Prorat
|
ProratStart - Ausführen - regedit bearbeiten - suchen - ffservice.exe und lservice.exe
Beispiel: C:\WINDOWS\services.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O20 - Winlogon Notify: Installer - D:\WINDOWS\system32\ijsutil.dll O20 - Winlogon Notify: WebCheck - D:\WINDOWS\system32\iPssvcs.dll C:\WINDOWS\system32 13.07.2006 22:27 28.450 pcwkill.z.exe 10.07.2006 22:14 143.360 lncom_.exe 30.06.2006 21:03 16.384 dr.exe 30.06.2006 21:02 147.456 vbzip10.dll Verzeichnis von C:\WINDOWS 10.07.2006 22:50 7.695 ktd32.atm - Diese Datei enthält gesammelte Tastatureingaben. Beispiel: F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe Verzeichnis von C:\WINDOWS\system32 12.04.2006 15:13 97 d_service.exe Verzeichnis von C:\WINDOWS 14.04.2006 14:41 1.046.917 ktd32.atm Verzeichnis von C:\ 14.04.2006 18:44 1.080 tcyfmjem.bat 14.04.2006 18:44 126.976 zip.exe 2. Durchgang: Verzeichnis von C:\ 15.04.2006 05:47 1.080 ehxhyxqt.bat 15.04.2006 05:46 1.080 mdodftua.bat C:\WINDOWS\System32\ 02.04.2006 08:52 5.120 winkey.dll 02.04.2006 08:52 235.120 dkserver.dll 02.04.2006 08:52 236.247 kt2ml7f11.dll C:\WINDOWS\ 02.04.2006 00:59 43.609 ktd32.atm 07.03.2006 00:07 357.406 services.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe C:\WINDOWS\System32\ 05.06.2006 09:51 36.864 reginv.dll 05.06.2006 09:51 13.312 winkey.dll Verzeichnis von C:\WINDOWS 05.06.2006 16:16 32.291 ktd32.atm UPX! 22.07.2006 21:51:14 37124 C:\WINDOWS\SYSTEM32\imsn.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = C:\WINDOWS\system32\fservice.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 NoFolderOptions 0 FoFileAssociate 0 StartMenuLogoff 0 NoShellSearchButton 0 NoRecentDocsMenu 0 NoUserNameInStartMenu 0 NoRecentDocsNetHood 0 NoLowDiskSpaceChecks 1 NoSimpleStartMenu 0 HideClock 0 NoTrayItemsDisplay 0 NoRecentDocsHistory 0 ClearRecentDocsOnExit 0 NoCDBurning 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System DisableTaskMgr 0 Verzeichnis von C:\WINDOWS\system32 22.07.2006 21:51 37.124 imsn.exe Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp 24.07.2006 14:45 339.099 xkn9y1df.exe 24.07.2006 14:29 692 dfupdate.ini 24.07.2006 12:37 1.968.417 o1fvc9c7.exe 22.07.2006 21:16 0 fl1.exe 22.07.2006 21:16 0 fl2.exe Verzeichnis von C:\WINDOWS 22.07.2006 22:35 13.743 ktd32.atm 22.07.2006 22:28 6.672 Pplugin9.dat 22.07.2006 21:51 579 Pplugin4.dat 22.07.2006 21:23 67.897 p_ekran.jpg C:\WINDOWS\system32\imsn.exe C:\WINDOWS\system32\fservice.exe C:\WINDOWS\ktd32.atm C:\WINDOWS\Pplugin9.dat C:\WINDOWS\Pplugin4.dat C:\WINDOWS\services.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\xkn9y1df.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\dfupdate.ini C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\o1fvc9c7.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl1.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fl2.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\95vdyukd.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\ricrpgcc.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\rxp5w85g.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.tmp C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Del88.exe Troj/Prorat-OC:\WINDOWS\System32\ffservice.exeC:\WINDOWS\System32\lservice.exe C:\WINDOWS\System32\wservice.exe C:\WINDOWS\System32\lncom.exe C:\WINDOWS\System32\fservice.exe C:\WINDOWS\System32\reginv.dll C:\WINDOWS\System32\sservice.exe C:\WINDOWS\System32\wininv.dll C:\WINDOWS\System32\winkey.dll - BDS/Prorat.19.H C:\WINDOWS\System\sservice.exe C:\WINDOWS\Pplugin4.exe C:\WINDOWS\services.exe C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ss.exe C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\fsg.exe client.exe down_server.exe ffservice.exe img32.dll join.dll plugins.dll ProConnective.exe ProRat V1.6 Special