1. #1
    Lt. Commander
    Dabei seit
    Jan 2008
    Beiträge
    1.734

    Spybot findet Trojaner Hupigon in Kaspersky-Reg-Eintrag?!

    Nichtsahnend wollte ich einfach mal Spybot durchlaufen lassen, und dann am Ende folgendes:
    2 Einträge Trojan "Hupigon13"

    Die Registry-Einträge lauten:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
    und
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (64bit)
    Angeblich geht von den Einträgen "Image File Execution" nur dann eine Gefahr aus, wenn statt der angegebenen Datei (in diesem falle avp.exe, d.h. Kaspersky) durch Manipulation ein Debugger gestartet wird, was jede beliebige *.exe sein könnte; diese Datei hätte dann vollen Systemzugriff. Es stehen bei beiden Einträgen keine anderen Dateien, die gestartet würden.

    In der Registry steht nur
    (Standard) REG_SZ [leer]
    GlobalFlag REG_SZ 0x100
    PageHeapFlags REG_SZ 0x203
    PageHeapRandomProbability REG_DWORD 0x0000000a (10)
    , der Eintrag zu avp.exe (64bit) existiert nicht.

    Ich vermute, dass es sich um einen False Positive handelt, denn offenbar kommen Spybot und auch HighJackthis nicht mit Windows 7 Pro 64bit (RTM) bzw. KIS 2010 (9.0.0.723 Beta) klar. Das erkennt man auch daran, dass im Highjackthis-Log diverse Dienste als schädlich beurteilt werden, weil sie nicht in "Windows\System32" sondern in "@%systemroot\system32" laufen (ich hab eine dualboot-Umgebung mit WinXP)

    Aber alle *.exes befinden sich am richtigen Ort, es gibt kein Programm, das nicht starten darf und es läuft kein einziger verdächtiger Prozess. Kaspersky selbst findet nichts und die Programmkontrolle hat nie angeschlagen.

    Ich bezweifle, dass ich mir eine *.exe eingefangen hab (ich wüsste nicht, wie) ... ist der Trojaner "Hupigon" eine böswillige Manipulation der Registry, oder braucht es dazu eine ausführbare Datei?

    EDIT: Wenn ich das richtig sehe, ist die Hauptverhaltensweise von Hupigon, so ziemlich alle Security-Software-Programme 'vorausschauend' in die Registry einzutragen und dort dann direkt mit einem "debugger" zu verlinken, sodass so ziemlich alle Security-Programme einen Debugger starten. In Vista 32bit mit KIS 2009 gibt es den Eintrag avp.exe an der Stelle nicht; und in meiner Windows 7 Registry findet sich nur avp.exe; dllnxoptions und ieinstal sind offenbar normal an der Stelle.

    Eigentlich spricht das nicht für eine echte Infektion, denn alle anderen typischen neuen Einträge durch Hupigon sind nicht vorhanden.

    Schreibt sich vielleicht die KIS 2010 Beta erstmals dorthin? Oder liegt das an Win7 (64)?

    EDIT2: fixen lassen sich die Einträge natürlich nicht, weil sie ja (vermutlich jedenfalls) von Kaspersky angelegt wurden. Ich hab jetzt mal KIS deinstalliert und gucke, ob der Eintrag entfernt wurde. Wenn, dann installiere ich KIS noch einmal; und wenn der Eintrag wieder auftaucht, das liegt das wohl an KIS (der Installer stammt übrigens von ComputerBase!).
    1.) Nach der Deinstallation ist der Eintrag verschwunden (jetzt findet Spybot auch nix mehr)
    2.) Nach der Neu-Installation ist der exakte gleiche Eintrag wieder, obwohl ich mit dem Teatimer die Registry-Zugriffe überwacht hab. D.h. eigentlich kann dieser Eintrag nur von Kaspersky selbst stammen, denn ansonsten hätte Spybot gemeckert.
    3.) Nachdem ich den Eintrag im abgesicherten Modus entfernt habe, meldet Spybot keine Funde mehr und Kaspersky funktioniert auch noch ... vielleicht lags an der KIS Beta?!
    Geändert von Scheinweltname (08.10.2009 um 14:43 Uhr)
    Main: ASUS P5K SE// CPU: Intel Core2Duo E6850 @3Ghz // GraKa: Sapphire 4870// RAM: 4 GB 800Mhz Quimonda // OS: Win7 Pro 64bit (Desktop) & Win 7 Pro 32bit (auf Laptop = Samsung R60plus Aura Deelino T2390)) HDD: WD Raptor 150ADFD 150GB, Samsung HD502IJ 500GB// Input: n52te & MS Sidewinder `07
    >>Die Datei hosts // >>[HowTo] Firewall konfigurieren (Whitelist-Modus)

