HKCU/HKLM - C:\dir\install\server.exe

sHaoMao · 08.03.2010, 18:17

So, hier erstmal das Ergebnis von VirusTotal:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.03.07	Worm.Win32.Rebhip!IK
AhnLab-V3	5.0.0.2	2010.03.07	-
AntiVir	8.2.1.180	2010.03.05	TR/Spy.Gen
Antiy-AVL	2.0.3.7	2010.03.05	Trojan/Win32.Scar.gen
Authentium	5.2.0.5	2010.03.06	W32/Agent.HZS
Avast	4.8.1351.0	2010.03.07	Win32:Spyware-gen
Avast5	5.0.332.0	2010.03.07	Win32:Spyware-gen
AVG	9.0.0.787	2010.03.07	PSW.Generic7.BBRB
BitDefender	7.2	2010.03.07	Gen:Win32.ExplorerHijack.mGW@aeCgJop
CAT-QuickHeal	10.00	2010.03.06	Trojan.Scar.zic
ClamAV	0.96.0.0-git	2010.03.06	Trojan.Agent-125915
Comodo	4091	2010.02.28	TrojWare.Win32.PSW.Delf.~JHN
DrWeb	5.0.1.12222	2010.03.07	Win32.HLLW.Autoruner.14540
eSafe	7.0.17.0	2010.03.04	-
eTrust-Vet	35.2.7342	2010.03.05	Win32/Spyrat!generic
F-Prot	4.5.1.85	2010.03.06	W32/Agent.HZS
F-Secure	9.0.15370.0	2010.03.07	Gen:Win32.ExplorerHijack.mGW@aeCgJop
Fortinet	4.0.14.0	2010.03.07	-
GData	19	2010.03.07	Gen:Win32.ExplorerHijack.mGW@aeCgJop
Ikarus	T3.1.1.80.0	2010.03.07	Worm.Win32.Rebhip
Jiangmin	13.0.900	2010.03.07	Trojan/Swisyn.it
K7AntiVirus	7.10.990	2010.03.04	-
Kaspersky	7.0.0.125	2010.03.07	Trojan.Win32.Llac.ada
McAfee	5912	2010.03.06	Generic PWS.di
McAfee+Artemis	5912	2010.03.06	Generic PWS.di
McAfee-GW-Edition	6.8.5	2010.03.07	Heuristic.BehavesLike.Win32.Dropper.H
Microsoft	1.5502	2010.03.07	Backdoor:Win32/Poisonivy.H
NOD32	4922	2010.03.07	a variant of Win32/Spatet.A
Norman	6.04.08	2010.03.07	W32/Malware
nProtect	2009.1.8.0	2010.03.07	Trojan/W32.Agent.203264.AA
Panda	10.0.2.2	2010.03.07	Trj/CI.A
PCTools	7.0.3.5	2010.03.04	Malware.Spyrat
Prevx	3.0	2010.03.08	-
Rising	22.37.06.04	2010.03.07	-
Sophos	4.51.0	2010.03.07	Mal/Behav-328
Sunbelt	5780	2010.03.07	Trojan.Win32.Generic!BT
Symantec	20091.2.0.41	2010.03.07	W32.Spyrat
TheHacker	6.5.1.9.223	2010.03.07	-
TrendMicro	9.120.0.1004	2010.03.07	TSPY_SPATET.SMT
VBA32	3.12.12.2	2010.03.05	Trojan.Win32.Swisyn.hyo
ViRobot	2010.3.5.2214	2010.03.05	-
VirusBuster	5.0.27.0	2010.03.06	Worm.DR.Rebhip.Gen
weitere Informationen
File size: 203264 bytes
MD5...: 0a554ef0cda5e138ce917cac7e821673
SHA1..: cc64e05a8614f89b20fff829cd863753851cc4df
SHA256: 81e9f65faeb17bec84e86fb3b6312cb9708dcdea99147edb339f5aba0aa64a2b
ssdeep: 6144:fbbza7zW7z4ipOIf1rB0+oHK+wgLE6y/ze:zb6z0TVlBPD1Bze
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xbb4c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0xb044 0xb200 6.39 fdffb71272ecc517a450c5ebbb15d04f
DATA 0xd000 0x21c 0x400 2.74 7bb9fb6f83822e89fe3ad5557e5d512e
BSS 0xe000 0x11e5 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x10000 0xba0 0xc00 4.68 088b5d10f853e1d2afaa21223ca9f5f8
.tls 0x11000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x12000 0x18 0x200 0.21 a270a5e1f4f71f9ddb31027f913842a2
.reloc 0x13000 0xa48 0xc00 6.22 42cc91613363ed348eb15307cc3595a4
.rsrc 0x14000 0x245b8 0x24600 7.94 044cf71fdcb6024be1d8d04f8515f0d4

