Wmiexe32.exe <- Trojaner?

Hallo da draußen,
mir ist vor kurzem eine Datei in meinem Windows\System-Ordner aufgefallen. Es ist die "Wmiexe32.exe". Sie legt in meinem Windows\Temp-Verzeichnis eine weitere Datei an, nämlich die "systemcap.txt".
Neugierig wie ich bin hab ich diese Datei geöffnet und war erstaunt bzw. entsetzt was diese Datei so alles für Informationen zusammengetragen hat.

Hier ein Auszug:

###### *** REMOTE SYSTEM CAPTURE FILE *** #######
BioNet Server Info:
version : 3.18
stealth mode : no
offline keyLog :
startup Key : WMI
filename : C:\WINDOWS\SYSTEM\WMIEXE32.EXE
Port : 61938
Data Thru : 44714
#################################################
Operating System Info :
system : Windows 95 Version 4.10
computer name : MICROSCHROTT
processor type : Pentium
number of cpu : 1
logical dirves : ACDEF
#################################################
User Info:
organisaton :
owner :
cd key :
#################################################
PASSWORDS
#################################################
ICQ UINs
#################################################
xxxxxxxx (privat)
AOL IM
#################################################
Cache
#################################################
(hier sind meine lokalen Netzwerkverbindungen aufgelistet mit Passwörtern)
*Rna\Microsoft Internet Referral Service\icw5@gn.microsoft.com: icw5
#################################################
Email Accounts :
#################################################
(hier sind meine E-mailverbindungen geloggt)
Account - xxxxxxxxxxxxxx
POP3 Server - xxxxxxxxx
POP3 UserName - xxxxxxxxxxxx
SMTP UserName - xxxxxxxxxxxx
SMTPServer - xxxxxxxxxxxxx
SMTPEmail Address - xxxxxxxxxxxxxx
----------------
#################################################
Ras Accounts
#################################################
(und hier stehen alle meine DFÜ-Verbindungen komplett mit Login und Einwahlnummer - nur das Passwort fehlt)
Connection Name -
Login -
Password -
Phone Number -
------------------------------
Connection Name -
Login -
Password -
Phone Number -
#################################################
Das tolle ist, dass die Ports, die oben drinstehen sich andauernd ändern! Außerdem ist der Tippfehler bei "dirves" was wohl "drives" sein soll eklatant.
Desweiteren versucht diese Datei unter dem Synonym "Services and Controller app" zum Internet zu connecten. Was ich, aber mit meiner Firewall bisher zu verhindern hoffe.
Eigentlich bin ich mir zu 98% sicher, dass es ein Trojaner ist, deswegen hab ich mit der neusten Version des AntVir mal meine Platte gecheckt, aber der hat nix gefunden.
Aus Windows heraus kann ich sie auch nicht manuell löschen, da diese Datei von Windows benutzt wird - so wie die "Wmiexe.exe" (&lt;- ist wohl die original Windowsdatei).
Als nächstes dacht ich mir ich beende das Ding mit dem Taskmanager, aber bei Win98 ist ja noch nix gescheit aufgelistet was so alles geladen ist.
Dann hab ichs in DOS versucht, aber da findet er sie nicht, weil sie wohl irgendwie versteckt ist und leider bin ich mit DOS nicht so vertraut um sie ausfindig zu machen.
Also wenn jemand ähnliche Erfahrungen mit diesem Ding gemacht hat und es losgeworden ist ohne zu formatieren bzw. mir Tipps geben kann wie ich es in DOS ausfindig mache - wäre ich sehr dankbar.
Greets

 

Danke für die Hilfe o-saft!

Hab das lästige Ding schon entfernt. :-)

Wär eigentlich gar nicht so schwer gewesen, wenn man sich besser ausgekannt hätte.

Greets

 

Hallo, Woozy,

es scheint sich um den Backdoor-Trojaner BioNet 318 zu handeln (siehe Deinen Auszug:
###### *** REMOTE SYSTEM CAPTURE FILE *** #######
BioNet Server Info:
version : 3.18

Du findest Infos dazu unter http://securityresponse.symantec.com/avcenter/venc/data/backdoor.bionet.318.html. Falls Du selbst suchen willst, benutze http://www.symantec.com/avcenter/vinfodb.html. Du findest andere Quellen bei Heise unter http://heise.de/ct/antivirus/

Gruß o-saft

 

Mit TheCleaner hätt ich jetzt die Möglichkeit, den Task "Wmiexe32.exe" zu beenden.
Aber ich wart noch ein bischen - vielleicht fällt jemand noch etwas besseres ein oder er kennt dieses kleine Ding.

Greets
[Diese Nachricht wurde von WoozySaint am 09.01.2002 | 16:02 geändert.]

 

Hast Du es schon mal mit AdAware oder einem anderen Trojaner-Spürhund versucht?

 

Also ich hab mein System Win ME abgesucht und keine diese Dateien gefunden. Auch Google kennt diese Dateien nicht was noch kommischer erscheint.