Troj/BankAsh-A

Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.

Ändern Sie alle Daten, die möglicherweise gestohlen wurden. Sie sollten außerdem Ihre Internet Explorer Einstellungen über Extras|Internetoptionen|Allgemein auf Änderungen des Trojaners überprüfen. Ersetzen Sie die Hosts-Datei durch eine Sicherungskopie oder bearbeiten Sie sie in Notepad, um die Änderungen des Trojaners rückgängig zu machen.

Troj/BankAsh-A ist ein Banker- und Kennwort stehlender Trojaner. Troj/BankAsh-A spioniert den Internet-Zugriff eines Anwenders aus. Wenn bestimmte Banken- und Finanzwebsites aufgerufen werden, kann der Trojaner eine gefälschte Login-Seite anzeigen oder Tastenfolgen speichern, um Anwendernamen- und Kennwortdaten zu stehlen. Das Ziel sind folgende Banken: Barclays, Cahoot, Halifax, HSBC, Lloyds TSB, Nationwide, NatWest, Smile Der Trojaner kann auch E-Mail-Login-Details und Kennwörter aus dem geschützten Speicher stehlen. Troj/BankAsh-A sendet regelmäßig die gestohlenen Details an einen remoten FTP-Speicherort. Troj/BankAsh-A legt eine DLL namens ASH.DLL im Windows-Systemordner ab. Diese Datei wird ebenfalls als Troj/BankAsh-A erkannt. Der Trojaner registiert die DLL. An folgenden Stellen werden Registrierungseinträge erstellt: HKCR\CLSID\(C6176B04-8896-4446-9939-E00EE94C420F)
HKCR\AntiSpy.AntiSpy
HKCR\AntiSpy.AntiSpy.1 Die DLL registriert sich als Interface namens "IIEHlprObj" sowie als Type Library namens "AS 0.96 Type Library". Folgende Registrierungseinträge werden erstellt: HKCR\Interface\(17A45F93-AEC8-440B-AC33-1BA9CC3192AC)
HKCR\TypeLib\(D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F) Troj/BankAsh-A ändert die Startseite des Internet Explorers, indem er folgende Registrierungseinträge erstellt: HKCU\Software\Microsoft\Internet Explorer\Main
Start Page
about:blank HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page
about:blank Troj/BankAsh-A versucht, die Anwendung Microsoft AntiSpyware zu deaktivieren oder zu beenden. Der Trojaner löscht den folgenden Registrierungseintrag, sofern er existiert: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gcasServ Der Trojaner versucht außerdem, folgende Prozesse im Zusammenhang mit Microsoft AntiSpyware zu beenden: GCASCLEANER
GCASDTSERV
GCASINSTALLHELPER
GCASNOTICE
GCASSERV
GCASSERVALERT
GCASSWUPDATER
GCIPTOHOSTQUEUE
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER Troj/BankAsh-A versucht, Warnungen zu unterdrücken, die von Microsoft AntiSpyware angezeigt werden können. Er löscht außerdem alle Dateien im Ordner namens "C:\Program Files\Microsoft AntiSpyware". Troj/BankAsh-A kann versuchen, den Zugriff auf zahlreiche Websites zu verwehren, indem er die HOSTS-Datei im Windows-Ordner oder im Ordner "%SYSTEM%\drivers\etc" verändert. Troj/BankAsh-A kann Updates von sich selbst herunterladen und starten. Troj/BankAsh-A versucht, die Registrierung einer DLL namens IEHELPER.DLL im Windows-Systemordner aufzuheben und diese DLL zu löschen.