[intoxication]

Habe mal eine kleine Frage, Kollege hat was geschickt bekommen und gemeint es hätte sich ein dos fenster geöffnet und es wären ja in wirklichkeit gar keine icq smileys


mein virenscanner schlägt jedoch auch keinen alarm..

hab die datei mal in eine .bat unbenannt und mit dem editor geöffnet, mehrmals kommt dadrin das verzeichnis "C:\WINDOWS\zset32" vor, weiß jedoch nich was das sein soll.
is bei euch was?
oder kann jemand klären worum es sich da handelt?


rechner wäre seit dem sehr langsam

[intoxication]

is sauber, bis auf den regedit eintrag, der wieder auf diesen windowspfad zugreift.
wurde direkt gefixt und der ordner mittlerweile gelöscht mittels unlocker, jedoch trotzdem weiterhin die frage ob nich noch was außer diesem ordner "installiert" wurde..

hatte eben datei vergessen :-P

http://datenklo.net/file.php?id=198960fa6f...d4d63b648a91aea

Dieser Beitrag wurde von pjaeger´06 bearbeitet: 12. Juli 2006 - 21:04

[Systemfailure]

Zitat (deen: 12.07.2006, 21:17)

Hijackthis Log posten wäre nicht schlecht.

Das wäre sogar sehr nützlich

[intoxication]

sinnvolle antworten wären besser
bin ja nich grad der größte anfänger,

Zitat

is sauber, bis auf den regedit eintrag, der wieder auf diesen windowspfad zugreift.

siehe letzter beitrag, eintrag wurde gefixt..

die frage ist, obs noch sonstige rückstände gibt oder die neugier was das programm angerichtet hat..

Dieser Beitrag wurde von pjaeger´06 bearbeitet: 12. Juli 2006 - 21:05

[flo]

System ist Kompromittiert --> Neuinstallation siehe Stickys

[intoxication]

sicher oder einfach nur vermutung?

kann keiner entschlüsseln was die exe ausführt?
im editor werden zwar bruchstücke wie der ordner sichtbar aber mehr nich

[schrämp]

Zitat (pjaeger´06: 12.07.2006, 22:16)

sicher oder einfach nur vermutung?

kann keiner entschlüsseln was die exe ausführt?
im editor werden zwar bruchstücke wie der ordner sichtbar aber mehr nich

ich glaub nicht das sich das damit einer freiwillig herumexperimentieren will

[bardelot]

Habe das Teil mal bei Jotti und VirusTotal gescannt, hier das Ergebnis:

Jotti:
AntiVir Found SecurityPrivacyRisk/PSW.MailPass riskware
Dr.Web Found Tool.PassView
VBA32 Found Backdoor.VB.41 (probable variant)

VirusTotal:
McAfee 4805 07.12.2006 potentially unwanted program PW*****-MPass
VBA32 3.11.0 07.12.2006 suspected of Backdoor.VB.41

Habe leider keine Zeit das Teil in meiner VM auszuführen, sonst hätte ich dir eventuell helfen können.

Edit hab mal kurz rein geschaut (mal ein paar strings):

den letzten schritt bitte in der readme.txt lesen
icq smileys erstellt...
ERSTER SHIT
C:\WINDOWS\zset32\getpw.exe
C:\WINDOWS\zset32\ftp.exe
C:\WINDOWS\zset32\hero.exe
C:\WINDOWS\zset32\FTPlib.dll
C:\WINDOWS\zset32\keydll3.dll
C:\WINDOWS\zset32\fstart32.exe
FILES
C:\WINDOWS\zset32
hero.exe
fstart32.exe
....
C:\WINDOWS\zset32\mailpv.exe /stext %s
C:\WINDOWS\zset32\mspass.exe /stext %s
C:\WINDOWS\zset32\pspv.exe /stext  %s
%s_mailpvLOG.txt
%s_mspassLOG.txt
%s_pspvLOG.txt
C:\WINDOWS\zset32\mailpv.exe
C:\WINDOWS\zset32\mspass.exe
C:\WINDOWS\zset32\pspv.exe
FILES
scheissforum
scheisse
scheissforum.sc.funpic.de
....
VANAL_SPY
getpw.exe
%sLOG.txt
Edit
Url
Mozilla Firefox
url = %s
Internet Explorer
Win Caption = %s
hero.exe
STARTED BY FSTART32.EXE
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
winfstart32
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
scheisse.t35.com
scheisse
ftp.t35.com
scheisse.110mb.com
ftp.scheisse.110mb.com
usr_ftp_36047
45O6WAh9hg1qU
ftp.*.de
ws2854070
master12
ftp.*.de
schedule.txt
C:\WINDOWS\zset32\getpw.exe
ftp.exe
C:\WINDOWS\zset32\ftp.exe
keydll3.dll
C:\WINDOWS\zset32\keydll3.dll
FTPlib.dll
C:\WINDOWS\zset32\FTPlib.dll
C:\WINDOWS\zset32\hero.exe
C:\WINDOWS\zset32
C:\WINDOWS\zset32\fstart32.exe
fstart32.exe
AutoLogin
SOFTWARE\Mirabilis\ICQ\NewOwners\%s
SOFTWARE\Mirabilis\ICQ\NewOwners\%s\CommonPrefs
SOFTWARE\Mirabilis\ICQ\NewOwners
NEWversion.exe
update.txt
scheissforum
scheissforum.sc.funpic.de
SYSTEM MESSAGE] updated to version %s

Ok alles mitbekommen? dann geh mal auf
1) ftp.t35.com user: scheisse.t35.com pw: scheisse
2) ftp.scheisse.110mb.com user: scheisse.110mb.com pw: scheisse
3) ftp.*.de user: usr_ftp_36047 pw: scheisse
4) scheissforum.sc.funpic.de exisitiert nicht mehr

Dieser Beitrag wurde von mesios bearbeitet: 05. Februar 2007 - 10:04

[intoxication]

sone scheiße

was is das da mit icq?


und was macht das "programm" da jetz genau mit meinem system?

was die zset32 da machen weißt du auch nich?

hat sich das jetzt erledigt nachdem der ordner sowie der regedit eintrag wieder gelöscht ist?

thx scho mal, wenigstens einer der nich nur was behauptet sondern auch was macht

Dieser Beitrag wurde von pjaeger´06 bearbeitet: 12. Juli 2006 - 22:20

[Kenny]

script-kiddy oder was meinste?^^

[Unrockstar2004]

Haha

Um es in seiner Sprache auszudrücken:

pwned

[intoxication]

woher ist das bild?


und was macht das programm da jetzt genau mit dem rechner? hat der fupp da jetz meine email und ftp zugangsdaten, die in den jeweiligen progs eingetragen sind?
was sollen die zugriffe auf seine ftp server? sollen mit diesem programm die daten auf sienen server geladen werden oder was? aber auf diesem ist doch nichts drauf?

und was hat es mit den .exe dateien aufsich(hero.exe, C:\WINDOWS\zset32\xyz.exe,..) ?

Dieser Beitrag wurde von pjaeger´06 bearbeitet: 13. Juli 2006 - 14:18

[intoxication]

thx scho mal an bardelot, das es auch leute gibt die wirklich was machen und nich bei jedem kleinsten befall was von system kompromitiert schreiben

edit: sry, wegen doppelpost

Dieser Beitrag wurde von pjaeger´06 bearbeitet: 13. Juli 2006 - 14:21

[Rika]

Ich denke mal, daß es ziemlich eindeutig ist, daß es jetzt kompromittiert ist. Aber eigentlich rechtfertigt schon der Verdacht entsprechende Maßnahmen.