Показано с 1 по 18 из 18.

proyecto1 worm to get rid off

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35

    proyecto1 worm to get rid off

    on request of rene-gad here the attached files after running AVZ as per description but

    the file virusinfo_syscure.zip is is not in the LOG!??? I did it again and its OK now

    hope to hear soon from you! and thanks in advance

    peerki

    PS: as soon I start booting winXP I can see in the contol Mgr. the programm proyecto1 starting, which I then stop immediatly. hope this info helps
    Вложения Вложения
    Последний раз редактировалось peerki; 23.07.2008 в 13:21.

  2. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Hallo peerki
    Die Logs sehen sauber aus, wobei Du vergessen hast, das AntiVir und die anderen Programme vor der Erstellung der Logfiles auszuschalten - das ist der Grund, warum die Erstellung des Logfiles virusinfo_syscure.zip fehl schlug.
    Fьhre folgendes Script aus:
    Код:
    begin
    SetAVZGuardStatus(True);
    BC_QrFile('c:\windows\system32\rundll32.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    und nach dem Reboot uploade die Quarantдne, falls sie nicht leer wird, ьber den roten Link oben auf der Seite.

  3. #3
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35

    quarantaine files und secure nachtrдglich

    hier die quarantaine files und secure nachtrдglich

    gruЯ
    peerki

    ps. beim winXPboot will der poryecto1 nach wie vor starten lt. task mgr.
    moderated::: Die Quarantдne soll ьber den roten Link oben auf der Seite geuploaded werden. Archiv ist mit dem Passwort virus zu schьtzen
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 23.07.2008 в 13:55.

  4. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Die Logs zeigen nichts Auffälliges, die geuploadene Datei war nicht die, die ich sehen möchte, aber es heißt AVZ hat die Datei rundll32.exe als gut erkannt.
    Lade mal das Tool herunter und lasse laufen: http://ftp.kaspersky.com/devbuilds/AVPTool/
    Dabei schalte Avira Guard ab.

  5. #5
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35
    hallo rene

    das dauert aber 1 std. also ab jetzt noch 30 min

    CU
    peerki

    PS habe allerdings die quaranaine dateien gleich nach letzter post auch ьber den roten link upgeloaded. hast du den dann gesehen?

  6. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от peerki Посмотреть сообщение
    habe allerdings die quaranaine dateien gleich nach letzter post auch ьber den roten link upgeloaded. hast du den dann gesehen?
    Jo, aber wieder mal nicht PW-geschützt . Es war nichts Böses drin, allerdings: die geuploadenen Quarantänen werden zum KasperskyLab geleitet. Falls im der ungeschützten Quarantäne was Böses drinne steckt, wird diese sofort gelöscht und die Analytiker bekommen gar nichts zum Analysieren .
    Das Anhängen der Quarantäne zum Posting ist überhaupt strengst untersagt, damit die bösen Buben die Dateien nicht missbrauchen könnten

  7. #7
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35
    yep, habs noch 20 min ca

    der rajo meinte sollte DDS nach neustart laufen lassen aber im tskmgr. NICHT den process proyecto1 stoppen. birgt das nicht der gefahr dass es gerade dann etwas anstellt, zumal die symantec leute es als sehr schwierig zu reparieren einstufen. im ьbrigen stufen die es groЯ nur als risikostufe 2 ein, schreiben gaaannz unten dann "schaden: hoch". witzbolden oder herunterstufen eines problems

    Добавлено через 37 минут

    so AVP tool hat jetzt alles durch und NICHTS gefunden. allerdings hatte ja im taskmgr proyecto1 gestoppt.

    was nun? der file ist ja 31 MB undiirrrre lang : brauchst du den?
    Последний раз редактировалось peerki; 23.07.2008 в 15:32. Причина: Добавлено

  8. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от peerki Посмотреть сообщение
    was nun? der file ist ja 31 MB undiirrrre lang : brauchst du den?
    Welche Datei denn?

  9. #9
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Welche Datei denn?
    den den report von avp

  10. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от peerki Посмотреть сообщение
    den den report von avp
    Das ist unglaublich Es soll nur eine html-Datei sein, ungefähr so groß, wie AVZ-Log. Steht dort was über PROYECTO1? Einfach durchsuchen, vllt. nur die relevanten Zeilen posten.

