Viruskill unter WinXP

So, Profianfrage:
Unter WinXP mit InternetSecurity meldet IS einen
Sokets de Trois V1 !!!
MIT NAV (neuste Virusdef) scan´t Ihr Euer System.
Ergebnis null Virus. Immer wenn der Explorer geöffnet wird gibt es keine Rückmeldung.
Weiter auch, immer wenn der Explorer gestartet wird meldet InternetSecurity das es einen Soked de Trois V1 blockiert hat. Meine Frage : Wie stellt man das ab ?
TB meint: nice weekend !!

Jo jo ... des dingens hängt auf Port 5000 u. 5001.
Hast dir ja was feines eingefangen. Kann nidde gehen mit den IE weil der och darauf zugreift :commplex-main, tcp und commplex-link, udp. Also wech mit dem ollen Haustierchen.

Was das ist weiss ich aber nicht wie ich ihn loswerde ohne format c Denn NAV findet den Trojaner nicht! Hmm

Ist zwar im falschem Forum gepostet (Wir haben ein Extra-Security-Forum) , aber mal die Antwort:

Es handelt sich dabei um einen kombinierten Virus (in Delphi) der auch Backdoorfunktionen außer seiner Schadensroutine hat.
Verankert ist er an (in) folgenden Daten :

\Windows\System\Lcv_sys.exe
\Windows\System\Discv.dll
\Windows\Temp\Tcv.exe
\Windows\Winstart.bat

Einige Varianten sind auch hier verankert :

\Windows\System\Mkopg.exe
\Windows\System\Oiht400.dll
\Windows\Temp\Tmp_.exe
\Windows\System\Mgadeskdll.exe
\Windows\System\Csmctrl32.exe
\Windows\Rsrcload.exe

Folgender Eintrag wird durch den Virus erstellt (an ihm ist er eindeutig zu identifizieren)

Win ocx C:\Windows\System\Lcv_sys.exe

sowie in folgenden Registry-Einträgen :


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Einzige Chance der Reparatur (außer format C ist der Ersatz der Winstart.bat und nachfolgende Registry-Reparatur :

1. Bei Ausführen "regedit" eingeben.
2. Folgenden Eintrag suchen "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"
3. auf der nun sichtbaren rechten Fensterseite folgende Einträge löschen :
Win ocx C:\Windows\System\Lcv_sys.exe
Win ocx C:\Windows\System\Mkopg.exe
Load Mgadeskdll C:\Windows\System\Mgadeskdll.exe
Load Csmctrl32 C:\Windows\System\Csmctrl32.exe
Load Rsrcload C:\Windows\Rsrcload.exe

Aber Warnung ! Das kann in die Hose gehen ! Ein falscher Klick , ein falscher Schlüssel und Du hast Dir das Löschen von Windows gespart *g* Mit einer zerstörten Registry geht nix mehr !

cu
winbooster

Jepp und solange kannst du dir überlegen wie du dir des nette Haustier eingefangen hast. Du weisst zwar wie das jetzt geht aber zweimal iss schon fast strafbar und muss nidde sein*fg*

Und Schiebung

Thx Leutz, ich hab mich, nach dem diverse Netsides
nix gebracht haben(Troiscanner ... was ich mir schon so vorgestellt habe)dann für Part and format entschlossen. Wo ich den her hab kann ich nicht nachvollziehn.Auf alle Fälle geht mein FTP (5000+5001) wieder !! ... Danke nochmal...
Ich weiss dass der Trois V1 von keinem aktuellem Virusprg beseitigt wird. Und format war auch wieder mal drann.