quote: | Originally posted by Reaktor
Dann nimm dir halt die Symantec !!! |
NEVER ever Symantec !!!!!!!!!!!!!!!!!!!!!
aktuelles Bsp von heute.
Schwiegervater hat Symantec mit aktuellstem UpDate.
Und was fängt er sich ein ?
quote: |
http://www.sophos.de/virusinfo/anal...rojtofgeru.html
Troj/Tofger-U ist ein Trojaner, der aus mehreren Komponenten besteht.
Der Haupt-Dropper beendet zunächst Prozesse mit dem Namen WINUPD.EXE und legt 3 Dateien ab. Er legt die Trojaner-Komponente zum Speichern von Tastenfolgen als Datei namens WINUPD.EXE im Windows-Ordner ab, die ebenfalls als Troj/Tofger-U erkannt wird. Er legt außerdem eine DLL-Komponente für die Komponente zum Speichern von Tastenfolgen im Windows-Ordner namens CMD32.DLL ab, die als Troj/Tofger-I erkannt wird. Des Weiteren legt er eine Komponente zum Beenden von Prozessen als STROPEN.EXE im Windows-Ordner ab, die als Troj/KillProc-D erkannt wird.
Der Haupt-Dropper erstellt den folgenden Registrierungseintrag, so dass die Trojanerkomponente zum Speichern von Tastenfolgen beim Systemstart als WINUPD.EXE abgelegt wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Upgrade Service
Der Haupt-Dropper führt dann die Trojaner-Komponente zum Speichern von Tastenfolgen aus, die als WINUPD.EXE abgelegt wurde, bevor er versucht, sich selbst zu löschen.
Die Trojaner-Komponente zum Speichern von Tastenfolgen registriert sich als Dienstprozess und löscht alle URL-Einträge im Cache-Speicher. Sie speichert dann Tastenfolgen, den Inhalt der Zwischenablage und Daten, die sie in bestimmten Fenstern gefunden hat, in einer Datei im Windows-Ordner namens SDSINI.INI.
In regelmäßigen Abständen startet diese Komponente die Komponente zum Beenden von Prozessen, die als STROPEN.EXE abgelegt wurde, und versucht dann, die gespeicherten Daten per E-Mail mit Hilfe seiner eigenen SMTP-Engine an die Adresse x00x@list.ru zu senden.
Nacher einer bestimmten Zeit versucht Troj/Tofger-U, sich selbst vom System zu löschen.
|
also wenn anständiges AntiViren Tool, dann:
G-Data http://g-data.de/trade/productview/472/3/
(hat ne eigene PLUS die Kaspersky AV engine)
Kaspersky
Panda
und vielleicht noch grade so McAffe
alles andere kannste vergessen !!!!
|