|
|
|
Trojaner Prorat
Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - ffservice.exe und lservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Windows Reg Services C:\WINDOWS\system32\ffservice.exe -> loeschen
DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe -> loeschen
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe" -> loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe" -> loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe" -> loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed
Components\{a75aed00-d7bf-11d1-9947-00c0Cf98bbc9}\ -> loeschen
StubPath = "C:\\WINDOWS\\System32\\lservice.exe"
[HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings]
-> loeschen
"Bulas"="1"
"FW_KILL"="1"
"XP_FW_Disable="1"
"XP_SYS_Recovery"="1"
"ICQ_UIN"="qvro/on,hq/hogn"
"ICQ_UIN2"=""
"Kurban_Ismi"="whbuhl"
"Mail"=""
"Online_List"=""
"Port"="4001"
"Sifre"="ehbd547"
"Hata"=""
"KSil"="1"
"LanNotifie"=""
"Tport"="0"
"ServerVersionInt"="19"
anderer PC
Bulas REG_SZ 1
FW_KILL REG_SZ 1
Hata REG_SZ
ICQ_UIN REG_SZ 95/70/76/022
ICQ_UIN2 REG_SZ 378708681
KSil REG_SZ 1
Kurban_Ismi REG_SZ whbuhl
LanNotifie REG_SZ
Mail REG_SZ gs`xdo{nodAx`inn/bhl
Online_List REG_SZ
Port REG_SZ 4001
ServerVersionInt REG_SZ 19
Sifre REG_SZ 032547
Tport REG_SZ 0
XP_FW_Disable REG_SZ 1 - in 0 andern
XP_SYS_Recovery REG_SZ 1 in 0 andern
anderer PC
"Bulas"="1"
"FW_KILL"="1"
"XP_FW_Disable"="1"
"XP_SYS_Recovery"="1"
"ICQ_UIN"="`c`ex/on,hq/bnl"
"ICQ_UIN2"=""
"Kurban_Ismi"="inru88"
"Mail"="cmnne^gmnv3110Ax`inn/bnl"
"Online_List"=""
"Port"="4001"
"Sifre"="cmnne896"
"Hata"="Invalid memory address"
"KSil"="0"
"LanNotifie"=""
"Tport"="0"
"ServerVersionInt"="19"
[HKLM\software\microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}] -> loeschen
"StubPath"="%WINDIR%\system\sservice.exe"
[HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
"Shell"="Explorer.exe"
Neuer Wert:
"Shell"="Explorer.exe C:\WINDOWS\system32\fservice.exe" -> loeschen
|
Beispiel:
C:\WINDOWS\services.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O20 - Winlogon Notify: Installer - D:\WINDOWS\system32\ijsutil.dll (file missing)
O20 - Winlogon Notify: WebCheck - D:\WINDOWS\system32\iPssvcs.dll (file missing)
datfindbat
C:\WINDOWS\system32
13.07.2006 22:27 28.450 pcwkill.z.exe
10.07.2006 22:14 143.360 lncom_.exe
30.06.2006 21:03 16.384 dr.exe
30.06.2006 21:02 147.456 vbzip10.dll
Verzeichnis von C:\WINDOWS
10.07.2006 22:50 7.695 ktd32.atm - Diese Datei enthält gesammelte Tastatureingaben.
