Wmiexe32.exe <- Trojaner?

Dieses Thema im Forum "Sicherheit" wurde erstellt von WoozySaint, 9. Januar 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. WoozySaint

    WoozySaint ROM

    Registriert seit:
    11. August 2000
    Beiträge:
    4
    Hallo da draußen,
    mir ist vor kurzem eine Datei in meinem Windows\System-Ordner aufgefallen. Es ist die "Wmiexe32.exe". Sie legt in meinem Windows\Temp-Verzeichnis eine weitere Datei an, nämlich die "systemcap.txt".
    Neugierig wie ich bin hab ich diese Datei geöffnet und war erstaunt bzw. entsetzt was diese Datei so alles für Informationen zusammengetragen hat.

    Hier ein Auszug:

    ###### *** REMOTE SYSTEM CAPTURE FILE *** #######
    BioNet Server Info:
    version : 3.18
    stealth mode : no
    offline keyLog :
    startup Key : WMI
    filename : C:\WINDOWS\SYSTEM\WMIEXE32.EXE
    Port : 61938
    Data Thru : 44714
    #################################################
    Operating System Info :
    system : Windows 95 Version 4.10
    computer name : MICROSCHROTT
    processor type : Pentium
    number of cpu : 1
    logical dirves : ACDEF
    #################################################
    User Info:
    organisaton :
    owner :
    cd key :
    #################################################
    PASSWORDS
    #################################################
    ICQ UINs
    #################################################
    xxxxxxxx (privat)
    AOL IM
    #################################################
    Cache
    #################################################
    (hier sind meine lokalen Netzwerkverbindungen aufgelistet mit Passwörtern)
    *Rna\Microsoft Internet Referral Service\icw5@gn.microsoft.com: icw5
    #################################################
    Email Accounts :
    #################################################
    (hier sind meine E-mailverbindungen geloggt)
    Account - xxxxxxxxxxxxxx
    POP3 Server - xxxxxxxxx
    POP3 UserName - xxxxxxxxxxxx
    SMTP UserName - xxxxxxxxxxxx
    SMTPServer - xxxxxxxxxxxxx
    SMTPEmail Address - xxxxxxxxxxxxxx
    ----------------
    #################################################
    Ras Accounts
    #################################################
    (und hier stehen alle meine DFÜ-Verbindungen komplett mit Login und Einwahlnummer - nur das Passwort fehlt)
    Connection Name -
    Login -
    Password -
    Phone Number -
    ------------------------------
    Connection Name -
    Login -
    Password -
    Phone Number -
    #################################################
    Das tolle ist, dass die Ports, die oben drinstehen sich andauernd ändern! Außerdem ist der Tippfehler bei "dirves" was wohl "drives" sein soll eklatant.
    Desweiteren versucht diese Datei unter dem Synonym "Services and Controller app" zum Internet zu connecten. Was ich, aber mit meiner Firewall bisher zu verhindern hoffe.
    Eigentlich bin ich mir zu 98% sicher, dass es ein Trojaner ist, deswegen hab ich mit der neusten Version des AntVir mal meine Platte gecheckt, aber der hat nix gefunden.
    Aus Windows heraus kann ich sie auch nicht manuell löschen, da diese Datei von Windows benutzt wird - so wie die "Wmiexe.exe" (&lt;- ist wohl die original Windowsdatei).
    Als nächstes dacht ich mir ich beende das Ding mit dem Taskmanager, aber bei Win98 ist ja noch nix gescheit aufgelistet was so alles geladen ist.
    Dann hab ichs in DOS versucht, aber da findet er sie nicht, weil sie wohl irgendwie versteckt ist und leider bin ich mit DOS nicht so vertraut um sie ausfindig zu machen.
    Also wenn jemand ähnliche Erfahrungen mit diesem Ding gemacht hat und es losgeworden ist ohne zu formatieren bzw. mir Tipps geben kann wie ich es in DOS ausfindig mache - wäre ich sehr dankbar.
    Greets
     
  2. WoozySaint

    WoozySaint ROM

    Registriert seit:
    11. August 2000
    Beiträge:
    4
    Danke für die Hilfe o-saft!

    Hab das lästige Ding schon entfernt. :-)

    Wär eigentlich gar nicht so schwer gewesen, wenn man sich besser ausgekannt hätte.

    Greets
     
  3. o-saft

    o-saft ROM

    Registriert seit:
    9. Januar 2002
    Beiträge:
    1
    Hallo, Woozy,

    es scheint sich um den Backdoor-Trojaner BioNet 318 zu handeln (siehe Deinen Auszug:
    ###### *** REMOTE SYSTEM CAPTURE FILE *** #######
    BioNet Server Info:
    version : 3.18

    Du findest Infos dazu unter http://securityresponse.symantec.com/avcenter/venc/data/backdoor.bionet.318.html. Falls Du selbst suchen willst, benutze http://www.symantec.com/avcenter/vinfodb.html. Du findest andere Quellen bei Heise unter http://heise.de/ct/antivirus/

    Gruß o-saft
     
  4. WoozySaint

    WoozySaint ROM

    Registriert seit:
    11. August 2000
    Beiträge:
    4
    Mit TheCleaner hätt ich jetzt die Möglichkeit, den Task "Wmiexe32.exe" zu beenden.
    Aber ich wart noch ein bischen - vielleicht fällt jemand noch etwas besseres ein oder er kennt dieses kleine Ding.

    Greets
    [Diese Nachricht wurde von WoozySaint am 09.01.2002 | 16:02 geändert.]
     
  5. brock

    brock Byte

    Registriert seit:
    20. Juli 2001
    Beiträge:
    53
    Hast Du es schon mal mit AdAware oder einem anderen Trojaner-Spürhund versucht?
     
  6. Apollo31

    Apollo31 Kbyte

    Registriert seit:
    3. April 2001
    Beiträge:
    175
    Also ich hab mein System Win ME abgesucht und keine diese Dateien gefunden. Auch Google kennt diese Dateien nicht was noch kommischer erscheint.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen