Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Keylogger unlöschbar (https://www.trojaner-board.de/72921-keylogger-unloeschbar.html)

b6d 08.05.2009 17:36
Keylogger unlöschbar
 
Hi,

ich schau mir grad auf ner VM nen keylogger an.
hab die datei gestartet und es wurde winupd.exe im system32-ordner erstellt, sowie ein registry eintrag zum autostart.

jetzt das problem:
es ist keine winupd.exe im taskmanager zu sehen, man kann aber auch nicht die datei kopieren/ öffnen o.Ä.

dafür wird die iexplore.exe immer unsichtbar gestartet. wenn man diese beendet startet sie erneut

außerdem sieht man mithilfe von regmon, dass wenn man den autostarteintrag in der registry löscht, er automatisch kurz darauf von der explorer.exe neu erstellt wird.

jaaa, das is ja blöd- anscheinend hat sich der keylogger in die beide .exe injected (oder so :P)

wie könnte man dieses problem denn jetzt theoretisch lösen? es sind ja schließlich windowsdateien im spiel, die man braucht.

(jetzt bitte nicht kommen mit "neu aufsetzen etc", is eh nur ne vm. aber mir geht es um die theorie)

danke :)


ps: hijackthis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:38, on 08.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Virtual Machine Additions\vmsrvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Virtual Machine Additions\vpcmap.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Virtual Machine Additions\vmusrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Styler\Styler.exe
C:\Dokumente und Einstellungen\Haha\Desktop\procexp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Haha\Desktop\Tcpview.exe
C:\Programme\Ace Password Sniffer\APS.exe
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Haha\Desktop\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winfuture.de/
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [VMUserServices] C:\Programme\Virtual Machine Additions\vmusrvc.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\winupd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Styler.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239352727658
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 3025 bytes

achja:

tcpview zeigt mir immer in bestimmten abständen eine verbindung an:
Code:
iexplore.exe:272        TCP        trojanhunt:1374        p5b375e4c.dip.t-dialin.net:6885        SYN_SENT
er sendet also etwas an p5b375e4c.dip.t-dialin.net (t-online)
aber was ist das? ne direkte verbindung? ein ftp?

myrtille 11.05.2009 16:29
Die Malware könnte wohl diese sein:
Sophos Trj/Dwnld ZLD

Lösung wäre wohl veränderte/erstellte Dateien auflisten lassen und dann diese entweder im abgesicherten Modus oder bei Neustart entfernen zu lassen.

lg myrtille

b6d 11.05.2009 18:31
die veränderten dateien sind doch wahrscheinlich auch die iexplorer.exe und die explorer.exe, und da diese beiden zu windows gehören kann man die nicht entfernen.

oder injected sich die winupd.exe nach dem start in die beiden dateien?
hm, das teste ich mal ;)

b6d 12.05.2009 19:52
ja, so wars...


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131