#1 1. März 2012 Zuletzt von einem Moderator bearbeitet: 14. April 2017 Kann jemand bitte mal den Screenshot anschauen? Wie kann ich das tracen? Ich muss wissen wer auf meine Daten Zugriff hatte. Thx. Spoiler P.S. Irgendwo stand unter "description" ---> systray exe stub P.P.S. Das Ding erstellt sich nach ~120sek neu sobald ich dessen *exe lösche Spoiler Link: Ok hier ist die exe bei XUP Pwd: 123654 + Multi-Zitat Zitieren
#2 1. März 2012 AW: Sonderbarer Task & TCP Connection Lade die exe halt mal hoch, dann sieht man was es für ein Malware-Typ ist. Könnte ein DDOS Bot sein, weil es sich um einen ausländischen Hoster handelt, dann sind deine persönlichen Daten kaum in Gefahr, weil ein anderer Zweck verfolgt wird. + Multi-Zitat Zitieren
#3 1. März 2012 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Sonderbarer Task & TCP Connection Anubis Spoiler ___ __ _ + /- / | ____ __ __/ /_ (_)____ -\ + /s h- / /| | / __ \/ / / / __ \/ / ___/ -h s\ oh-:d/ / ___ |/ / / / /_/ / /_/ / (__ ) /d:-ho shh+hy- /_/ |_/_/ /_/\__,_/_.___/_/____/ -yh+hhs -:+hhdhyys/- -\syyhdhh+:- -//////dhhhhhddhhyss- Analysis Report -ssyhhddhhhhhd\\\\\\- /++/////oydddddhhyys/ ooooooooooooooooooooo \syyhhdddddyo\\\\\++\ -+++///////odh/- -+hdo\\\\\\\+++- +++++++++//yy+/: :\+yy\\+++++++++ /+soss+sys//yyo/os++o+: :+o++so\oyy\\sys+ssos+\ +oyyyys++o/+yss/+/oyyyy: :yyyyo\+\ssy+\o++syyyyo+ +oyyyyyyso+os/o/+yyyyyy/ \yyyyyy+\o\so+osyyyyyyo+ [#############################################################################] Analysis Report for Y9G9C70.exe MD5: 29090b6b4d6605a97ac760d06436ac2d [#############################################################################] Summary: No threats could be detected by Anubis. This does NOT imply that execution of this executable is safe. [=============================================================================] Table of Contents [=============================================================================] - General information - Y9G9C70.ex.exe a) Registry Activities b) File Activities [#############################################################################] 1. General Information [#############################################################################] [=============================================================================] Information about Anubis' invocation [=============================================================================] Time needed: 25 s Report created: 05/01/11, 04:24:34 UTC Termination reason: All tracked processes have exited Program version: 1.75.3394 [#############################################################################] 2. Y9G9C70.ex.exe [#############################################################################] [=============================================================================] General information about this executable [=============================================================================] Analysis Reason: Primary Analysis Subject Filename: Y9G9C70.ex.exe MD5: 29090b6b4d6605a97ac760d06436ac2d SHA-1: d929d3389642e52bae5ad8512293c9c4d3e4fab5 File Size: 3072 Bytes Command Line: "C:\Y9G9C70.ex.exe" Process-status at analysis end: dead Exit Code: 0 [=============================================================================] Load-time Dlls [=============================================================================] Module Name: [ C:\WINDOWS\system32\ntdll.dll ], Base Address: [0x7C900000 ], Size: [0x000AF000 ] Module Name: [ C:\WINDOWS\system32\kernel32.dll ], Base Address: [0x7C800000 ], Size: [0x000F6000 ] Module Name: [ C:\WINDOWS\system32\USER32.dll ], Base Address: [0x7E410000 ], Size: [0x00091000 ] Module Name: [ C:\WINDOWS\system32\GDI32.dll ], Base Address: [0x77F10000 ], Size: [0x00049000 ] Module Name: [ C:\WINDOWS\system32\SHELL32.dll ], Base Address: [0x7C9C0000 ], Size: [0x00817000 ] Module Name: [ C:\WINDOWS\system32\ADVAPI32.dll ], Base Address: [0x77DD0000 ], Size: [0x0009B000 ] Module Name: [ C:\WINDOWS\system32\RPCRT4.dll ], Base Address: [0x77E70000 ], Size: [0x00092000 ] Module Name: [ C:\WINDOWS\system32\Secur32.dll ], Base Address: [0x77FE0000 ], Size: [0x00011000 ] Module Name: [ C:\WINDOWS\system32\msvcrt.dll ], Base Address: [0x77C10000 ], Size: [0x00058000 ] Module Name: [ C:\WINDOWS\system32\SHLWAPI.dll ], Base Address: [0x77F60000 ], Size: [0x00076000 ] Module Name: [ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ], Base Address: [0x773D0000 ], Size: [0x00103000 ] Module Name: [ C:\WINDOWS\system32\comctl32.dll ], Base Address: [0x5D090000 ], Size: [0x0009A000 ] [=============================================================================] 2.a) Y9G9C70.ex.exe - Registry Activities [=============================================================================] [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] Registry Values Read: [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] Key: [ HKLM\SYSTEM\Setup ], Value Name: [ SystemSetupInProgress ], Value: [ 0 ], 1 time Key: [ HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers ], Value Name: [ TransparentEnabled ], Value: [ 1 ], 1 time [=============================================================================] 2.b) Y9G9C70.ex.exe - File Activities [=============================================================================] [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] File System Control Communication: [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] File: [ C:\Program Files\Common Files\ ], Control Code: [ 0x00090028 ], 1 time [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] Memory Mapped Files: [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] File Name: [ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ] File Name: [ C:\WINDOWS\WindowsShell.Manifest ] File Name: [ C:\WINDOWS\system32\SHELL32.dll ] File Name: [ C:\WINDOWS\system32\comctl32.dll ] [#############################################################################] International Secure Systems Lab International Secure System Lab Vienna University of Technology Eurecom France UC Santa Barbara Technische Universität Wien : TUWIEN Home Accueil | www.eurecom.fr Department of Computer Science Contact: anubis@iseclab.org Bedeutet dass, es gibt in Verzeichnis C:\ eine Datei "Y9G9C70.ex.exe" ??? Finde ich nicht. Dafür einen Ordner "x64drvsys" mit 2 Dateien. Eine *exe 204kb, eine ohne Endung, 21kb. Hier die zweite *exe: ohne PWD, ohne archiv Helft mir bitte, das Ding killt regelmäßig den Task "leecher.exe" das geht zu weit -.- Achja und das auch: + Multi-Zitat Zitieren
#4 3. März 2012 AW: Sonderbarer Task & TCP Connection Sieht so aus, als wäre es irgendwo etwas tiefer eingenistet. Du könntest mit Wireshark protokollieren, was es genau tut. Ansonsten bleibt die Disassemblierung, das aber nur mit genügend Kentnissen. Oder/Und eine Prüfung mit gdb unter Linux, was aber auch wieder Assemblerkentnisse erfordert. Gibt es den Abgesicherten Modus noch? In dem Modus habe ich diverse Malware bereits löschen können, genauso wie seine "versteckten" Dateien, die unter Normalbedingungen dennoch versteckt waren, selbst wenn ich Windows gesagt habe, er soll nichts verstecken. + Multi-Zitat Zitieren
#5 4. März 2012 AW: Sonderbarer Task & TCP Connection soweit ich das sehen kann bist du garnicht infiziert. Wird wahrscheinlich ein andres Programm sein das die exe und tmp erstellt. + Multi-Zitat Zitieren
#6 4. März 2012 AW: Sonderbarer Task & TCP Connection Die hello.exe ist auf jeden Fall schädlich. Die andere ist wohl nur eine dummy Datei, die zur Laufzeit verändert wird. Hast du noch mehr Dateien? Schau lieber mal mit Prozess Hacker: Overview - Process Hacker (als Admin starten) + Multi-Zitat Zitieren
#7 4. März 2012 AW: Sonderbarer Task & TCP Connection diese datei habe ich garnicht. HAb nur die aus der zip genommen. + Multi-Zitat Zitieren
#8 4. März 2012 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Sonderbarer Task & TCP Connection Da ist eine hello.exe. Habe aber keine Zeit die jetzt zu analysieren. Sieht sehr professionell aus. + Multi-Zitat Zitieren