Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Error Message Virus/Wurm? (https://www.trojaner-board.de/45675-windows-error-message-virus-wurm.html)

M4tze 12.11.2007 15:46
mir ist gerade mein serv-u.ini aufgefallen... meiner meinung nach sieht die verändert aus oder?!
Zitat:
[GLOBAL]
Invisible=false
RegistrationKey=oTRAZ264lOo,Rob Beckers,Cat Soft
Version=2.5.9.0
StartIconic=Yes
StartMaximized=No
ShowToolBar=No
ShowBmpMenus=No
MaxNrUsers=10
AntiHammer=FALSE
AntiHammerWindow=30
AntiHammerTries=4
AntiHammerBlock=300
DirCacheEnable=YES
DirCacheSize=25
DirCacheTime=600
CheckAnonPass=No
LogGETs=OFF
LogPUTs=OFF
LogSystemMes=OFF
LogSecurityMes=OFF
LogFTPCommands=OFF
LogFTPReplies=OFF
LogIPNames=OFF
LogDirtyDetails=OFF
LogAccessDLL=OFF
LogFileGETs=OFF
LogFilePUTs=OFF
LogFileSystemMes=OFF
LogFileSecurityMes=OFF
LogFileFTPCommands=OFF
LogFileFTPReplies=OFF
LogFileIPNames=OFF
LogFileDirtyDetails=OFF
LogFileAccessDLL=OFF
Logging=OFF
IPLog=0
PortNr=40021
[SIGNONOFF]
MessageFiles1=-1|c:\windows\system32\drivers\etc\on.txt
[USER=IWbot]
Password=nnoMbxEu8kb3k
HomeDir=c:\windows\system32\drivers\etc
Access1=c:\,RWAMCDLEP
Access2=d:\,RWAMCDLEP
Access3=e:\,RWAMCDLEP
Access4=f:\,RWAMCDLEP
Access5=g:\,RWAMCDLEP
Access6=h:\,RWAMCDLEP
Access7=i:\,RWAMCDLEP
Access8=j:\,RWAMCDLEP
Access9=k:\,RWAMCDLEP
Access10=l:\,RWAMCDLEP
Access11=m:\,RWAMCDLEP
Access12=n:\,RWAMCDLEP
Access13=o:\,RWAMCDLEP
Access14=p:\,RWAMCDLEP
Access15=q:\,RWAMCDLEP
Access16=r:\,RWAMCDLEP
Access17=s:\,RWAMCDLEP
Access18=t:\,RWAMCDLEP
Access19=u:\,RWAMCDLEP
Access20=v:\,RWAMCDLEP
Access21=w:\,RWAMCDLEP
Access22=x:\,RWAMCDLEP
[USER=filler]
Password=znWeEmldIjNDk
HomeDir=c:\windows\system32\drivers\etc
Access1=c:\windows\system32\drivers\etc,RWL
denn was mich stutzig macht ist immer wieder der verweis auf den "etc" ordner... vllt sollte man sich diese einträge dazu ansehen :
Zitat:
C:\WINDOWS\system32\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\svchost.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll
ComboFix hat die LSASS.exe übrigens in quarantäne!

cosinus 12.11.2007 21:20
Zitat:
ComboFix hat die LSASS.exe übrigens in quarantäne!
Und? Das ändert doch nichts daran. Dein System ist weiterhin kompromittiert. Wenn da schon jmd. einen FTP-Server eingerichtet hat, wird der mit Sicherheit noch irgendeine andere Hintertür eingerichtet haben. Jedenfalls sollte man da von ausgehen.

Wie gesagt, nimm das System sofort vom Netz und setz es neu auf.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:23 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131