TROJ_FAKEAV.GZD

Leitet Dateien durch Hinzufügen bestimmter Registrierungseinträge um. Dadurch kann diese Malware ausgeführt werden, auch wenn andere Anwendungen geöffnet sind.

Ändert Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren. Dadurch kann diese Malware ihre Routinen ausführen, ohne von der Windows Firewall entdeckt zu werden. Erstellt bestimmte Registrierungseinträge, um Sicherheitsanwendungen zu deaktivieren.

Löscht sich nach der Ausführung selbst.

Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.

Dateigröße: 344,064 bytes

Dateityp: EXE

Speicherresiden: Ja

Erste Muster erhalten am: 13 April 2011

Schadteil: Disables applications related to security, Bypasses Windows Firewall, Connects to websites/IPs, Displays fake alert messages

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

%User Profile%\Local Settings\Application Data\{random 3 letters}.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Leitet Dateien um, damit sie beim Zugriff auf bestimmte Dateitypen ausgeführt wird, indem sie die folgenden Einträge hinzufügt:

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%User Profile%\Local Settings\Application Data\{random 3 letters}.exe" -a "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
(Default) = ""%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = ""%1" %*"

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
(Default) = ""%User Profile%\Local Settings\Application Data\{random 3 letters}.exe" -a "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
IsolatedCommand = ""%1" %*"

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
(Default) = ""%1" %*"

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
IsolatedCommand = ""%1" %*"

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
(Default) = ""%User Profile%\Local Settings\Application Data\{random 3 letters}.exe" -a "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
IsolatedCommand = ""%1" %*"

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
(Default) = ""%1" %*"

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
IsolatedCommand = ""%1" %*"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\.exe\shell

HKEY_CLASSES_ROOT\.exe\shell\
open

HKEY_CLASSES_ROOT\.exe\shell\
open\command

HKEY_CLASSES_ROOT\.exe\shell\
runas

HKEY_CLASSES_ROOT\.exe\shell\
runas\command

HKEY_CURRENT_USER\Software\Classes\
.exe\shell

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command

HKEY_CURRENT_USER\Software\Classes\
exefile\shell

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command

HKEY_CURRENT_USER\Software\Microsoft\
Internet Connection Wizard

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Connection Wizard
ShellNext = "http://{BLOCKED}qag.com/10170004131137353284"

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = ""%User Profile%\Local Settings\Application Data\{random 3 letters}.exe" -a "%1" %*"

(Note: The default value data of the said registry entry is "%1" %*.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%User Profile%\Local Settings\Application Data\{random three letter}.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%User Profile%\Local Settings\Application Data\{random three letter}.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%User Profile%\Local Settings\Application Data\{random three letter}.exe" -a "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is "%Program Files%\Internet Explorer\iexplore.exe".)

Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

(Note: The default value data of the said registry entry is 0.)

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"

Erstellt die folgenden Registrierungseinträge, um Sicherheitsanwendungen zu deaktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

Einschleusungsroutine

Schleust die folgenden Dateien ein:

%System Root%\Documents and Settings\All Users\Application Data\2335886254
%User Profile%\Local Settings\Application Data\2335886254
%User Temp%\2335886254
%User Profile%\Templates\2335886254

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Details

Löscht sich nach der Ausführung selbst.

Rogue-Antiviren-Routine

Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.

Mindestversion der Scan Engine: 8.900

Erste VSAPI Pattern-Datei: 7.970.04

Erste VSAPI Pattern veröffentlicht am: 13 April 2011

VSAPI OPR Pattern-Version: 7.971.00

VSAPI OPR Pattern veröffentlicht am: 13 April 2011

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Dateien erkennen und deaktivieren, die als TROJ_FAKEAV.GZD entdeckt wurden

[ learnMore ]

Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier.
Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.

Step 3

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CLASSES_ROOT\.exe\shell
- runas
In HKEY_CURRENT_USER\Software\Classes\.exe
- shell
In HKEY_CURRENT_USER\Software\Classes\exefile
- shell
In HKEY_CURRENT_USER\Software\Microsoft
- Internet Connection Wizard

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CLASSES_ROOT\exefile\shell\open\command
- IsolatedCommand = "%1 %*"
In HKEY_CLASSES_ROOT\exefile\shell\runas\command
- IsolatedCommand = "%1 %*"
In HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command
- (Default) = "%User Profile%\Local Settings\Application Data\{random 3 letters}.exe -a %1 %*"
In HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command
- IsolatedCommand = "%1 %*"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- EnableFirewall = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- DoNotAllowExceptions = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- DisableNotifications = "1"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = "1"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusOverride = "1"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallDisableNotify = "1"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallOverride = "1"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UpdatesDisableNotify = "1"

