Codbot


Codbot, C:\WINDOWS\lsass.exe, Netmon.exe, mswinsdl.exe

C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\System32\mgj2t22a.exe
C:\WINDOWS\lsass.exe

weiter HijackThis

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe

C:\WINDOWS\system32\mswinsdl.exe
C:\WINDOWS\lsass.exe infected by "Backdoor.Win32.SdBot.xd
C:\WINDOWS\System32\Netmon.exe infected by "Backdoor.Win32.Codbot.aj"

MS Auto-IPSec Protection = MSASP32.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS Auto-IPSec Protection
MSASP32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS Auto-IPSec Protection
MSASP32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MS Auto-IPSec Protection
MSASP32.exe

MS MSN Menssenger 7.0 = MSMSN7.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

weiter http://www.sophos.de

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS MSN Menssenger 7.0
MSMSN7.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS MSN Menssenger 7.0
MSMSN7.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MS MSN Menssenger 7.0
MSMSN7.exe

Windows Compliant = rkfoqa.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

unbekannt

Microsoft Media player 9 = msmedia32.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

weiter http://www.sophos.de

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Media player 9
msmedia32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Media player 9
msmedia32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Media player 9
msmedia32.exe

KYK Control Settings = KYSVCXD.EXE (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

weiter HijackThis

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

weiter Die Backdoor-Funktionalität umfasst auch die Funktion, in Netzwerkpaketen zu schnüffeln, weiteren schädlichen Code herunterzuladen und Kennwörter sowie andere Systemdaten zu stehlen.

W32/Codbot-Gen Würmer registrieren sich typischerweise als Dienstprozesse.

W32/Codbot-Gen Würmer versuchen typischerweise, Schwachstellen auszunutzen, wie z.B. die LSASS-Schwachstelle (MS04-011).

Microsoft Security Bulletin MS04-011

weiter http://www.microsoft.com

W32/Codbot

weiter W32/Codbot-L läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, über den ein remoter Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen erhält. Der Eindringling kann Befehle zum Herunterladen und Starten weiteren schädlichen Codes, zum Stehlen von Kennwörtern und Systeminformationen sowie zum Schnüffeln in Paketen aus dem lokalen Netzwerk senden.

HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
ProxyEnable 1

HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings
ProxyEnable 1

17.11.2005 22:31 165.888 sysin.pif
17.11.2005 12:47 0 mcrh.tmp
16.11.2005 23:03 544.788 ddccd.dll
16.11.2005 22:32 0 TFTP2212
16.11.2005 22:12 0 TFTP1324
16.11.2005 20:07 71 i
16.11.2005 19:35 0 TFTP632
16.11.2005 19:31 111.616 mswinsdl.exe
15.11.2005 17:30 0 eraseme_41866.exe
09.11.2005 17:17 0 plscdksxg.exe

Unknown Service # 3
Service Name: lsass
Display Name: Local Security Authority Subsystem Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Path Finder Service Displays Internet Routing ...
Service Type: Own Process
Path: "c:\windows\lsass.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

weiter Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

bearbeiten --> suchen --> Local Security Authority Subsystem Service

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LSASS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lsass]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LSASS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lsass]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LSASS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass]


anderer PC

Unknown Service # 5
Service Name: sdk
Display Name: Microsoft sdk core
Start Mode: Disabled
Start Name: LocalSystem
Description: Microsoft sdk core ...
Service Type: Own Process
Path: "c:\windows\lsass.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdk

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"sdk"=dword:00000002


startseite
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits