Dieser Trojaner tarnt sich als VXD-Datei und ist daher nicht in den üblichen Autostart Einträgen zu finden. Je nach OS trägt er diesen Gerätemanager in anderen Registry - Keysein :
Windows95/98: HKLM\System\CurrentControlSet\Services\VxD\VMLDRWindowsNT: HKLM\System\CurrentControlSet\Control\Session Manager.
Zum entfernen einfach den gesamten Schlüssel löschen. Der Trojaner an sich ist eine 169472 Bytes große EXE-Datei. Folgende Dateien werden angelegt :
Windows 9x:
pnpmgr.pci 89192 Bytes
vmldr.vxd 10843 Bytes
Windows NT:
pmss.exe
bootexec.exe
Beide:
jpegcomp.dll 79360 Bytes
oleproc.exe 65536 Bytes
Diese sind zu löschen, eventuell muss man dieses unter DOS erledigen oder den
Task pnpmgr.pci mit einem Taskmanager beenden.
Der Trojaner benutzt den TCP - Port 23476. Danke an "SnakeByte" für die Analyse und der freundlichen Genehmigung zur Veröffentlichung auf trojaner-info.de !