  11. #11
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35
    no im kasperky Lab tool ordner ist kein html datei vorhanden.

    in der report-txt-datei die bei beendigung des laufs erstellt wurde gab es 0 detected und 0 untreated

    ein suche nach "proy" innerhalb der txt datei ergab nichts.

    da ich jetzt malwarebytes aktualisiert herьber laufen lasse nach einem neustart und im task mgr gesehen habe, dass proyecto1 wieder auf "ausfьhren" stand und diesmla NICHT gestoppt habe, bin ich gespannt was es findet. jedenfalls ist im taskmgr. der proyecto1 wieder verschwunden. ob es dann noch was findet??

    Добавлено через 6 минут

    Scan
    ----
    Scanned: 280914
    Detected: 0
    Untreated: 0
    Start time: 23.07.2008 13:06:22
    Duration: 01:16:24
    Finish time: 23.07.2008 14:22:46


    Detected
    --------
    Status Object
    ------ ------

    usw.




    Statistics
    ----------
    Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
    ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
    All objects 239880 0 0 0 0 991 641 0 8
    System memory 170 0 0 0 0 0 0 0 0
    Startup objects 609 0 0 0 0 5 14 0 0
    Disk boot sectors 4 0 0 0 0 0 0 0 0
    Mail databases 2 0 0 0 0 1 0 0 0
    winXP (C 239095 0 0 0 0 985 627 0 8


    Settings
    --------
    Parameter Value
    --------- -----
    Security Level Recommended
    Action Prompt for action when the scan is complete
    Run mode Manually
    File types Scan all files
    Scan only new and changed files No
    Scan archives All
    Scan embedded OLE objects All
    Skip if object is larger than No
    Skip if scan takes longer than No
    Parse email formats No
    Scan password-protected archives No
    Enable iChecker technology No
    Enable iSwift technology No
    Show detected threats on "Detected" tab Yes
    Rootkits search Yes
    Deep rootkits search No
    Use heuristic analyzer Yes


    Quarantine
    ----------
    Status Object Size Added
    ------ ------ ---- -----

    und hier der report der soeben beendete malwarebytes:

    Malwarebytes' Anti-Malware 1.22
    Datenbank Version: 981
    Windows 5.1.2600 Service Pack 2

    15:34:50 23.07.2008
    mbam-log-7-23-2008 (15-34-50).txt

    Scan-Methode: Vollstдndiger Scan (C:\|)
    Durchsuchte Objekte: 134979
    Laufzeit: 25 minute(s), 31 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlьssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bцsartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bцsartigen Objekte gefunden)

    Infizierte Registrierungsschlьssel:
    (Keine bцsartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bцsartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bцsartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bцsartigen Objekte gefunden)

    Infizierte Dateien:
    (Keine bцsartigen Objekte gefunden)
    Последний раз редактировалось peerki; 23.07.2008 в 16:40. Причина: Добавлено

  12. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от peerki Посмотреть сообщение
    da ich jetzt malwarebytes aktualisiert herьber
    Von dem Murks kannste einfach vergessen: http://forum.avira.com/wbb/index.php...threadID=70583

  13. #13
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35
    jep habs gelesen. danke!

    wie kommen wir jetzt an den proyecto1 ran wenn der kurz auf ausfьhren geht und dann verschwindet bzw. kan ich herausfinden wer mir das eingebrockt hat?

  14. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от peerki Посмотреть сообщение
    wie kommen wir jetzt an den proyecto1 ran wenn der kurz auf ausfьhren geht und dann verschwindet bzw. kan ich herausfinden wer mir das eingebrockt hat?
    Ich bin mit meinem Latein am Ende . Versuche mal: http://www.heise.de/software/downloa..._starter/46489 herunterladen, installieren. Wenn Du dann der Prozess proyecto1 markierst (Kartei Prozesse), unten erscheint die Liste der Bibliotheken, die in diesem Prozess teil nehmen. Rechstklick/Als Text speichern. Diese Textdatei hänge dann hier an (nicht reinposten, nur anhängen!!!)