Den Registrierungswert löschen, den diese Malware/Grayware/Spyware erstellt hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CLASSES_ROOT>exefile>shell>open>command
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
IsolatedCommand = "%1 %*"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CLASSES_ROOT>exefile>shell>runas>command
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
IsolatedCommand = "%1 %*"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Classes>exefile>shell>open>command
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
(Default) = "%User Profile%\Local Settings\Application Data\{random 3 letters}.exe -a %1 %*"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
IsolatedCommand = "%1%*"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>DomainProfile
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
EnableFirewall = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
DoNotAllowExceptions = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
DisableNotifications = "1"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
AntiVirusDisableNotify = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
AntiVirusOverride = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
FirewallDisableNotify = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
FirewallOverride = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
UpdatesDisableNotify = "1"
Schließen Sie den Registrierungs-Editor.

Step 5

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CLASSES_ROOT\exefile\shell\open\command
- From: (Default) = "%User Profile%\Local Settings\Application Data\{random 3 letters}.exe -a %1 %*"
  To: (Default) = "%1 %*"
In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
- From: (Default) = "%User Profile%\Local Settings\Application Data\{random 3 letters}.exe -a %Program Files%\Mozilla Firefox\firefox.exe"
  To: (Default) = "%Program Files%\Mozilla Firefox\firefox.exe"
In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
- From: (Default) = %User Profile%\Local Settings\Application Data\{random 3 letters}.exe -a %Program Files%\Mozilla Firefox\firefox.exe -safe-mode
  To: (Default) = %Program Files%\Mozilla Firefox\firefox.exe -safe-mode
In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
- From: (Default) = "%User Profile%\Local Settings\Application Data\{random 3 letters}.exe -a %Program Files%\Internet Explorer\iexplore.exe"
  To: (Default) = "%Program Files%\Internet Explorer\iexplore.exe"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: EnableFirewall = "0"
  To: EnableFirewall = "1"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: DisableNotifications = "1"
  To: DisableNotifications = "0"

Ausführung der Malware/Grayware/Spyware beenden, wenn bestimmte Dateien geöffnet sind:

Öffnen Sie das Fenster Ausführen. Klicken Sie dazu auf Start > Ausführen.
Geben Sie in das Feld Öffnen folgenden Befehl ein:
command /c copy %WinDir%egedit.exe regedit.com | regedit.com
Drücken Sie die Eingabetaste. Der Registrierungs-Editor wird geöffnet.
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
- HKEY_CLASSES_ROOT>exefile>shell>open>command
- HKEY_LOCAL_MACHINE>SOFTWARE>Clients>StartMenuInternet>FIREFOX.EXE>shell>open>command
- HKEY_LOCAL_MACHINE>SOFTWARE>Clients>StartMenuInternet>FIREFOX.EXE>shell>safemode>command
- HKEY_LOCAL_MACHINE>SOFTWARE>Clients>StartMenuInternet>IEXPLORE.EXE>shell>open>command
- HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Standard
Überprüfen Sie, ob der Wert dem Pfad und Dateinamen der Malware-/Grayware-/Spyware-Datei entspricht.
Wenn es sich beim Wert um die Malware-/Grayware-/Spyware-Datei handelt, klicken Sie mit der rechten Maustaste auf den Schlüssel Standard, und wählen Sie Ändern, um seinen Wert zu ändern.
Löschen Sie im Eingabefeld Wert den vorhandenen Eintrag, und geben Sie den Standardwert ein:
%1 %*
Wiederholen Sie diesen Schritt für die folgenden Registrierungsschlüssel:
Schließen Sie den Registrierungs-Editor.
Klicken Sie auf Start > Ausführen, und geben Sie folgenden Befehl ein:
command /c del regedit.com
Drücken Sie die Eingabetaste.

Step 6

Diese Datei suchen und löschen

[ learnMore ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

%System Root%\Documents and Settings\All Users\Application Data\2335886254
%User Profile%\Local Settings\Application Data\2335886254
%User Temp%\2335886254
%User Profile%\Templates\2335886254

Step 7

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_FAKEAV.GZD entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Nehmen Sie an unserer Umfrage teil

Überblick

Technische Details

Lösungen

Ressourcen

Support

Über Trend

Hauptniederlassung DACH

TROJ_FAKEAV.GZD

Überblick

Technische Details

Lösungen

Ressourcen

Support

Über Trend

Hauptniederlassung DACH

Nord-, Mittel- und Südamerika

Naher Osten und Afrika

Europa

Asien-Pazifik