Edition.EXE ProRat.exe prorat_client.exe server.dll server.exe services.exe C:\WINDOWS\KTD32.ATM Troj/Multidr-DQ - BDS/Prorat.M.B.38 C:\WINDOWS\ktd32.atm C:\WINDOWS\plugin1.dat C:\WINDOWS\services.exe C:\WINDOWS\system\sservice.exe C:\WINDOWS\System32\fservice.exe C:\WINDOWS\System32\lncom_.exe C:\WINDOWS\System32\reginv.dll C:\WINDOWS\System32\winkey.dll C:\Windows\transliator.exe C:\Windows\services.exe am TCP Port 5110 um Backdoor Funktion zur Verfügung zu stellen. C:\Windows\services.exe am TCP Port 5112 um einen FTP Server zur Verfügung zu stellen. C:\Windows\services.exe am TCP Port 51100 um einen FTP Server zur Verfügung zu stellen. Computername Prozessorgeschwindigkeit CPU Typ IP Adresse Aktueller Malware Status Informationen über das Netzwerk Geöffneter Port Informationen über laufende Prozesse Systemzeit Benutzername Lokale Aktivität des Benutzers besuchte URLs Information über das Windows Betriebsystem Verzeichnis auflisten Datei herunterladen Registry editieren Datei ausführen System neu starten Emails verschicken System herunterfahren Prozess beenden Passwörter folgender Programme: CuteFTP CuteFTP Pro FlashFXP Outlook Express ICQ Trillian MSN Messenger Yahoo! NetMeeting %any key% Tastaturanschläge Fensterinformation **** Recherche C:\WINDOWS **** C:\WINDOWS\services.exe Présent ! C:\WINDOWS\KTD32.ATM Présent ! **** Recherche C:\WINDOWS\System **** C:\WINDOWS\System\sservice.exe Présent ! **** Recherche C:\WINDOWS\System32 **** C:\WINDOWS\System32\fservice.exe Présent ! C:\WINDOWS\System32\\reginv.dll Présent ! C:\WINDOWS\System32\winkey.dll Présent ! anderer PC O4 - HKCU\..\Run: [startkey] C:\WINDOWS\System32\server.exe Verzeichnis von C:\WINDOWS\system32 02.09.2006 16:11 20.992 reginv.dll 02.09.2006 16:11 16.896 winkey.dll 31.08.2006 18:35 4.212 zllictbl.dat 31.08.2006 16:29 3.051 qtplugin.log 30.08.2006 11:24 105 fservice.exe.bat 04.08.2006 20:06 463.360 URLMON.DLL 25.07.2006 20:21 17.920 Instmsng.dll 25.07.2006 20:21 37.124 imsn.exe 25.07.2006 20:19 351.276 fservice.exe 25.07.2006 15:20 15.023 server.exe Verzeichnis von C:\WINDOWS 02.09.2006 16:18 523.748 ktd32.atm 25.07.2006 21:00 74.053 p_ekran.jpg 25.07.2006 20:59 230.454 p_ekran.bmp 25.07.2006 20:21 421 Pplugin9.dat 25.07.2006 20:21 54 refresh.scf 25.07.2006 20:19 351.276 services.exe UPX! 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\SYSTEM32\fservice.exe () aspack 02.09.2006 17:42:12 16896 C:\WINDOWS\SYSTEM32\winkey.dll () 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\services.exe () 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system\sservice.exe () 25.07.2006 20:19:52 HS 351276 C:\WINDOWS\system32\fservice.exe ()
anderer PC D:\WINDOWS\System32\msgsple.dll D:\WINDOWS\services.exe D:\WINDOWS\System32\fservice.exe D:\WINDOWS\system\sservice.exe D:\WINDOWS\ktd32.atm D:\WINDOWS\fcp5.cfg D:\WINDOWS\dr.exe D:\Programme\serial.dat [0] Archivtyp: ZIP --> user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> shell32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d9050.qua' verschoben! D:\Programme\serial.zip [0] Archivtyp: ZIP --> user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> shell32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d905e.qua' verschoben! D:\Programme\shell32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090dd.qua' verschoben! D:\Programme\user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090f6.qua' verschoben! D:\WINDOWS\services.exe [FUND] Enthält verdächtigen Code: HEUR/Malware D:\WINDOWS\user32.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45709419.qua' verschoben! D:\WINDOWS\system\sservice.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094dd.qua' verschoben! D:\WINDOWS\system32\fservice.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094ff.qua' verschoben! Counter-Box.de |