Beispiel:
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32
12.04.2006 15:13 97 d_service.exe
Verzeichnis von C:\WINDOWS
14.04.2006 14:41 1.046.917 ktd32.atm
Verzeichnis von C:\
14.04.2006 18:44 1.080 tcyfmjem.bat
14.04.2006 18:44 126.976 zip.exe
2. Durchgang:
Verzeichnis von C:\
15.04.2006 05:47 1.080 ehxhyxqt.bat
15.04.2006 05:46 1.080 mdodftua.bat
Beispiel:
datfindbat
C:\WINDOWS\System32\
02.04.2006 08:52 5.120 winkey.dll
02.04.2006 08:52 235.120 dkserver.dll
02.04.2006 08:52 236.247 kt2ml7f11.dll
C:\WINDOWS\
02.04.2006 00:59 43.609 ktd32.atm
07.03.2006 00:07 357.406 services.exe
Beispiel:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
datfindbat
C:\WINDOWS\System32\
05.06.2006 09:51 36.864 reginv.dll
05.06.2006 09:51 13.312 winkey.dll
Verzeichnis von C:\WINDOWS
05.06.2006 16:16 32.291 ktd32.atm
Beispiel:
Winpfind:
UPX! 22.07.2006 21:51:14 37124 C:\WINDOWS\SYSTEM32\imsn.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = C:\WINDOWS\system32\fservice.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoFolderOptions 0
FoFileAssociate 0
StartMenuLogoff 0
NoShellSearchButton 0
NoRecentDocsMenu 0
NoUserNameInStartMenu 0
NoRecentDocsNetHood 0
NoLowDiskSpaceChecks 1
NoSimpleStartMenu 0
HideClock 0
NoTrayItemsDisplay 0
NoRecentDocsHistory 0
ClearRecentDocsOnExit 0
NoCDBurning 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0
datfindbat
Verzeichnis von C:\WINDOWS\system32
22.07.2006 21:51 37.124 imsn.exe
Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp
24.07.2006 14:45 339.099 xkn9y1df.exe
24.07.2006 14:29 692 dfupdate.ini
24.07.2006 12:37 1.968.417 o1fvc9c7.exe
22.07.2006 21:16 0 fl1.exe
22.07.2006 21:16 0 fl2.exe
Verzeichnis von C:\WINDOWS
22.07.2006 22:35 13.743 ktd32.atm
22.07.2006 22:28 6.672 Pplugin9.dat
22.07.2006 21:51 579 Pplugin4.dat
22.07.2006 21:23 67.897 p_ekran.jpg
C:\WINDOWS\system32\imsn.exe
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\ktd32.atm
C:\WINDOWS\Pplugin9.dat
C:\WINDOWS\Pplugin4.dat
C:\WINDOWS\services.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\xkn9y1df.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\dfupdate.ini
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\o1fvc9c7.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl1.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl2.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\95vdyukd.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\ricrpgcc.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\rxp5w85g.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.tmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.exe
Troj/Prorat-O
C:\WINDOWS\System32\ffservice.exe
C:\WINDOWS\System32\lservice.exe
C:\WINDOWS\System32\wservice.exe
C:\WINDOWS\System32\lncom.exe
--------------------------------------------------------------------
C:\WINDOWS\System32\fservice.exe
C:\WINDOWS\System32\reginv.dll
C:\WINDOWS\System32\sservice.exe
C:\WINDOWS\System32\wininv.dll
C:\WINDOWS\System32\winkey.dll - BDS/Prorat.19.H
C:\WINDOWS\System\sservice.exe
C:\WINDOWS\Pplugin4.exe
C:\WINDOWS\services.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ss.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\fsg.exe
----------------------------------------------------------------------
client.exe
down_server.exe
ffservice.exe
img32.dll
join.dll
plugins.dll
ProConnective.exe
ProRat V1.6 Special Edition.EXE
ProRat.exe
prorat_client.exe
server.dll
server.exe
services.exe
C:\WINDOWS\KTD32.ATM
Troj/Multidr-DQ - BDS/Prorat.M.B.38
C:\WINDOWS\ktd32.atm
C:\WINDOWS\plugin1.dat
C:\WINDOWS\services.exe
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\System32\fservice.exe
C:\WINDOWS\System32\lncom_.exe
C:\WINDOWS\System32\reginv.dll
C:\WINDOWS\System32\winkey.dll
C:\Windows\transliator.exe
------------------------------------------------------
geoeffnete Ports
C:\Windows\services.exe am TCP Port 5110 um Backdoor Funktion zur Verfügung zu stellen.
C:\Windows\services.exe am TCP Port 5112 um einen FTP Server zur Verfügung zu stellen.
C:\Windows\services.exe am TCP Port 51100 um einen FTP Server zur Verfügung zu stellen.
