Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Trojan.Padodor.C


Alias: Troj/Padodor-C, Backdoor.Padodor.l, BackDoor-AXJ trojan, Backdoor.Berbew


Trojan.Padodor.C ist ein passwortstehlender Proxy- und Backdoor Trojan, der sich selbst
mit einem Random-Filename als .DLL und einer .EXE-Endung in das Windows-Systemverzeichnis
kopiert.

Die .DLL ist als ein .COM-Object im Registrier-Eintrag gekennzeichnet:

HKCR\CLSID\(79FB9088-19CE-715E-D900-216290C5B738)
HKCR\CLSID\(79FB9088-19CE-715E-D900-216290C5B738)\InProcServer32\
HKCR\CLSID\(79FB9088-19CE-715E-D900-216290C5B738)\InProcServer32\@ =
HKCR\CLSID\(79FB9088-19CE-715E-D900-216290C5B738)\InProcServer32\ThreadingModel = "Apartment"

Um diese .DLL zu starten, wird folgender Eintrag erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObject
DelayLoad\Web Event Logger = (79FB9088-19CE-715E-D900-216290C5B738)

In einem Log-File werden Passwörter gespeichert.

Die folgenden Registrier-Einträge werden auch noch hinzugefügt:

HKCU\Software\Microsoft\Internet Explorer\Main\Use FormSuggest = "yes"

HKCU\Software\Microsoft\Internet Explorer\Main\FormSuggest
Passwords = "yes"

HKCU\Software\Microsoft\Internet Explorer\Main\FormSuggest
PW Ask = "yes"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete\
AutoSuggest = "yes"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNew
Process\BrowseNewProcess = "yes"

HKLM\SOFTWARE\Microsoft\IE4\MGR = "ID11x-"

Folgende Aktionen kann Trojan.Padodore.C durchführen:

Restart oder shutdown des Computers
Anzeige einer Liste der aktuellen Prozesse
Prozesse beenden bzw. deaktivieren
System-Informationen anzeigen
Ausführen eines von einer bestimmten Internet-Adresse heruntergeladenen Files
Passwörter stehlen






Entfernung:

Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Löschen Sie den Wert in der Registry.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und
drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie die Einträge:

HKCR\CLSID\\InProcServer32

(wobei COM-Object number 79FB9088-19CE-715E-D900-216290C5B738 ist)

Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\Web Event Logger
=""

(wobei COM-Object number 79FB9088-19CE-715E-D900-216290C5B738 ist)

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.








Linktipps: Webdesign Aus Berlin