Scheinweltname
Lt. Commander
- Registriert
- Jan. 2008
- Beiträge
- 1.743
Nichtsahnend wollte ich einfach mal Spybot durchlaufen lassen, und dann am Ende folgendes:
2 Einträge Trojan "Hupigon13"
Die Registry-Einträge lauten:
Angeblich geht von den Einträgen "Image File Execution" nur dann eine Gefahr aus, wenn statt der angegebenen Datei (in diesem falle avp.exe, d.h. Kaspersky) durch Manipulation ein Debugger gestartet wird, was jede beliebige *.exe sein könnte; diese Datei hätte dann vollen Systemzugriff. Es stehen bei beiden Einträgen keine anderen Dateien, die gestartet würden.
In der Registry steht nur
Ich vermute, dass es sich um einen False Positive handelt, denn offenbar kommen Spybot und auch HighJackthis nicht mit Windows 7 Pro 64bit (RTM) bzw. KIS 2010 (9.0.0.723 Beta) klar. Das erkennt man auch daran, dass im Highjackthis-Log diverse Dienste als schädlich beurteilt werden, weil sie nicht in "Windows\System32" sondern in "@%systemroot\system32" laufen (ich hab eine dualboot-Umgebung mit WinXP)
Aber alle *.exes befinden sich am richtigen Ort, es gibt kein Programm, das nicht starten darf und es läuft kein einziger verdächtiger Prozess. Kaspersky selbst findet nichts und die Programmkontrolle hat nie angeschlagen.
Ich bezweifle, dass ich mir eine *.exe eingefangen hab (ich wüsste nicht, wie) ... ist der Trojaner "Hupigon" eine böswillige Manipulation der Registry, oder braucht es dazu eine ausführbare Datei?
EDIT: Wenn ich das richtig sehe, ist die Hauptverhaltensweise von Hupigon, so ziemlich alle Security-Software-Programme 'vorausschauend' in die Registry einzutragen und dort dann direkt mit einem "debugger" zu verlinken, sodass so ziemlich alle Security-Programme einen Debugger starten. In Vista 32bit mit KIS 2009 gibt es den Eintrag avp.exe an der Stelle nicht; und in meiner Windows 7 Registry findet sich nur avp.exe; dllnxoptions und ieinstal sind offenbar normal an der Stelle.
Eigentlich spricht das nicht für eine echte Infektion, denn alle anderen typischen neuen Einträge durch Hupigon sind nicht vorhanden.
Schreibt sich vielleicht die KIS 2010 Beta erstmals dorthin? Oder liegt das an Win7 (64)?
EDIT2: fixen lassen sich die Einträge natürlich nicht, weil sie ja (vermutlich jedenfalls) von Kaspersky angelegt wurden. Ich hab jetzt mal KIS deinstalliert und gucke, ob der Eintrag entfernt wurde. Wenn, dann installiere ich KIS noch einmal; und wenn der Eintrag wieder auftaucht, das liegt das wohl an KIS (der Installer stammt übrigens von ComputerBase!).
1.) Nach der Deinstallation ist der Eintrag verschwunden (jetzt findet Spybot auch nix mehr)
2.) Nach der Neu-Installation ist der exakte gleiche Eintrag wieder, obwohl ich mit dem Teatimer die Registry-Zugriffe überwacht hab. D.h. eigentlich kann dieser Eintrag nur von Kaspersky selbst stammen, denn ansonsten hätte Spybot gemeckert.
3.) Nachdem ich den Eintrag im abgesicherten Modus entfernt habe, meldet Spybot keine Funde mehr und Kaspersky funktioniert auch noch ... vielleicht lags an der KIS Beta?!
2 Einträge Trojan "Hupigon13"
Die Registry-Einträge lauten:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
und
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (64bit)
Angeblich geht von den Einträgen "Image File Execution" nur dann eine Gefahr aus, wenn statt der angegebenen Datei (in diesem falle avp.exe, d.h. Kaspersky) durch Manipulation ein Debugger gestartet wird, was jede beliebige *.exe sein könnte; diese Datei hätte dann vollen Systemzugriff. Es stehen bei beiden Einträgen keine anderen Dateien, die gestartet würden.
In der Registry steht nur
, der Eintrag zu avp.exe (64bit) existiert nicht.(Standard) REG_SZ [leer]
GlobalFlag REG_SZ 0x100
PageHeapFlags REG_SZ 0x203
PageHeapRandomProbability REG_DWORD 0x0000000a (10)
Ich vermute, dass es sich um einen False Positive handelt, denn offenbar kommen Spybot und auch HighJackthis nicht mit Windows 7 Pro 64bit (RTM) bzw. KIS 2010 (9.0.0.723 Beta) klar. Das erkennt man auch daran, dass im Highjackthis-Log diverse Dienste als schädlich beurteilt werden, weil sie nicht in "Windows\System32" sondern in "@%systemroot\system32" laufen (ich hab eine dualboot-Umgebung mit WinXP)
Aber alle *.exes befinden sich am richtigen Ort, es gibt kein Programm, das nicht starten darf und es läuft kein einziger verdächtiger Prozess. Kaspersky selbst findet nichts und die Programmkontrolle hat nie angeschlagen.
Ich bezweifle, dass ich mir eine *.exe eingefangen hab (ich wüsste nicht, wie) ... ist der Trojaner "Hupigon" eine böswillige Manipulation der Registry, oder braucht es dazu eine ausführbare Datei?
EDIT: Wenn ich das richtig sehe, ist die Hauptverhaltensweise von Hupigon, so ziemlich alle Security-Software-Programme 'vorausschauend' in die Registry einzutragen und dort dann direkt mit einem "debugger" zu verlinken, sodass so ziemlich alle Security-Programme einen Debugger starten. In Vista 32bit mit KIS 2009 gibt es den Eintrag avp.exe an der Stelle nicht; und in meiner Windows 7 Registry findet sich nur avp.exe; dllnxoptions und ieinstal sind offenbar normal an der Stelle.
Eigentlich spricht das nicht für eine echte Infektion, denn alle anderen typischen neuen Einträge durch Hupigon sind nicht vorhanden.
Schreibt sich vielleicht die KIS 2010 Beta erstmals dorthin? Oder liegt das an Win7 (64)?
EDIT2: fixen lassen sich die Einträge natürlich nicht, weil sie ja (vermutlich jedenfalls) von Kaspersky angelegt wurden. Ich hab jetzt mal KIS deinstalliert und gucke, ob der Eintrag entfernt wurde. Wenn, dann installiere ich KIS noch einmal; und wenn der Eintrag wieder auftaucht, das liegt das wohl an KIS (der Installer stammt übrigens von ComputerBase!).
1.) Nach der Deinstallation ist der Eintrag verschwunden (jetzt findet Spybot auch nix mehr)
2.) Nach der Neu-Installation ist der exakte gleiche Eintrag wieder, obwohl ich mit dem Teatimer die Registry-Zugriffe überwacht hab. D.h. eigentlich kann dieser Eintrag nur von Kaspersky selbst stammen, denn ansonsten hätte Spybot gemeckert.
3.) Nachdem ich den Eintrag im abgesicherten Modus entfernt habe, meldet Spybot keine Funde mehr und Kaspersky funktioniert auch noch ... vielleicht lags an der KIS Beta?!
Zuletzt bearbeitet: