rocky7-Board, das Allround-Forum
   Registrierung Kalender Mitgliederliste Teammitglieder Suche Häufig gestellte Fragen Galerie Zur Startseite Zum Portal

| TOP 1000 | SchanzerForum | rocky7-TOPLIST | rocky7-Fotografie | rocky7 by flickr.com |

rocky7-Board, das Allround-Forum » Computersicherheit » [ Computer - Ecke ] » News&.Allgemeines zu IT-Security » Viruskill unter WinXP » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Viruskill unter WinXP
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

Thunderbird Thunderbird ist männlich
Einsteiger


Dabei seit: 20.10.2002
Beiträge: 9
Herkunft: Germany
I-NET Leitung: SDSL

Bewertung: 
1 Bewertung(en) - Durchschnitt: 3,00

Level: 23 [?]
Erfahrungspunkte: 56.186
Nächster Level: 62.494

6.308 Erfahrungspunkt(e) für den nächsten Levelanstieg

Achtung Viruskill unter WinXP Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

So, Profianfrage:
Unter WinXP mit InternetSecurity meldet IS einen
Sokets de Trois V1 !!!
MIT NAV (neuste Virusdef) scan´t Ihr Euer System.
Ergebnis null Virus. Immer wenn der Explorer geöffnet wird gibt es keine Rückmeldung.
Weiter auch, immer wenn der Explorer gestartet wird meldet InternetSecurity das es einen Soked de Trois V1 blockiert hat. Meine Frage : Wie stellt man das ab ?
TB meint: nice weekend !!

 

 

 

 

 



__________________

25.10.2002 22:31 Thunderbird ist offline E-Mail an Thunderbird senden Homepage von Thunderbird Beiträge von Thunderbird suchen Nehmen Sie Thunderbird in Ihre Freundesliste auf
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von Thunderbird am 25.10.2002 um 22:31 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung

NoName NoName ist männlich
Foren As


images/avatars/avatar-1567.gif

Dabei seit: 31.05.2002
Beiträge: 7.714
Btr. System: VISTA Ultimate64
Herkunft: Falken
I-NET Leitung: S-DSL
CPU: Q6600@3600
Motherboard: Asus Maximus F. SE
Hat das Board gefunden durch: Freund
Grafikkarte: 8800GTS MB640

Bewertung: 
41 Bewertung(en) - Durchschnitt: 7,27

Level: 60 [?]
Erfahrungspunkte: 49.251.571
Nächster Level: 55.714.302

6.462.731 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Jo jo ... des dingens hängt auf Port 5000 u. 5001.
Hast dir ja was feines eingefangen. Kann nidde gehen mit den IE weil der och darauf zugreift :commplex-main, tcp und commplex-link, udp. Also wech mit dem ollen Haustierchen.

 

 

 

 

 



__________________

26.10.2002 06:20 NoName ist offline Beiträge von NoName suchen Nehmen Sie NoName in Ihre Freundesliste auf
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von NoName am 26.10.2002 um 06:20 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung

Thunderbird Thunderbird ist männlich
Einsteiger


Dabei seit: 20.10.2002
Beiträge: 9
Herkunft: Germany
I-NET Leitung: SDSL

Bewertung: 
1 Bewertung(en) - Durchschnitt: 3,00

Level: 23 [?]
Erfahrungspunkte: 56.186
Nächster Level: 62.494

6.308 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von Thunderbird
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Was das ist weiss ich aber nicht wie ich ihn loswerde ohne format c unglücklich Denn NAV findet den Trojaner nicht! Hmm

 

 

 

 

 



__________________

26.10.2002 11:35 Thunderbird ist offline E-Mail an Thunderbird senden Homepage von Thunderbird Beiträge von Thunderbird suchen Nehmen Sie Thunderbird in Ihre Freundesliste auf
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von Thunderbird am 26.10.2002 um 11:35 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung

winbooster winbooster ist männlich
Der Verunsicherte


images/avatars/avatar-94.gif

Dabei seit: 16.07.2002
Beiträge: 180
Herkunft: Pittis Board
I-NET Leitung: DSL

Bewertung: 
3 Bewertung(en) - Durchschnitt: 6,67

Level: 37 [?]
Erfahrungspunkte: 1.140.944
Nächster Level: 1.209.937

68.993 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Ist zwar im falschem Forum gepostet (Wir haben ein Extra-Security-Forum) , aber mal die Antwort:

Es handelt sich dabei um einen kombinierten Virus (in Delphi) der auch Backdoorfunktionen außer seiner Schadensroutine hat.
Verankert ist er an (in) folgenden Daten :

\Windows\System\Lcv_sys.exe
\Windows\System\Discv.dll
\Windows\Temp\Tcv.exe
\Windows\Winstart.bat

Einige Varianten sind auch hier verankert :

\Windows\System\Mkopg.exe
\Windows\System\Oiht400.dll
\Windows\Temp\Tmp_.exe
\Windows\System\Mgadeskdll.exe
\Windows\System\Csmctrl32.exe
\Windows\Rsrcload.exe

Folgender Eintrag wird durch den Virus erstellt (an ihm ist er eindeutig zu identifizieren)

Win ocx C:\Windows\System\Lcv_sys.exe

sowie in folgenden Registry-Einträgen :


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Einzige Chance der Reparatur (außer format Csmile ist der Ersatz der Winstart.bat und nachfolgende Registry-Reparatur :

1. Bei Ausführen "regedit" eingeben.
2. Folgenden Eintrag suchen "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"
3. auf der nun sichtbaren rechten Fensterseite folgende Einträge löschen :
Win ocx C:\Windows\System\Lcv_sys.exe
Win ocx C:\Windows\System\Mkopg.exe
Load Mgadeskdll C:\Windows\System\Mgadeskdll.exe
Load Csmctrl32 C:\Windows\System\Csmctrl32.exe
Load Rsrcload C:\Windows\Rsrcload.exe

Aber Warnung ! Das kann in die Hose gehen ! Ein falscher Klick , ein falscher Schlüssel und Du hast Dir das Löschen von Windows gespart *g* Mit einer zerstörten Registry geht nix mehr !

cu
winbooster

 

 

 

 

 



__________________
webmaster@pits-security.de
http://www.pits-security.de
26.10.2002 18:15 winbooster ist offline E-Mail an winbooster senden Homepage von winbooster Beiträge von winbooster suchen Nehmen Sie winbooster in Ihre Freundesliste auf AIM-Name von winbooster: winbooster03 MSN Passport-Profil von winbooster anzeigen
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von winbooster am 26.10.2002 um 18:15 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung

NoName NoName ist männlich
Foren As


images/avatars/avatar-1567.gif

Dabei seit: 31.05.2002
Beiträge: 7.714
Btr. System: VISTA Ultimate64
Herkunft: Falken
I-NET Leitung: S-DSL
CPU: Q6600@3600
Motherboard: Asus Maximus F. SE
Hat das Board gefunden durch: Freund
Grafikkarte: 8800GTS MB640

Bewertung: 
41 Bewertung(en) - Durchschnitt: 7,27

Level: 60 [?]
Erfahrungspunkte: 49.251.571
Nächster Level: 55.714.302

6.462.731 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Jepp und solange kannst du dir überlegen wie du dir des nette Haustier eingefangen hast. Du weisst zwar wie das jetzt geht aber zweimal iss schon fast strafbar und muss nidde sein*fg*

Und Schiebung

 

 

 

 

 



__________________

26.10.2002 21:01 NoName ist offline Beiträge von NoName suchen Nehmen Sie NoName in Ihre Freundesliste auf
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von NoName am 26.10.2002 um 21:01 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung

Thunderbird Thunderbird ist männlich
Einsteiger


Dabei seit: 20.10.2002
Beiträge: 9
Herkunft: Germany
I-NET Leitung: SDSL

Bewertung: 
1 Bewertung(en) - Durchschnitt: 3,00

Level: 23 [?]
Erfahrungspunkte: 56.186
Nächster Level: 62.494

6.308 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von Thunderbird
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Thx Leutz, ich hab mich, nach dem diverse Netsides
nix gebracht haben(Troiscanner ... was ich mir schon so vorgestellt habe)dann für Part and format entschlossen. Wo ich den her hab kann ich nicht nachvollziehn.Auf alle Fälle geht mein FTP (5000+5001) wieder !!großes Grinsen ... Danke nochmal... smile
Ich weiss dass der Trois V1 von keinem aktuellem Virusprg beseitigt wird. Und format war auch wieder mal drann.

 

 

 

 

 



__________________

26.10.2002 23:57 Thunderbird ist offline E-Mail an Thunderbird senden Homepage von Thunderbird Beiträge von Thunderbird suchen Nehmen Sie Thunderbird in Ihre Freundesliste auf
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von Thunderbird am 26.10.2002 um 23:57 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
rocky7-Board, das Allround-Forum » Computersicherheit » [ Computer - Ecke ] » News&.Allgemeines zu IT-Security » Viruskill unter WinXP

Forensoftware: Burning Board 2.3.6 pl2, entwickelt von WoltLab GmbH

Besucher heute: 37 Besucher gestern: 398 Besucher gesamt: 4940009
Bisher wurden 846 Angriffe protokolliert und davon 846 erfolgreich abgewehrt.


Impressum | Team | Suchen | Hilfe | Meinewebgalerie.de