( 16 imports )
> kernel32.dll: GetCurrentThreadId, WideCharToMultiByte, MultiByteToWideChar, ExitProcess, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetCommandLineA, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, GetModuleFileNameA, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap
> user32.dll: CharNextA
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegEnumValueA, RegDeleteKeyA, RegCreateKeyExA, RegCreateKeyA, RegCloseKey, OpenProcessToken, LookupAccountNameA, IsValidSid, GetUserNameA
> kernel32.dll: lstrlenA, lstrcmpiA, WriteProcessMemory, WriteFile, WaitForSingleObject, VirtualProtectEx, VirtualProtect, VirtualFreeEx, VirtualFree, VirtualAllocEx, VirtualAlloc, Sleep, SizeofResource, SetFilePointer, SetFileAttributesA, ReadProcessMemory, ReadFile, OpenProcess, LockResource, LoadResource, LoadLibraryA, GlobalFree, GetVersionExA, GetTickCount, GetProcAddress, GetPrivateProfileStringA, GetPrivateProfileIntA, GetModuleHandleA, GetLastError, GetFileSize, GetFileAttributesA, GetExitCodeThread, GetCurrentProcess, FreeResource, FreeLibrary, FindResourceA, FindFirstFileA, FindClose, ExitProcess, DeleteFileA, CreateRemoteThread, CreateProcessA, CreateMutexA, CreateFileA, CreateDirectoryA, CopyFileA, CloseHandle
> user32.dll: wvsprintfA, ToAscii, SetWindowsHookExA, GetWindowThreadProcessId, GetKeyboardState, FindWindowA, CharLowerA, CharUpperA
> ole32.dll: OleInitialize, CoCreateInstance
> pstorec.dll: PStoreCreateInstance
> ole32.dll: CoTaskMemFree
> ole32.dll: StringFromCLSID
> advapi32.dll: LsaFreeMemory, LsaClose, LsaRetrievePrivateData, LsaOpenPolicy, ConvertSidToStringSidA
> shell32.dll: SHGetSpecialFolderPathA
> rasapi32.dll: RasGetEntryDialParamsA, RasEnumEntriesA
> advapi32.dll: CredEnumerateA
> crypt32.dll: CryptUnprotectData
> advapi32.dll: CryptDestroyHash, CryptHashData, CryptCreateHash, CryptGetHashParam, CryptReleaseContext, CryptAcquireContextA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

und nun die Log nach dem vollständigen Durchlauf von MAM:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3837
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

08.03.2010 18:15:49
mbam-log-2010-03-08 (18-15-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 300940
Laufzeit: 25 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{p62stcli-3kn8-12xw-65y6-uq46s4net266} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\dir\install\install\server.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Users\Shao\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Shao\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Shao\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

Allerdings ist zu bemerken, dass auch wenn bei MAM "C:\dir\install\install\server.exe (Generic.Bot.H) -> Quarantined and deleted successfully." steht, dass diese Datei nach dem Neustart immer noch besteht und auch weiterhin beim Win-Start geladen wird.

HKCU/HKLM - C:\dir\install\server.exe

Log-Analyse und Auswertung: HKCU/HKLM - C:\dir\install\server.exe

HKCU/HKLM - C:\dir\install\server.exe

Ähnliche Themen: HKCU/HKLM - C:\dir\install\server.exe