Sonderbarer Task & TCP Connection

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Red Panda, 1. März 2012 .

Schlagworte:
  1. 1. März 2012
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Kann jemand bitte mal den Screenshot anschauen?

    Wie kann ich das tracen? Ich muss wissen wer auf meine Daten Zugriff hatte.

    Thx.

    Spoiler
    Bild

    P.S. Irgendwo stand unter "description" ---> systray exe stub

    P.P.S. Das Ding erstellt sich nach ~120sek neu sobald ich dessen *exe lösche
    Spoiler
    Bild

    Link: Ok hier ist die exe bei XUP Pwd: 123654
     
  2. 1. März 2012
    AW: Sonderbarer Task & TCP Connection

    Lade die exe halt mal hoch, dann sieht man was es für ein Malware-Typ ist.

    Könnte ein DDOS Bot sein, weil es sich um einen ausländischen Hoster handelt, dann sind deine persönlichen Daten kaum in Gefahr, weil ein anderer Zweck verfolgt wird.
     
  3. 1. März 2012
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Sonderbarer Task & TCP Connection

    Anubis
    Spoiler
    ___ __ _
    + /- / | ____ __ __/ /_ (_)____ -\ +
    /s h- / /| | / __ \/ / / / __ \/ / ___/ -h s\
    oh-:d/ / ___ |/ / / / /_/ / /_/ / (__ ) /d:-ho
    shh+hy- /_/ |_/_/ /_/\__,_/_.___/_/____/ -yh+hhs
    -:+hhdhyys/- -\syyhdhh+:-
    -//////dhhhhhddhhyss- Analysis Report -ssyhhddhhhhhd\\\\\\-
    /++/////oydddddhhyys/ ooooooooooooooooooooo \syyhhdddddyo\\\\\++\
    -+++///////odh/- -+hdo\\\\\\\+++-
    +++++++++//yy+/: :\+yy\\+++++++++
    /+soss+sys//yyo/os++o+: :+o++so\oyy\\sys+ssos+\
    +oyyyys++o/+yss/+/oyyyy: :yyyyo\+\ssy+\o++syyyyo+
    +oyyyyyyso+os/o/+yyyyyy/ \yyyyyy+\o\so+osyyyyyyo+


    [#############################################################################]
    Analysis Report for Y9G9C70.exe
    MD5: 29090b6b4d6605a97ac760d06436ac2d
    [#############################################################################]

    Summary: No threats could be detected by Anubis.
    This does NOT imply that execution of this executable is safe.

    [=============================================================================]
    Table of Contents
    [=============================================================================]

    - General information
    - Y9G9C70.ex.exe
    a) Registry Activities
    b) File Activities


    [#############################################################################]
    1. General Information
    [#############################################################################]
    [=============================================================================]
    Information about Anubis' invocation
    [=============================================================================]
    Time needed: 25 s
    Report created: 05/01/11, 04:24:34 UTC
    Termination reason: All tracked processes have exited
    Program version: 1.75.3394


    [#############################################################################]
    2. Y9G9C70.ex.exe
    [#############################################################################]
    [=============================================================================]
    General information about this executable
    [=============================================================================]
    Analysis Reason: Primary Analysis Subject
    Filename: Y9G9C70.ex.exe
    MD5: 29090b6b4d6605a97ac760d06436ac2d
    SHA-1: d929d3389642e52bae5ad8512293c9c4d3e4fab5
    File Size: 3072 Bytes
    Command Line: "C:\Y9G9C70.ex.exe"
    Process-status
    at analysis end: dead
    Exit Code: 0

