky/AVK liefert falschen Alarm für regedit.exe. Von dem her die Datei nicht löschen sondern höchstens Verschieben und nach einem Update der Virensignaturen noch einmal scannen. Die Signaturen sollten entzwischen geupdatet sein.

#5.1 Sebastian (Homepage) on 2007-06-30 13:28

Noch etwas:

Quelle: http://www.avira.com/de/threats/section/fulldetails/id_vir/1974/tr_...

Verbreitungsmethode:
• Keine eigene Verbreitungsroutine

Aliases:
• Mcafee: Downloader-AAP
• Kaspersky: Trojan.Win32.Pakes
• TrendMicro: TROJ_YABE.O
• Sophos: Troj/Sickbt-E
• Bitdefender: Trojan.Downloader.Small.ANM

Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Auswirkungen:
• Erstellt eine potentiell gefährliche Datei

Dateien Es wird folgende Datei erstellt:

– %SYSDIR%sysldr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/TComBill.O.2

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLMSOFTWAREMicrosoftWindowsCurrentVersion
ShellServiceObjectDelayLoad]
• "sysldr"="{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}"

– [HKCRCLSID{CEEAEC00-D220-40E6-A4AD-A3CEA4AD27B8}InprocServer32]
• @="sysldr.dll"

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Gruss Poison

#6 Poison on 2007-06-30 13:31

Add Comment

Name
Email
Homepage
In reply to
Comment	Standard emoticons like :-) and ;-) are converted to images. E-Mail addresses will not be displayed and will only be used for E-Mail notifications. BBCode format allowed
	Remember Information?