  15. #15
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35
    hier dann der SDfix report
    moderated:::habe doch gesagt - keine Logs reinposten, um so mehr - nicht aufgeforderte!!!
    der STARTER von codestuff zeigt ein eintrag "proyecto1" (in klammern) von Al der durch "C:\Programme\Telefonica\bin\StartCmd.exe" aktiviert wird.
    Du kennst doch dieses Programm. Zumindest ist es nicht als bцsartig eingestuft.
    erstaunlicherweise zeigt TUNEUP2008 ein solcher eintrag nicht und das macht mir sehhrr stutzig!!!
    TuneUp-Hersteller wьrde ich auf einem groЯen Baum aufhдngen - das Programm tut gar nichts Gutes, die Folgen bei einem falschen Schritt kцnnen sehr schwerwiegend sein.
    UND spybot kennt ebenfalls ein solcher systemstart NICHT
    Dann ist es nichts Bцsartiges drin - bist Du auf so einen Gedanke nocht nicht gekommen ?
    Entferne alle Progies, die Du nicht wirklich brauchst. Ich wьrde von TuneUp beginnen, dann Spybot S&D... Den Rest ьberlasse ich Dir

    PS: Sorry, habe gerade bemerkt, dass ich in Deinem Post die Antwort geschrieben habe

    Добавлено через 1 час 1 минуту

    danke und sorry wegen der post aber nach 6-7 std. blockade dieser lappie auf die ich so dringeng weiter arbeiten muss, greife ich nach jeden strohhalm der eine erklдrung/hinweis geben kцnnte. ich kenn ja nur mein fall und habe nicht eueren feedback aus den vielen zusendungen.

    jedenfalls bevor ich es vergesse: vielen lieben dank dass du solange dabei warst und zu helfen versucht hast!!!

    habe das mit den versch. startupmgr. deshalb erwдhnt, weil es vielleicht sein kцnnte, dass irgendwas sich im telefonica startmgr eingeschlichen hat: mich hat ьberrascht das proyecto1 in klammern dabei stand. alle andere ganz normal. Gut das spybot nichts entdeckt hat, logisch aber in der erweiterte version kannst du auch in den starteintrдge die spybot gefunden hat einsehen. da gibt es den eintrag nicht. das machte mir stutzig ...
    Последний раз редактировалось peerki; 23.07.2008 в 19:52. Причина: Добавлено

  16. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от peerki Посмотреть сообщение
    Gut das spybot nichts entdeckt hat, logisch aber in der erweiterte version kannst du auch in den starteintrдge die spybot gefunden hat einsehen. da gibt es den eintrag nicht. das machte mir stutzig ...
    Schaue lieber bei den Diensten nach. Ich weiß nicht, wofür Telefonica gut ist, aber es könnte sein, dass dieses Zeug einen Dienst hat, der automatisch startet. Dann ist der Autostart auch ohne den Autostart-Eintrag in Registry möglich

  17. #17
    Junior Member Репутация
    Регистрация
    23.07.2008
    Сообщений
    9
    Вес репутации
    35
    ok wieder was dazu gelernt, danke.

    habe den assistente von telefonica gerade deinstalliert und dabei hat sich outpost gemeldet fьr eine regel:das programm KILLSPRTCMD.EXE wollte fьr proyecto1 eine ausgehende verbindung an die adresse dna.atar.rima-tde.net

    habs erstmal einaml blockiert und die frage ist noch nicht wiedergekommen. mache jetzt mal neustart und schaue ob starter den eintrag noch kennt.

    Добавлено через 11 минут

    nach neustart zeigt STARTER nach einem refresh immer noch den telefonica eintrag. und nun?? registry cleanen und wenn ja mit welchem?
    Последний раз редактировалось peerki; 23.07.2008 в 20:30. Причина: Добавлено

  18. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от peerki Посмотреть сообщение
    nach neustart zeigt STARTER nach einem refresh immer noch den telefonica eintrag...registry cleanen und wenn ja mit welchem?
    Wo denn? Als StartUp-Eintrag - das kannst Du einfach löschen.
    Außerdem gibt es:
    Registrytool im CCleaner - (automatisch und manuell)
    Registrytool im AVZ (Suchen nach Muster, Löschen manuell)
    RegistryTool JV16 (ein gutes Tool, leider keine Freeware mehr, 30-Tage voll funktionsfähige Trial-Version)
    Letztendlich gibt es regedit bei Windows

Похожие темы

  1. Worm.AutoRun а так же Worm.Kolab
    От Dimihi в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 26.12.2009, 20:23
  2. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
    От zagraba в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 06.12.2009, 11:53
  3. Ответов: 24
    Последнее сообщение: 11.04.2009, 23:10
  4. Net-Worm.Win32.Slammer Он же Win.MSSQL.worm.Helkern.
    От TeXeT в разделе Вредоносные программы
    Ответов: 4
    Последнее сообщение: 28.07.2008, 12:21
  5. Помогите - WORM/RJUMP.B.1+WORM/RJUMP.E+W32.Fakerecy
    От Ultra Breaker в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 23.12.2007, 00:49

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01393 seconds with 17 queries