    [=============================================================================]
    Load-time Dlls
    [=============================================================================]
    Module Name: [ C:\WINDOWS\system32\ntdll.dll ],
    Base Address: [0x7C900000 ], Size: [0x000AF000 ]
    Module Name: [ C:\WINDOWS\system32\kernel32.dll ],
    Base Address: [0x7C800000 ], Size: [0x000F6000 ]
    Module Name: [ C:\WINDOWS\system32\USER32.dll ],
    Base Address: [0x7E410000 ], Size: [0x00091000 ]
    Module Name: [ C:\WINDOWS\system32\GDI32.dll ],
    Base Address: [0x77F10000 ], Size: [0x00049000 ]
    Module Name: [ C:\WINDOWS\system32\SHELL32.dll ],
    Base Address: [0x7C9C0000 ], Size: [0x00817000 ]
    Module Name: [ C:\WINDOWS\system32\ADVAPI32.dll ],
    Base Address: [0x77DD0000 ], Size: [0x0009B000 ]
    Module Name: [ C:\WINDOWS\system32\RPCRT4.dll ],
    Base Address: [0x77E70000 ], Size: [0x00092000 ]
    Module Name: [ C:\WINDOWS\system32\Secur32.dll ],
    Base Address: [0x77FE0000 ], Size: [0x00011000 ]
    Module Name: [ C:\WINDOWS\system32\msvcrt.dll ],
    Base Address: [0x77C10000 ], Size: [0x00058000 ]
    Module Name: [ C:\WINDOWS\system32\SHLWAPI.dll ],
    Base Address: [0x77F60000 ], Size: [0x00076000 ]
    Module Name: [ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ],
    Base Address: [0x773D0000 ], Size: [0x00103000 ]
    Module Name: [ C:\WINDOWS\system32\comctl32.dll ],
    Base Address: [0x5D090000 ], Size: [0x0009A000 ]

    [=============================================================================]
    2.a) Y9G9C70.ex.exe - Registry Activities
    [=============================================================================]
    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    Registry Values Read:
    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    Key: [ HKLM\SYSTEM\Setup ],
    Value Name: [ SystemSetupInProgress ], Value: [ 0 ], 1 time
    Key: [ HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers ],
    Value Name: [ TransparentEnabled ], Value: [ 1 ], 1 time


    [=============================================================================]
    2.b) Y9G9C70.ex.exe - File Activities
    [=============================================================================]
    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    File System Control Communication:
    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    File: [ C:\Program Files\Common Files\ ], Control Code: [ 0x00090028 ], 1 time

    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    Memory Mapped Files:
    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    File Name: [ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ]
    File Name: [ C:\WINDOWS\WindowsShell.Manifest ]
    File Name: [ C:\WINDOWS\system32\SHELL32.dll ]
    File Name: [ C:\WINDOWS\system32\comctl32.dll ]



    [#############################################################################]
    International Secure Systems Lab
    International Secure System Lab

    Vienna University of Technology Eurecom France UC Santa Barbara
    Technische Universität Wien : TUWIEN Home Accueil | www.eurecom.fr Department of Computer Science

    Contact: anubis@iseclab.org

    Bedeutet dass, es gibt in Verzeichnis C:\ eine Datei "Y9G9C70.ex.exe" ???
    Finde ich nicht. Dafür einen Ordner "x64drvsys" mit 2 Dateien. Eine *exe 204kb, eine ohne Endung, 21kb.

    Hier die zweite *exe: ohne PWD, ohne archiv

    Helft mir bitte, das Ding killt regelmäßig den Task "leecher.exe" das geht zu weit -.-

    Achja und das auch:
    Bild
     
  4. 3. März 2012
    AW: Sonderbarer Task & TCP Connection

    Sieht so aus, als wäre es irgendwo etwas tiefer eingenistet. Du könntest mit Wireshark protokollieren, was es genau tut. Ansonsten bleibt die Disassemblierung, das aber nur mit genügend Kentnissen. Oder/Und eine Prüfung mit gdb unter Linux, was aber auch wieder Assemblerkentnisse erfordert.

    Gibt es den Abgesicherten Modus noch? In dem Modus habe ich diverse Malware bereits löschen können, genauso wie seine "versteckten" Dateien, die unter Normalbedingungen dennoch versteckt waren, selbst wenn ich Windows gesagt habe, er soll nichts verstecken.
     
  5. 4. März 2012
    AW: Sonderbarer Task & TCP Connection

    soweit ich das sehen kann bist du garnicht infiziert.
    Wird wahrscheinlich ein andres Programm sein das die exe und tmp erstellt.
     
  6. 4. März 2012
    AW: Sonderbarer Task & TCP Connection

    Die hello.exe ist auf jeden Fall schädlich. Die andere ist wohl nur eine dummy Datei, die zur Laufzeit verändert wird.

    Hast du noch mehr Dateien?

    Schau lieber mal mit Prozess Hacker: Overview - Process Hacker (als Admin starten)
     
  7. 4. März 2012
    AW: Sonderbarer Task & TCP Connection

    diese datei habe ich garnicht. HAb nur die aus der zip genommen.
     
  8. 4. März 2012
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Sonderbarer Task & TCP Connection

    Da ist eine hello.exe. Habe aber keine Zeit die jetzt zu analysieren. Sieht sehr professionell aus.
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.