Trojaner Prorat

startseite Gastbuch Kontakt
Trojaner Prorat
Trojaner Prorat

Trojaner Prorat






Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - ffservice.exe und lservice.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Windows Reg Services C:\WINDOWS\system32\ffservice.exe -> loeschen
DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe -> loeschen


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe" -> loeschen


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe" -> loeschen


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe" -> loeschen


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{a75aed00-d7bf-11d1-9947-00c0Cf98bbc9}\ -> loeschen
StubPath = "C:\\WINDOWS\\System32\\lservice.exe"


[HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings]

-> loeschen

"Bulas"="1"
"FW_KILL"="1"
"XP_FW_Disable="1"
"XP_SYS_Recovery"="1"
"ICQ_UIN"="qvro/on,hq/hogn"
"ICQ_UIN2"=""
"Kurban_Ismi"="whbuhl"
"Mail"=""
"Online_List"=""
"Port"="4001"
"Sifre"="ehbd547"
"Hata"=""
"KSil"="1"
"LanNotifie"=""
"Tport"="0"
"ServerVersionInt"="19"

anderer PC

Bulas REG_SZ 1
FW_KILL REG_SZ 1
Hata REG_SZ
ICQ_UIN REG_SZ 95/70/76/022
ICQ_UIN2 REG_SZ 378708681
KSil REG_SZ 1
Kurban_Ismi REG_SZ whbuhl
LanNotifie REG_SZ
Mail REG_SZ gs`xdo{nodAx`inn/bhl
Online_List REG_SZ
Port REG_SZ 4001
ServerVersionInt REG_SZ 19
Sifre REG_SZ 032547
Tport REG_SZ 0
XP_FW_Disable REG_SZ 1 - in 0 andern
XP_SYS_Recovery REG_SZ 1 in 0 andern


anderer PC

"Bulas"="1"
"FW_KILL"="1"
"XP_FW_Disable"="1"
"XP_SYS_Recovery"="1"
"ICQ_UIN"="`c`ex/on,hq/bnl"
"ICQ_UIN2"=""
"Kurban_Ismi"="inru88"
"Mail"="cmnne^gmnv3110Ax`inn/bnl"
"Online_List"=""
"Port"="4001"
"Sifre"="cmnne896"
"Hata"="Invalid memory address"
"KSil"="0"
"LanNotifie"=""
"Tport"="0"
"ServerVersionInt"="19"


[HKLM\software\microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}] -> loeschen
"StubPath"="%WINDIR%\system\sservice.exe"


[HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
"Shell"="Explorer.exe"

Neuer Wert:
"Shell"="Explorer.exe C:\WINDOWS\system32\fservice.exe" -> loeschen



Beispiel:

C:\WINDOWS\services.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O20 - Winlogon Notify: Installer - D:\WINDOWS\system32\ijsutil.dll (file missing)
O20 - Winlogon Notify: WebCheck - D:\WINDOWS\system32\iPssvcs.dll (file missing)


datfindbat

C:\WINDOWS\system32

13.07.2006 22:27 28.450 pcwkill.z.exe
10.07.2006 22:14 143.360 lncom_.exe
30.06.2006 21:03 16.384 dr.exe
30.06.2006 21:02 147.456 vbzip10.dll

Verzeichnis von C:\WINDOWS

10.07.2006 22:50 7.695 ktd32.atm - Diese Datei enthält gesammelte Tastatureingaben.



Beispiel:

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe


datfindbat

Verzeichnis von C:\WINDOWS\system32

12.04.2006 15:13 97 d_service.exe

Verzeichnis von C:\WINDOWS

14.04.2006 14:41 1.046.917 ktd32.atm

Verzeichnis von C:\

14.04.2006 18:44 1.080 tcyfmjem.bat
14.04.2006 18:44 126.976 zip.exe

2. Durchgang:

Verzeichnis von C:\

15.04.2006 05:47 1.080 ehxhyxqt.bat
15.04.2006 05:46 1.080 mdodftua.bat



Beispiel:


datfindbat

C:\WINDOWS\System32\

02.04.2006 08:52 5.120 winkey.dll
02.04.2006 08:52 235.120 dkserver.dll
02.04.2006 08:52 236.247 kt2ml7f11.dll

C:\WINDOWS\

02.04.2006 00:59 43.609 ktd32.atm
07.03.2006 00:07 357.406 services.exe



Beispiel:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe


datfindbat

C:\WINDOWS\System32\

05.06.2006 09:51 36.864 reginv.dll
05.06.2006 09:51 13.312 winkey.dll

Verzeichnis von C:\WINDOWS

05.06.2006 16:16 32.291 ktd32.atm



Beispiel:

Winpfind:

UPX! 22.07.2006 21:51:14 37124 C:\WINDOWS\SYSTEM32\imsn.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = C:\WINDOWS\system32\fservice.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoFolderOptions 0
FoFileAssociate 0
StartMenuLogoff 0
NoShellSearchButton 0
NoRecentDocsMenu 0
NoUserNameInStartMenu 0
NoRecentDocsNetHood 0
NoLowDiskSpaceChecks 1
NoSimpleStartMenu 0
HideClock 0
NoTrayItemsDisplay 0
NoRecentDocsHistory 0
ClearRecentDocsOnExit 0
NoCDBurning 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0


datfindbat

Verzeichnis von C:\WINDOWS\system32

22.07.2006 21:51 37.124 imsn.exe

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

24.07.2006 14:45 339.099 xkn9y1df.exe
24.07.2006 14:29 692 dfupdate.ini
24.07.2006 12:37 1.968.417 o1fvc9c7.exe
22.07.2006 21:16 0 fl1.exe
22.07.2006 21:16 0 fl2.exe

Verzeichnis von C:\WINDOWS

22.07.2006 22:35 13.743 ktd32.atm
22.07.2006 22:28 6.672 Pplugin9.dat
22.07.2006 21:51 579 Pplugin4.dat
22.07.2006 21:23 67.897 p_ekran.jpg


C:\WINDOWS\system32\imsn.exe
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\ktd32.atm
C:\WINDOWS\Pplugin9.dat
C:\WINDOWS\Pplugin4.dat
C:\WINDOWS\services.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\xkn9y1df.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\dfupdate.ini
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\o1fvc9c7.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl1.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl2.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\95vdyukd.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\ricrpgcc.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\rxp5w85g.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.tmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.exe


Troj/Prorat-O

C:\WINDOWS\System32\ffservice.exe
C:\WINDOWS\System32\lservice.exe
C:\WINDOWS\System32\wservice.exe
C:\WINDOWS\System32\lncom.exe

--------------------------------------------------------------------

C:\WINDOWS\System32\fservice.exe
C:\WINDOWS\System32\reginv.dll
C:\WINDOWS\System32\sservice.exe
C:\WINDOWS\System32\wininv.dll
C:\WINDOWS\System32\winkey.dll - BDS/Prorat.19.H
C:\WINDOWS\System\sservice.exe

C:\WINDOWS\Pplugin4.exe
C:\WINDOWS\services.exe

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ss.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\fsg.exe

----------------------------------------------------------------------

client.exe
down_server.exe
ffservice.exe
img32.dll
join.dll
plugins.dll
ProConnective.exe
ProRat V1.6 Special Edition.EXE
ProRat.exe
prorat_client.exe
server.dll
server.exe
services.exe

C:\WINDOWS\KTD32.ATM

Troj/Multidr-DQ - BDS/Prorat.M.B.38

C:\WINDOWS\ktd32.atm
C:\WINDOWS\plugin1.dat
C:\WINDOWS\services.exe
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\System32\fservice.exe
C:\WINDOWS\System32\lncom_.exe
C:\WINDOWS\System32\reginv.dll
C:\WINDOWS\System32\winkey.dll
C:\Windows\transliator.exe

------------------------------------------------------

geoeffnete Ports

C:\Windows\services.exe am TCP Port 5110 um Backdoor Funktion zur Verfügung zu stellen.
C:\Windows\services.exe am TCP Port 5112 um einen FTP Server zur Verfügung zu stellen.
C:\Windows\services.exe am TCP Port 51100 um einen FTP Server zur Verfügung zu stellen.

