Hallo,

als ich mir zugegeben nicht ganz legal eine vermeintlich gecrackte Software heruntergeladen habe, kam mir gleich einiges merkwürdig vor. Ich konnte den Installer beispielsweise nicht 2x starten, bei dem 2. Ausführen ist der schlicht abgestürzt, noch war die Software danach freigeschaltet.

Entschuldigt mir mein Vergehen bis hierhin.

Mir ist jedoch aufgefallen das direkt eine "winlogon.exe" in das Temp Verzeichnis des Nutzers (%temp%) kopiert wurde. Danach werden einige weitere Dateien, ebenfalls im Temp Verzeichnis erstellt:
ironbark.dll
Hurdygurdy.bin
nsaD817.tmp\System.dll

Ich habe das System danach mit einer Formatierung direkt neu aufgesetzt.

Jedoch gibt es zu den einzelnen Dateien kaum Ergebnisse bei Google.
Kann mir jemand sagen welche Informationen dieser Trojaner abgreift?

Ich habe ihn euch im Anhang hochgeladen.

Das Passwort lautet schlicht "trojaner" ohne ".

malwr Analyse winlogon.exe:
https://malwr.com/analysis/ZDFjZmY5Y2RmYWMxNDk4YmE0ZTAwZWEyNDU5ZGU4YmY/

Generell werden hier keine Malwaresamples öffentlich hochgeladen. Und generell kann ich dein Archiv nicht entpacken.
Lad das doch mal bei vt hoch.

Wieso hast du denn kein 7zip Sandra

Zitat:

Zitat von cosinus

Wieso hast du denn kein 7zip Sandra

Weil... isso!

Hallo,

wie lade ich ein Sample denn privat hoch? Die Analyse bei VT hilft mir aufgrund der unterschiedlichen Namen nicht wirklich weiter.

winlogon.exe:
https://www.virustotal.com/#/file/1fddaf6545445d93777c3b72fa8b46159c401025b14bd1c36d70fe8c5a5809d1/detection

edit: Habe es soeben als rar bei euch hochgeladen.