#1  (Permalink
Alt 09.01.2002, 13:09
WoozySaint WoozySaint ist offline
Neues Mitglied
 
Registriert seit: 12.08.2000
Beiträge: 2
Frage Trojaner?

Hallo da draußen,
mir ist vor kurzem eine Datei in meinem Windows\System-Ordner aufgefallen. Es ist die "Wmiexe32.exe". Sie legt in meinem Windows\Temp-Verzeichnis eine weitere Datei an, nämlich die "systemcap.txt".
Neugierig wie ich bin hab ich diese Datei geöffnet und war erstaunt bzw. entsetzt was diese Datei so alles für Informationen zusammengetragen hat.
Hier ein kleiner Auszug:
###### *** REMOTE SYSTEM CAPTURE FILE *** #######

BioNet Server Info:

version : 3.18
stealth mode : no
offline keyLog :
startup Key : WMI
filename : C:\WINDOWS\SYSTEM\WMIEXE32.EXE
Port : 61938
Data Thru : 44714
#################################################
Operating System Info :

system : Windows 95 Version 4.10
computer name : MICROSCHROTT
processor type : Pentium
number of cpu : 1
logical dirves : ACDEF

#################################################
User Info:

organisaton :
owner :
cd key :

#################################################
PASSWORDS
#################################################

ICQ UINs
#################################################
xxxxxxxx (privat)
AOL IM
#################################################


Cache
#################################################
(hier sind meine lokalen Netzwerkverbindungen aufgelistet mit Passwörtern)

*Rna\Microsoft Internet Referral Service\icw5@gn.microsoft.com: icw5


#################################################
Email Accounts :
#################################################
(hier sind meine E-mailverbindungen geloggt)

Account - xxxxxxxxxxxxxx
POP3 Server - xxxxxxxxx
POP3 UserName - xxxxxxxxxxxx
SMTP UserName - xxxxxxxxxxxx
SMTPServer - xxxxxxxxxxxxx
SMTPEmail Address - xxxxxxxxxxxxxx
----------------

#################################################
Ras Accounts
#################################################
(und hier stehen alle meine DFÜ-Verbindungen komplett mit Login und Einwahlnummer - nur das Passwort fehlt)

Connection Name -
Login -
Password -
Phone Number -
------------------------------
Connection Name -
Login -
Password -
Phone Number -

#################################################

Das tolle ist, dass die Ports, die oben drinstehen sich andauernd ändern! Außerdem ist der Tippfehler bei "dirves" was wohl "drives" sein soll eklatant.
Desweiteren versucht diese Datei unter dem Synonym "Services and Controller app" zum Internet zu connecten. Was ich, aber mit meiner Firewall bisher zu verhindern hoffe.

Eigentlich bin ich mir zu 98% sicher, dass es ein Trojaner ist, deswegen hab ich mit der neusten Version des AntVir mal meine Platte gecheckt, aber der hat nix gefunden.

Aus Windows heraus kann ich sie auch nicht manuell löschen, da diese Datei von Windows benutzt wird - so wie die "Wmiexe.exe" (<- ist wohl die original Windowsdatei).
Als nächstes dacht ich mir ich beende das Ding mit dem Taskmanager, aber bei Win98 ist ja noch nix gescheit aufgelistet was so alles geladen ist.
Dann hab ichs in DOS versucht, aber da findet er sie nicht, weil sie wohl irgendwie versteckt ist und leider bin ich mit DOS nicht so vertraut um sie ausfindig zu machen.

Also wenn jemand ähnliche Erfahrungen mit diesem Ding gemacht hat und es losgeworden ist ohne zu formatieren bzw. mir Tipps geben kann wie ich es in DOS ausfindig mache - wäre ich sehr dankbar.

Greets


Mit Zitat antworten
  #2  (Permalink
Alt 09.01.2002, 14:39
HasT HasT ist offline
Senior Mitglied
 
Registriert seit: 15.02.2001
Beiträge: 540
Standard Re: Trojaner?

Ein besserer Taskmanager ist z.B. KillProcess. Ich habe dem Programm gleich eine Tastenkombination verpasst: STRG+ALT+K.

Mit Zitat antworten
  #3  (Permalink
Alt 09.01.2002, 19:51
WoozySaint WoozySaint ist offline
Neues Mitglied
 
Registriert seit: 12.08.2000
Beiträge: 2
Standard Re: Trojaner?

Hehe, war eigentlich gar nicht so schwer!
Steht ja alles in der Datei drin.
Es handelt sich um den Backdoor-Trojaner BioNet 318. So jetzt muss ich ihn nur noch entfernen.

Nur schade, dass die kostenlose Antiviren Software AntiVir ihn leider nicht erkennt.

Greets

Mit Zitat antworten
  #4  (Permalink
Alt 10.01.2002, 15:24
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Trojaner?

klaro wechsel einfach ins windows-dir und gib dann deltree dateiname.exe ein. alternativ kannst du auch erst die attribute aufheben mit "attrib -a -s -h -r datei.exe" und dann "del datei.exe" machen.

MfG

TheCan

"It´s nice to be important, but it´s more important to be nice"
[The Can official homepage]
http://www.thecan.de
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
 
Anzeige
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Trojaner, Trojaner, ick hör dir trapsen! melchors Sonstiges 0 03.08.2007 14:50
Anwaltspost enthält Trojaner ChrisNRW Sonstiges 2 11.04.2007 15:31
Trojaner: gefährlich? Pikachu! Sonstiges 2 19.01.2002 20:09
Shellex Trojaner jipman Sonstiges 6 29.11.2001 13:25
Trojaner , Hacker ??? weizi Sonstiges 0 24.02.2001 21:10


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:01 Uhr.


Basiert auf vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.