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Banned
    Dabei seit
    Mär 2008
    Ort
    Blödes Kaff (Königreich Lancre)
    Beiträge
    2.890

    AW: Spybot findet Trojaner Hupigon in Kaspersky-Reg-Eintrag?!

    Die Virusplage ist (wie die Kriminellen den Bullen) meist um eine Nasenlänge voraus, darum werden lieber falsche Warnungen ausgegeben als gar keine. Am besten noch n paar Onlinescanner benutzen...

  4. #3
    Cadet 4th Year
    Dabei seit
    Okt 2009
    Ort
    U.S. Highway 101
    Beiträge
    72

    AW: Spybot findet Trojaner Hupigon in Kaspersky-Reg-Eintrag?!

    Hupigon13 hatte ich auch mal, komisch das ich den nie hatte bis meine Freundin Chinesische Nachrichten schaute und schwubs hatte ich nen "Hupigon13". Jetzt sind nur noch deutsche Nachrichten angesagt

    Spybot meinte aber er wäre den losgeworden "Schulter zucken"

  5. #4
    Lt. Commander
    Ersteller dieses Themas

    Dabei seit
    Jan 2008
    Beiträge
    1.734

    AW: Spybot findet Trojaner Hupigon in Kaspersky-Reg-Eintrag?!

    ich gehe von einem False Positive aus. Denn der Eintrag wird bei jeder Deinstallation von Kaspersky 2010 9.0.0.723 Beta entfernt und bei jeder Installation wieder erstellt. Muss also an der Kaspersky Beta liegen. Ich vermute, dass der Eintrag irgendwas mit der Sandbox zu tun hat (die ein so geiles Feature ist, dass ich darauf nicht verzichten möchte).

    Bei der Installation von KIS 9.0.0.463 wird der Eintrag nicht erzeugt. Aber leider hat die Version bei mir heftige Probleme beim Update (mit jedem Update gehen die Datenbanken ein bisschen mehr kaputt ) und mit der Sandbox unter Win7 64bit heftige Probleme; die Sandbox funktioniert nur bei der Beta. Deshalb bleibe ich bei der Beta und lass mich von dem Registry-Eintrag nicht beunruhigen. Denn Spybot hatte bei der Installation der Beta (d.h. also inkl. der Erstellung der betreffenden Registry-Einträge) trotz aktivem Teatimer nichts gemeldet und Virenscans finden keine Dateien; d.h. es wird schon kein Trojaner installiert sein, der darauf wartet, dass ich die spezielle Beta von Kaspersky installiere, um zwei Registry-Einträge zu schreiben und diese bei der Deinstallation wieder zu entfernen (nein, wie höflich ^^) (oder der Installer, den ComputerBase zum Download anbietet, ist infiziert ... was ich aber mal kaum glaube (zumal auch hier Virenscanner nix finden)).

    EDIT (20.10.2009): Bei der Beta bzw. RC KIS 2010 (9.0.0.735) wird der Eintrag nicht mehr erzeugt.
    Geändert von Scheinweltname (20.10.2009 um 00:17 Uhr)
    Main: ASUS P5K SE// CPU: Intel Core2Duo E6850 @3Ghz // GraKa: Sapphire 4870// RAM: 4 GB 800Mhz Quimonda // OS: Win7 Pro 64bit (Desktop) & Win 7 Pro 32bit (auf Laptop = Samsung R60plus Aura Deelino T2390)) HDD: WD Raptor 150ADFD 150GB, Samsung HD502IJ 500GB// Input: n52te & MS Sidewinder `07
    >>Die Datei hosts // >>[HowTo] Firewall konfigurieren (Whitelist-Modus)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •