Prorat
|
Prorat
Gehe in die Registry
Start - Ausführen - regedit bearbeiten - suchen - ffservice.exe und lservice.exe
Beispiel: C:\WINDOWS\services.exe
HijackThis
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O20 - Winlogon Notify: Installer - D:\WINDOWS\system32\ijsutil.dll O20 - Winlogon Notify: WebCheck - D:\WINDOWS\system32\iPssvcs.dll
datfindbat
C:\WINDOWS\system32 13.07.2006 22:27 28.450 pcwkill.z.exe 10.07.2006 22:14 143.360 lncom_.exe 30.06.2006 21:03 16.384 dr.exe 30.06.2006 21:02 147.456 vbzip10.dll Verzeichnis von C:\WINDOWS 10.07.2006 22:50 7.695 ktd32.atm - Diese Datei enthält gesammelte Tastatureingaben. Beispiel: F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 12.04.2006 15:13 97 d_service.exe Verzeichnis von C:\WINDOWS 14.04.2006 14:41 1.046.917 ktd32.atm Verzeichnis von C:\ 14.04.2006 18:44 1.080 tcyfmjem.bat 14.04.2006 18:44 126.976 zip.exe 2. Durchgang: Verzeichnis von C:\ 15.04.2006 05:47 1.080 ehxhyxqt.bat 15.04.2006 05:46 1.080 mdodftua.bat
datfindbat
C:\WINDOWS\System32\ 02.04.2006 08:52 5.120 winkey.dll 02.04.2006 08:52 235.120 dkserver.dll 02.04.2006 08:52 236.247 kt2ml7f11.dll C:\WINDOWS\ 02.04.2006 00:59 43.609 ktd32.atm 07.03.2006 00:07 357.406 services.exe
HijackThis
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
datfindbat
C:\WINDOWS\System32\ 05.06.2006 09:51 36.864 reginv.dll 05.06.2006 09:51 13.312 winkey.dll Verzeichnis von C:\WINDOWS 05.06.2006 16:16 32.291 ktd32.atm
Winpfind:
UPX! 22.07.2006 21:51:14 37124 C:\WINDOWS\SYSTEM32\imsn.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = C:\WINDOWS\system32\fservice.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 NoFolderOptions 0 FoFileAssociate 0 StartMenuLogoff 0 NoShellSearchButton 0 NoRecentDocsMenu 0 NoUserNameInStartMenu 0 NoRecentDocsNetHood 0 NoLowDiskSpaceChecks 1 NoSimpleStartMenu 0 HideClock 0 NoTrayItemsDisplay 0 NoRecentDocsHistory 0 ClearRecentDocsOnExit 0 NoCDBurning 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System DisableTaskMgr 0
datfindbat
Verzeichnis von C:\WINDOWS\system32 22.07.2006 21:51 37.124 imsn.exe Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp 24.07.2006 14:45 339.099 xkn9y1df.exe 24.07.2006 14:29 692 dfupdate.ini 24.07.2006 12:37 1.968.417 o1fvc9c7.exe 22.07.2006 21:16 0 fl1.exe 22.07.2006 21:16 0 fl2.exe Verzeichnis von C:\WINDOWS 22.07.2006 22:35 13.743 ktd32.atm 22.07.2006 22:28 6.672 Pplugin9.dat 22.07.2006 21:51 579 Pplugin4.dat 22.07.2006 21:23 67.897 p_ekran.jpg C:\WINDOWS\system32\imsn.exe C:\WINDOWS\system32\fservice.exe C:\WINDOWS\ktd32.atm C:\WINDOWS\Pplugin9.dat C:\WINDOWS\Pplugin4.dat C:\WINDOWS\services.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\xkn9y1df.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\dfupdate.ini C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\o1fvc9c7.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl1.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl2.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\95vdyukd.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\ricrpgcc.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\rxp5w85g.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.tmp C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.exe Troj/Prorat-OC:\WINDOWS\System32\ffservice.exeC:\WINDOWS\System32\lservice.exe C:\WINDOWS\System32\wservice.exe C:\WINDOWS\System32\lncom.exe C:\WINDOWS\System32\fservice.exe C:\WINDOWS\System32\reginv.dll C:\WINDOWS\System32\sservice.exe C:\WINDOWS\System32\wininv.dll C:\WINDOWS\System32\winkey.dll - BDS/Prorat.19.H C:\WINDOWS\System\sservice.exe C:\WINDOWS\Pplugin4.exe C:\WINDOWS\services.exe C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ss.exe C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\fsg.exe client.exe down_server.exe ffservice.exe img32.dll join.dll plugins.dll ProConnective.exe ProRat V1.6 Special Edition.EXE ProRat.exe prorat_client.exe server.dll server.exe services.exe C:\WINDOWS\KTD32.ATM Troj/Multidr-DQ - BDS/Prorat.M.B.38 C:\WINDOWS\ktd32.atm C:\WINDOWS\plugin1.dat C:\WINDOWS\services.exe C:\WINDOWS\system\sservice.exe C:\WINDOWS\System32\fservice.exe C:\WINDOWS\System32\lncom_.exe C:\WINDOWS\System32\reginv.dll C:\WINDOWS\System32\winkey.dll C:\Windows\transliator.exe
geöffnete Ports
C:\Windows\services.exe am TCP Port 5110 um Backdoor Funktion zur Verfügung zu stellen. C:\Windows\services.exe am TCP Port 5112 um einen FTP Server zur Verfügung zu stellen. C:\Windows\services.exe am TCP Port 51100 um einen FTP Server zur Verfügung zu stellen.
