Codbot, C:\WINDOWS\lsass.exe, Netmon.exe, mswinsdl.exe, Local Security Authority Subsystem Service

startseite Gastbuch Kontakt
Codbot, C:\WINDOWS\lsass.exe Netmon.exe mswinsdl.exe
Codbot, C:\WINDOWS\lsass.exe, Netmon.exe, mswinsdl.exe, Local Security Authority Subsystem Service


C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\System32\mgj2t22a.exe
C:\WINDOWS\lsass.exe

HijackThis

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe

C:\WINDOWS\system32\mswinsdl.exe
C:\WINDOWS\lsass.exe infected by "Backdoor.Win32.SdBot.xd
C:\WINDOWS\System32\Netmon.exe infected by "Backdoor.Win32.Codbot.aj"



MS Auto-IPSec Protection = MSASP32.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS Auto-IPSec Protection
MSASP32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS Auto-IPSec Protection
MSASP32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MS Auto-IPSec Protection
MSASP32.exe


MS MSN Menssenger 7.0 = MSMSN7.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
http://www.sophos.de/virusinfo/analyses/w32rbotaca.html
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS MSN Menssenger 7.0
MSMSN7.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS MSN Menssenger 7.0
MSMSN7.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MS MSN Menssenger 7.0
MSMSN7.exe

Windows Compliant = rkfoqa.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

unbekannt


Microsoft Media player 9 = msmedia32.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
http://www.sophos.de/virusinfo/analyses/w32rbotado.html
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Media player 9
msmedia32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Media player 9
msmedia32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Media player 9
msmedia32.exe

KYK Control Settings = KYSVCXD.EXE (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

HijackThis

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE




HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal


Die Backdoor-Funktionalität umfasst auch die Funktion, in Netzwerkpaketen zu schnüffeln, weiteren schädlichen Code herunterzuladen und Kennwörter sowie andere Systemdaten zu stehlen.

W32/Codbot-Gen Würmer registrieren sich typischerweise als Dienstprozesse.

W32/Codbot-Gen Würmer versuchen typischerweise, Schwachstellen auszunutzen, wie z.B. die LSASS-Schwachstelle (MS04-011).


Microsoft Security Bulletin MS04-011
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

W32/Codbot

W32/Codbot-L läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, über den ein remoter Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen erhält. Der Eindringling kann Befehle zum Herunterladen und Starten weiteren schädlichen Codes, zum Stehlen von Kennwörtern und Systeminformationen sowie zum Schnüffeln in Paketen aus dem lokalen Netzwerk senden.


HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
ProxyEnable 1

HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings
ProxyEnable 1


17.11.2005 22:31 165.888 sysin.pif
17.11.2005 12:47 0 mcrh.tmp
16.11.2005 23:03 544.788 ddccd.dll
16.11.2005 22:32 0 TFTP2212
16.11.2005 22:12 0 TFTP1324
16.11.2005 20:07 71 i
16.11.2005 19:35 0 TFTP632
16.11.2005 19:31 111.616 mswinsdl.exe
15.11.2005 17:30 0 eraseme_41866.exe
09.11.2005 17:17 0 plscdksxg.exe



Unknown Service # 3
Service Name: lsass
Display Name: Local Security Authority Subsystem Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Path Finder Service Displays Internet Routing ...
Service Type: Own Process
Path: "c:\windows\lsass.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch


Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

bearbeiten --> suchen --> Local Security Authority Subsystem Service


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LSASS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lsass]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LSASS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lsass]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LSASS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass]



anderer PC

Unknown Service # 5
Service Name: sdk
Display Name: Microsoft sdk core
Start Mode: Disabled
Start Name: LocalSystem
Description: Microsoft sdk core ...
Service Type: Own Process
Path: "c:\windows\lsass.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdk



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"sdk"=dword:00000002






Valid HTML 4.01 Ranking-Hits