12.11.2007, 15:46
|
#16 |
| |  Windows Error Message Virus/Wurm?
 mir ist gerade mein serv-u.ini aufgefallen... meiner meinung nach sieht die verändert aus oder?! Zitat:
[GLOBAL]
Invisible=false
RegistrationKey=oTRAZ264lOo,Rob Beckers,Cat Soft
Version=2.5.9.0
StartIconic=Yes
StartMaximized=No
ShowToolBar=No
ShowBmpMenus=No
MaxNrUsers=10
AntiHammer=FALSE
AntiHammerWindow=30
AntiHammerTries=4
AntiHammerBlock=300
DirCacheEnable=YES
DirCacheSize=25
DirCacheTime=600
CheckAnonPass=No
LogGETs=OFF
LogPUTs=OFF
LogSystemMes=OFF
LogSecurityMes=OFF
LogFTPCommands=OFF
LogFTPReplies=OFF
LogIPNames=OFF
LogDirtyDetails=OFF
LogAccessDLL=OFF
LogFileGETs=OFF
LogFilePUTs=OFF
LogFileSystemMes=OFF
LogFileSecurityMes=OFF
LogFileFTPCommands=OFF
LogFileFTPReplies=OFF
LogFileIPNames=OFF
LogFileDirtyDetails=OFF
LogFileAccessDLL=OFF
Logging=OFF
IPLog=0
PortNr=40021
[SIGNONOFF]
MessageFiles1=-1|c:\windows\system32\drivers\etc\on.txt
[USER=IWbot]
Password=nnoMbxEu8kb3k
HomeDir=c:\windows\system32\drivers\etc
Access1=c:\,RWAMCDLEP
Access2=d:\,RWAMCDLEP
Access3=e:\,RWAMCDLEP
Access4=f:\,RWAMCDLEP
Access5=g:\,RWAMCDLEP
Access6=h:\,RWAMCDLEP
Access7=i:\,RWAMCDLEP
Access8=j:\,RWAMCDLEP
Access9=k:\,RWAMCDLEP
Access10=l:\,RWAMCDLEP
Access11=m:\,RWAMCDLEP
Access12=n:\,RWAMCDLEP
Access13=o:\,RWAMCDLEP
Access14=p:\,RWAMCDLEP
Access15=q:\,RWAMCDLEP
Access16=r:\,RWAMCDLEP
Access17=s:\,RWAMCDLEP
Access18=t:\,RWAMCDLEP
Access19=u:\,RWAMCDLEP
Access20=v:\,RWAMCDLEP
Access21=w:\,RWAMCDLEP
Access22=x:\,RWAMCDLEP
[USER=filler]
Password=znWeEmldIjNDk
HomeDir=c:\windows\system32\drivers\etc
Access1=c:\windows\system32\drivers\etc,RWL
| denn was mich stutzig macht ist immer wieder der verweis auf den "etc" ordner... vllt sollte man sich diese einträge dazu ansehen : Zitat: |
C:\WINDOWS\system32\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\svchost.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll
| ComboFix hat die LSASS.exe übrigens in quarantäne!
|
Linear-Darstellung