Sendet Informationen über:
Computername Prozessorgeschwindigkeit CPU Typ IP Adresse Aktueller Malware Status Informationen über das Netzwerk Geöffneter Port Informationen über laufende Prozesse Systemzeit Benutzername Lokale Aktivität des Benutzers besuchte URLs Information über das Windows Betriebsystem
Möglichkeiten der Fernkontrolle:
Verzeichnis auflisten Datei herunterladen Registry editieren Datei ausführen System neu starten Emails verschicken System herunterfahren Prozess beenden
Es wird versucht folgende Information zu klauen:
Passwörter folgender Programme: CuteFTP CuteFTP Pro FlashFXP Outlook Express ICQ Trillian MSN Messenger Yahoo! NetMeeting
Nachdem Tastaturanschläge welche mit folgender Zeichenkette übereinstimmt gedrückt wurden wird eine Protokollfunktion gestartet.
%any key%
Aufgezeichnet wird:
Tastaturanschläge Fensterinformation
proratsrch ici: ??????????????
**** Recherche C:\WINDOWS **** C:\WINDOWS\services.exe Présent ! C:\WINDOWS\KTD32.ATM Présent ! **** Recherche C:\WINDOWS\System **** C:\WINDOWS\System\sservice.exe Présent ! **** Recherche C:\WINDOWS\System32 **** C:\WINDOWS\System32\fservice.exe Présent ! C:\WINDOWS\System32\\reginv.dll Présent ! C:\WINDOWS\System32\winkey.dll Présent ! anderer PC
HijackThis
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\System32\server.exe Verzeichnis von C:\WINDOWS\system32 02.09.2006 16:11 20.992 reginv.dll 02.09.2006 16:11 16.896 winkey.dll 31.08.2006 18:35 4.212 zllictbl.dat 31.08.2006 16:29 3.051 qtplugin.log 30.08.2006 11:24 105 fservice.exe.bat 04.08.2006 20:06 463.360 URLMON.DLL 25.07.2006 20:21 17.920 Instmsng.dll 25.07.2006 20:21 37.124 imsn.exe 25.07.2006 20:19 351.276 fservice.exe 25.07.2006 15:20 15.023 server.exe Verzeichnis von C:\WINDOWS 02.09.2006 16:18 523.748 ktd32.atm 25.07.2006 21:00 74.053 p_ekran.jpg 25.07.2006 20:59 230.454 p_ekran.bmp 25.07.2006 20:21 421 Pplugin9.dat 25.07.2006 20:21 54 refresh.scf 25.07.2006 20:19 351.276 services.exe
Winpfind
UPX! 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\SYSTEM32\fservice.exe () aspack 02.09.2006 17:42:12 16896 C:\WINDOWS\SYSTEM32\winkey.dll () 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\services.exe () 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system\sservice.exe () 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system32\fservice.exe ()
Avenger (Beispiel)
anderer PC D:\WINDOWS\System32\msgsple.dll D:\WINDOWS\services.exe D:\WINDOWS\System32\fservice.exe D:\WINDOWS\system\sservice.exe D:\WINDOWS\ktd32.atm D:\WINDOWS\fcp5.cfg D:\WINDOWS\dr.exe
Antivirus
D:\Programme\serial.dat [0] Archivtyp: ZIP --> user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> shell32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d9050.qua' verschoben! D:\Programme\serial.zip [0] Archivtyp: ZIP --> user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> shell32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d905e.qua' verschoben! D:\Programme\shell32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090dd.qua' verschoben! D:\Programme\user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090f6.qua' verschoben! D:\WINDOWS\services.exe [FUND] Enthält verdächtigen Code: HEUR/Malware D:\WINDOWS\user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45709419.qua' verschoben! D:\WINDOWS\system\sservice.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094dd.qua' verschoben! D:\WINDOWS\system32\fservice.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094ff.qua' verschoben!
Link: fservice-remove
Counter-Box.de |
