Troj/Zlob-QK

Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.

Troj/Zlob-QK ist ein Trojaner für die Windows-Plattform.

Der Trojaner gibt vor, ein Installer für einen Video Codec zu sein. Wenn er gestartet wird, versucht er, zusätzliche Komponenten herunterzuladen und zu installieren.

Wenn er installiert wird, werden Pop-Ups und Meldungen angezeigt, die Benutzer vor viralen Infektionen und der Präsenz von Adware/Spyware warnen. Benutzer werden aufgefordert, potentiell betrügerische Antispyware- und Antiviren-Produkte herunterzuladen oder zu kaufen.

Wenn er gestartet wird, erstellt er folgende Dateien:

<Programme>\IntCodec\iesplugin.dll
<Programme>\IntCodec\iesuninst.exe
<Programme>\IntCodec\isaddon.dll
<Programme>\IntCodec\isamini.exe
<Programme>\IntCodec\isamonitor.exe
<Programme>\IntCodec\isauninst.exe
<Programme>\IntCodec\pmmon.exe
<Programme>\IntCodec\pmsngr.exe
<Programme>\IntCodec\pmuninst.exe
<Programme>\IntCodec\uninst.exe
<System>\viruxz.dll

Diese Dateien werden als Troj/Zlob-QK erkannt.

Folgende Dateien werden ebenfalls erstellt, die einfach gelöscht werden können:

<Desktop>\Online Security Guide.url
<Desktop>\Security Troubleshooting.url
<Benutzer>\Start Menu\Online Security Guide.url
<Benutzer>\Start Menu\Security Troubleshooting.url
<Favoriten>\Online Security Test.url
<Programme>\IntCodec\ts.ico
<Programme>\IntCodec\ot.ico

Folgende Registrierungseinträge werden erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
homepage.monitor.exe
<Programme>\IntCodec\isamonitor.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
pmsngr.exe
<Programme>\IntCodec\pmsngr.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
bestreak
(874443fe-aa33-4ebf-a6ac-73208787e62d)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
bestreak
(874443fe-aa33-4ebf-a6ac-73208787e62d)

Die Dateien iesplugin.dll, isaddon.dll und viruxz.dll werden als COM-Objekte registriert, indem Registrierungseinträge an folgenden Stellen erstellt werden:

HKCR\CLSID\(a2595f37-48d0-46a1-9b51-478591a97764)
HKCR\CLSID\(874443fe-aa33-4ebf-a6ac-73208787e62d)
HKCR\CLSID\(1da7dbe8-c51b-4ae4-bc6e-21863349b0b4)

Die Datei iesplugin.dll wird als eine Werkzeugleiste registriert, indem Registrierungseinträge an folgenden Stellen erstellt werden:

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\(A2595F37-48D0-46A1-9B51-478591A97764)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\(a2595f37-48d0-46a1-9b51-478591a97764)

Die Datei isaddon.dll wird als ein Browser Helper Object (BHO) für den Microsoft Internet Explorer registriert, indem Registrierungseinträge an folgender Stelle erstellt werden:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\(1da7dbe8-c51b-4ae4-bc6e-21863349b0b4)

Der Trojaner verändert Einstellungen für den Microsoft Internet Explorer, indem Einträge an folgender Stelle verändert werden:

HKCU\Software\Microsoft\Internet Explorer\Main\

Der folgende Registrierungseintrag wird erstellt:

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
(01E04581-4EEE-11D0-BFE9-00AA005B4383)
<BINARY>

Registrierungseinträge werden an folgenden Stellen erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IntCodec\
HKCU\Software\Internet Security\
HKCR\VSEnchancer.Chl\CLSID\
HKCR\AVZipEnchancer.Chl\CLSID\

Der Trojaner enthält eine Deinstallationsoption, auf die über den Dialog "Software" in der Windows Systemsteuerung zugegriffen werden kann. Die Software wird aufgelistet als: "Public Messenger ver 2.03", "Internet Security Add-On", "Internet Explorer Security Plugin 2006" und "IntCodec 6.0".