Sendet Informationen über:

Computername
Prozessorgeschwindigkeit
CPU Typ
IP Adresse
Aktueller Malware Status
Informationen über das Netzwerk
Geöffneter Port
Informationen über laufende Prozesse
Systemzeit
Benutzername
Lokale Aktivität des Benutzers
besuchte URLs
Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:

Verzeichnis auflisten
Datei herunterladen
Registry editieren
Datei ausführen
System neu starten
Emails verschicken
System herunterfahren
Prozess beenden

Es wird versucht folgende Information zu klauen:

Passwörter folgender Programme:

CuteFTP
CuteFTP Pro
FlashFXP
Outlook Express
ICQ
Trillian
MSN Messenger
Yahoo!
NetMeeting

Nachdem Tastaturanschläge welche mit folgender Zeichenkette übereinstimmt gedrückt wurden wird eine Protokollfunktion gestartet.
%any key%

Aufgezeichnet wird:

Tastaturanschläge
Fensterinformation



proratsrch ici: ??????????????

**** Recherche C:\WINDOWS ****

C:\WINDOWS\services.exe Présent !
C:\WINDOWS\KTD32.ATM Présent !

**** Recherche C:\WINDOWS\System ****

C:\WINDOWS\System\sservice.exe Présent !

**** Recherche C:\WINDOWS\System32 ****

C:\WINDOWS\System32\fservice.exe Présent !
C:\WINDOWS\System32\\reginv.dll Présent !
C:\WINDOWS\System32\winkey.dll Présent !



anderer PC

O4 - HKCU\..\Run: [startkey] C:\WINDOWS\System32\server.exe

Verzeichnis von C:\WINDOWS\system32

02.09.2006 16:11 20.992 reginv.dll
02.09.2006 16:11 16.896 winkey.dll
31.08.2006 18:35 4.212 zllictbl.dat
31.08.2006 16:29 3.051 qtplugin.log
30.08.2006 11:24 105 fservice.exe.bat
04.08.2006 20:06 463.360 URLMON.DLL
25.07.2006 20:21 17.920 Instmsng.dll
25.07.2006 20:21 37.124 imsn.exe
25.07.2006 20:19 351.276 fservice.exe
25.07.2006 15:20 15.023 server.exe

Verzeichnis von C:\WINDOWS

02.09.2006 16:18 523.748 ktd32.atm
25.07.2006 21:00 74.053 p_ekran.jpg
25.07.2006 20:59 230.454 p_ekran.bmp
25.07.2006 20:21 421 Pplugin9.dat
25.07.2006 20:21 54 refresh.scf
25.07.2006 20:19 351.276 services.exe


winpfind

UPX! 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\SYSTEM32\fservice.exe ()
aspack 02.09.2006 17:42:12 16896 C:\WINDOWS\SYSTEM32\winkey.dll ()

25.07.2006 20:19:52 HS 351276 C:\WINDOWS\services.exe ()
25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system\sservice.exe ()
25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system32\fservice.exe ()

Avenger
http://virus-protect.org/artikel/tools/avenger.html

Files to delete:
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll
C:\WINDOWS\system32\fservice.exe.bat
C:\WINDOWS\System32\ffservice.exe
C:\WINDOWS\system32\Instmsng.dll
C:\WINDOWS\system32\imsn.exe
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\system32\server.exe
C:\WINDOWS\ktd32.atm
C:\WINDOWS\services.exe
C:\WINDOWS\p_ekran.jpg
C:\WINDOWS\p_ekran.bmp
C:\WINDOWS\Pplugin9.dat
C:\WINDOWS\refresh.scf

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



anderer PC

D:\WINDOWS\System32\msgsple.dll
D:\WINDOWS\services.exe
D:\WINDOWS\System32\fservice.exe
D:\WINDOWS\system\sservice.exe
D:\WINDOWS\ktd32.atm
D:\WINDOWS\fcp5.cfg
D:\WINDOWS\dr.exe

Antivirus

D:\Programme\serial.dat
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d9050.qua' verschoben!

D:\Programme\serial.zip
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d905e.qua' verschoben!
D:\Programme\shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090dd.qua' verschoben!
D:\Programme\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090f6.qua' verschoben!

D:\WINDOWS\services.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware

D:\WINDOWS\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45709419.qua' verschoben!

D:\WINDOWS\system\sservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094dd.qua' verschoben!

D:\WINDOWS\system32\fservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094ff.qua' verschoben!


Link: fservice-remove

virus-protect.org Valid HTML 4.0 Ranking-Hits