|
|
ibm00001.exe - C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
|
|
 zur Startseite
Sicherheitsforum: http://board.protecus.de
»»»
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt
|
ergibt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E479-4804
Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web
29.12.2005 22:58 71.680 ibm00003.dll
29.12.2005 22:58 53.760 ibm00004.dll
7 Datei(en) 1.784.625 Bytes
4 Verzeichnis(se), 2.733.654.016 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E479-4804
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
|
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
F2 - REG:system.ini: Shell=explorer.exe
"C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
"C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sysvcs.exe
O4 - HKCU\..\Run: [klop] C:\WINDOWS\16.tmp
O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\l6p20g7oe6.dll - l2mfix anwenden
Troj/Torpig-B
C:\WINDOWS\system32\service\dll.dll
C:\WINDOWS\system32\service\dllp.txt
C:\WINDOWS\system32\service\explorer.exe
Start --> Ausfuehren --> regedit
HKCU\Software\Microsoft\Windows\CurrentVersion\pwd
HKCU\Software\Microsoft\Windows\CurrentVersion\gnum
HKCU\Software\Microsoft\Windows\CurrentVersion\myID2
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
explorer
"System\service\explorer.exe"
Troj/Torpig-D
System\..\temp:
ibm00000.exe
ibm00001.dll
ibm00001.exe
ibm00002.dll
tmp.tmp
Common Files\Microsoft Shared\Web Folders\ibm00001.dll (detected as Troj/Torpig-J)
Common Files\Microsoft Shared\Web Folders\ibm00001.exe (detected as Troj/Torpig-J)
Common Files\Microsoft Shared\Web Folders\ibm00002.dll (detected as Troj/Torpig-J)
Common Files\Microsoft Shared\Web Folders\tmp.tmp
Ewido
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll -> Trojan.Sinowal.a : Cleaned with backup
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe -> Logger.Small.dg : Cleaned with backup
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Cleaned with backup
anderer PC
Hijackthis
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
datfindbat
Verzeichnis von C:\WINDOWS\system32
24.12.2005 17:11 36.864 intercept.dll
24.12.2005 15:22 6.652 scmt16.exe
Verzeichnis von C:\WINDOWS
24.12.2005 17:11 36.864 intercept.dll
24.12.2005 15:23 3.087 secure32.html
24.12.2005 15:22 61.726 kl.exe
24.12.2005 15:22 0 uniq
------------------------------------------
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00000.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.exe
C:\WINDOWS\system32\service\dll.dll
C:\WINDOWS\system32\service\dllp.txt
C:\WINDOWS\system32\service\explorer.exe
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
C:\WINDOWS\system32\nvapps.xml
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00000.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp
C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\scmt16.exe
C:\WINDOWS\intercept.dll
C:\WINDOWS\secure32.html
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq
anderer PC
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
* Trojan-Dropper.Win32.Small.aek
* Trojan-PSW.Win32.Small.ak
* Trojan-PSW.Win32.Agent.bu
ibm00000.exe
ibm00001.dll
ibm00001.exe
ibm00002.dll
tmp.tmp
Common Files>\Microsoft Shared\Web Folders\ibm00001.dll (detected as Troj/Torpig-J)
Common Files>\Microsoft Shared\Web Folders\ibm00001.exe (detected as Troj/Torpig-J)
Common Files>\Microsoft Shared\Web Folders\ibm00002.dll (detected as Troj/Torpig-J)
The following registry entry is created to run ibm00001.exe on startup:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Shell
path to ibm00001.exe
The following registry entry is changed to run ibm00001.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe "path to ibm00001.exe"
(the default value for this registry entry is "Explorer.exe" which causes the Microsoft file Windows folder\Explorer.exe to be run on startup).
An entry may be added to the file SYSTEM.INI in the "boot" section with a key name of "shell" to attempt to run ibm00001.exe on startup.
Troj/Torpig-J attempts to steal passwords, as well as logging keypresses and open window titles to text files and periodically sends the collected information to a remote user via HTTP.
Troj/Torpig-J automatically closes security warning messages displayed by common anti-virus and security related applications
The following registry entry is created to run ibm00001.exe on startup:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Shell
path to ibm00001.exe
The following registry entry may be created to run ibm00001.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe "path to ibm00001.exe"
An entry may be added to the file SYSTEM.INI in the "boot" section with a key name of "shell" to attempt to run ibm00001.exe on startup.
Sobald Troj/Torpig-I gestartet wird, werden einige
oder alle der folgenden Dateien entweder im Ordner C:\Programme\Common Files\Microsoft Shared\Web Folders oder im Ordner System\..\temp: erstellt:
ibm00001.dll
ibm00001.exe
ibm00002.dll
Der Trojaner versucht, Kennwörter zu stehlen sowie Tastenfolgen und Titel offener Fenster in Textdateien zu speichern. Er sendet regelmäßig die gesammelten Daten an einen remoten Anwender über HTTP.
Troj/Torpig-I schließt automatisch Sicherheitswarnungen, die von üblichen Antiviren- und Sicherheitsanwendungen angezeigt werden.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Old value:
"Shell"="Explorer.exe"
New value:
"Shell"="explorer.exe%empty spaces%\"%PROGRAM FILES%\Common Files\\Microsoft Shared\\Web Folders\\ibm00001.exe\""
ibm00001.exe und die ibm0000(1)/(2).dll
PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll
PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
anderer PC
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt
|
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00010.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00013.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00014.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00016.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00017.exe
HijackThis
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.exe"
anderer PC
HijackThis
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.exe"
----------------------------
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >>files.txt
notepad files.txt
|
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00006.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00008.dll
Link:
secure_32.html
|
|
|
|
|