Sendet Informationen über:
Computername
Prozessorgeschwindigkeit
CPU Typ
IP Adresse
Aktueller Malware Status
Informationen über das Netzwerk
Geöffneter Port
Informationen über laufende Prozesse
Systemzeit
Benutzername
Lokale Aktivität des Benutzers
besuchte URLs
Information über das Windows Betriebsystem
Möglichkeiten der Fernkontrolle:
Verzeichnis auflisten
Datei herunterladen
Registry editieren
Datei ausführen
System neu starten
Emails verschicken
System herunterfahren
Prozess beenden
Es wird versucht folgende Information zu klauen:
Passwörter folgender Programme:
CuteFTP
CuteFTP Pro
FlashFXP
Outlook Express
ICQ
Trillian
MSN Messenger
Yahoo!
NetMeeting
Nachdem Tastaturanschläge welche mit folgender Zeichenkette übereinstimmt gedrückt wurden wird eine Protokollfunktion gestartet.
%any key%
Aufgezeichnet wird:
Tastaturanschläge
Fensterinformation
proratsrch ici: ??????????????
**** Recherche C:\WINDOWS ****
C:\WINDOWS\services.exe Présent !
C:\WINDOWS\KTD32.ATM Présent !
**** Recherche C:\WINDOWS\System ****
C:\WINDOWS\System\sservice.exe Présent !
**** Recherche C:\WINDOWS\System32 ****
C:\WINDOWS\System32\fservice.exe Présent !
C:\WINDOWS\System32\\reginv.dll Présent !
C:\WINDOWS\System32\winkey.dll Présent !
anderer PC
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\System32\server.exe
Verzeichnis von C:\WINDOWS\system32
02.09.2006 16:11 20.992 reginv.dll
02.09.2006 16:11 16.896 winkey.dll
31.08.2006 18:35 4.212 zllictbl.dat
31.08.2006 16:29 3.051 qtplugin.log
30.08.2006 11:24 105 fservice.exe.bat
04.08.2006 20:06 463.360 URLMON.DLL
25.07.2006 20:21 17.920 Instmsng.dll
25.07.2006 20:21 37.124 imsn.exe
25.07.2006 20:19 351.276 fservice.exe
25.07.2006 15:20 15.023 server.exe
Verzeichnis von C:\WINDOWS
02.09.2006 16:18 523.748 ktd32.atm
25.07.2006 21:00 74.053 p_ekran.jpg
25.07.2006 20:59 230.454 p_ekran.bmp
25.07.2006 20:21 421 Pplugin9.dat
25.07.2006 20:21 54 refresh.scf
25.07.2006 20:19 351.276 services.exe
winpfind
UPX! 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\SYSTEM32\fservice.exe ()
aspack 02.09.2006 17:42:12 16896 C:\WINDOWS\SYSTEM32\winkey.dll ()
25.07.2006 20:19:52 HS 351276 C:\WINDOWS\services.exe ()
25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system\sservice.exe ()
25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system32\fservice.exe ()
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Files to delete:
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll
C:\WINDOWS\system32\fservice.exe.bat
C:\WINDOWS\System32\ffservice.exe
C:\WINDOWS\system32\Instmsng.dll
C:\WINDOWS\system32\imsn.exe
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\system32\server.exe
C:\WINDOWS\ktd32.atm
C:\WINDOWS\services.exe
C:\WINDOWS\p_ekran.jpg
C:\WINDOWS\p_ekran.bmp
C:\WINDOWS\Pplugin9.dat
C:\WINDOWS\refresh.scf
|
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
anderer PC
D:\WINDOWS\System32\msgsple.dll
D:\WINDOWS\services.exe
D:\WINDOWS\System32\fservice.exe
D:\WINDOWS\system\sservice.exe
D:\WINDOWS\ktd32.atm
D:\WINDOWS\fcp5.cfg
D:\WINDOWS\dr.exe
Antivirus
D:\Programme\serial.dat
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d9050.qua' verschoben!
D:\Programme\serial.zip
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d905e.qua' verschoben!
D:\Programme\shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090dd.qua' verschoben!
D:\Programme\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090f6.qua' verschoben!
D:\WINDOWS\services.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
D:\WINDOWS\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45709419.qua' verschoben!
D:\WINDOWS\system\sservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094dd.qua' verschoben!
D:\WINDOWS\system32\fservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094ff.qua' verschoben!
Link: fservice-remove
|
|
