Virus?
#1
geschrieben 12. Juli 2006 - 20:14
mein virenscanner schlägt jedoch auch keinen alarm..
hab die datei mal in eine .bat unbenannt und mit dem editor geöffnet, mehrmals kommt dadrin das verzeichnis "C:\WINDOWS\zset32" vor, weiß jedoch nich was das sein soll.
is bei euch was?
oder kann jemand klären worum es sich da handelt?
rechner wäre seit dem sehr langsam
Anzeige
#3
geschrieben 12. Juli 2006 - 20:23
wurde direkt gefixt und der ordner mittlerweile gelöscht mittels unlocker, jedoch trotzdem weiterhin die frage ob nich noch was außer diesem ordner "installiert" wurde..
hatte eben datei vergessen :-P
http://datenklo.net/file.php?id=198960fa6f...d4d63b648a91aea
Dieser Beitrag wurde von pjaeger´06 bearbeitet: 12. Juli 2006 - 21:04
#4
geschrieben 12. Juli 2006 - 20:25
#5
geschrieben 12. Juli 2006 - 21:05
bin ja nich grad der größte anfänger,
Zitat
siehe letzter beitrag, eintrag wurde gefixt..
die frage ist, obs noch sonstige rückstände gibt oder die neugier was das programm angerichtet hat..
Dieser Beitrag wurde von pjaeger´06 bearbeitet: 12. Juli 2006 - 21:05
#6
geschrieben 12. Juli 2006 - 21:09
#7
geschrieben 12. Juli 2006 - 21:16
kann keiner entschlüsseln was die exe ausführt?
im editor werden zwar bruchstücke wie der ordner sichtbar aber mehr nich
#8
geschrieben 12. Juli 2006 - 21:38
Zitat (pjaeger´06: 12.07.2006, 22:16)
kann keiner entschlüsseln was die exe ausführt?
im editor werden zwar bruchstücke wie der ordner sichtbar aber mehr nich
ich glaub nicht das sich das damit einer freiwillig herumexperimentieren will
there never was to be
but i made a sacrifice
in the cause o f liberty
You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.
#9
geschrieben 12. Juli 2006 - 21:39
Jotti:
AntiVir Found SecurityPrivacyRisk/PSW.MailPass riskware
Dr.Web Found Tool.PassView
VBA32 Found Backdoor.VB.41 (probable variant)
VirusTotal:
McAfee 4805 07.12.2006 potentially unwanted program PW*****-MPass
VBA32 3.11.0 07.12.2006 suspected of Backdoor.VB.41
Habe leider keine Zeit das Teil in meiner VM auszuführen, sonst hätte ich dir eventuell helfen können.
Edit hab mal kurz rein geschaut (mal ein paar strings):
den letzten schritt bitte in der readme.txt lesen icq smileys erstellt... ERSTER SHIT C:\WINDOWS\zset32\getpw.exe C:\WINDOWS\zset32\ftp.exe C:\WINDOWS\zset32\hero.exe C:\WINDOWS\zset32\FTPlib.dll C:\WINDOWS\zset32\keydll3.dll C:\WINDOWS\zset32\fstart32.exe FILES C:\WINDOWS\zset32 hero.exe fstart32.exe .... C:\WINDOWS\zset32\mailpv.exe /stext %s C:\WINDOWS\zset32\mspass.exe /stext %s C:\WINDOWS\zset32\pspv.exe /stext %s %s_mailpvLOG.txt %s_mspassLOG.txt %s_pspvLOG.txt C:\WINDOWS\zset32\mailpv.exe C:\WINDOWS\zset32\mspass.exe C:\WINDOWS\zset32\pspv.exe FILES scheissforum scheisse scheissforum.sc.funpic.de .... VANAL_SPY getpw.exe %sLOG.txt Edit Url Mozilla Firefox url = %s Internet Explorer Win Caption = %s hero.exe STARTED BY FSTART32.EXE SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon winfstart32 SOFTWARE\Microsoft\Windows\CurrentVersion\Run scheisse.t35.com scheisse ftp.t35.com scheisse.110mb.com ftp.scheisse.110mb.com usr_ftp_36047 45O6WAh9hg1qU ftp.*.de ws2854070 master12 ftp.*.de schedule.txt C:\WINDOWS\zset32\getpw.exe ftp.exe C:\WINDOWS\zset32\ftp.exe keydll3.dll C:\WINDOWS\zset32\keydll3.dll FTPlib.dll C:\WINDOWS\zset32\FTPlib.dll C:\WINDOWS\zset32\hero.exe C:\WINDOWS\zset32 C:\WINDOWS\zset32\fstart32.exe fstart32.exe AutoLogin SOFTWARE\Mirabilis\ICQ\NewOwners\%s SOFTWARE\Mirabilis\ICQ\NewOwners\%s\CommonPrefs SOFTWARE\Mirabilis\ICQ\NewOwners NEWversion.exe update.txt scheissforum scheissforum.sc.funpic.de SYSTEM MESSAGE] updated to version %s
Ok alles mitbekommen? dann geh mal auf
1) ftp.t35.com user: scheisse.t35.com pw: scheisse
2) ftp.scheisse.110mb.com user: scheisse.110mb.com pw: scheisse
3) ftp.*.de user: usr_ftp_36047 pw: scheisse
4) scheissforum.sc.funpic.de exisitiert nicht mehr
Dieser Beitrag wurde von mesios bearbeitet: 05. Februar 2007 - 10:04
#10
geschrieben 12. Juli 2006 - 22:17
was is das da mit icq?
und was macht das "programm" da jetz genau mit meinem system?
was die zset32 da machen weißt du auch nich?
hat sich das jetzt erledigt nachdem der ordner sowie der regedit eintrag wieder gelöscht ist?
thx scho mal, wenigstens einer der nich nur was behauptet sondern auch was macht
Dieser Beitrag wurde von pjaeger´06 bearbeitet: 12. Juli 2006 - 22:20
#13
geschrieben 13. Juli 2006 - 13:52
und was macht das programm da jetzt genau mit dem rechner? hat der fupp da jetz meine email und ftp zugangsdaten, die in den jeweiligen progs eingetragen sind?
was sollen die zugriffe auf seine ftp server? sollen mit diesem programm die daten auf sienen server geladen werden oder was? aber auf diesem ist doch nichts drauf?
und was hat es mit den .exe dateien aufsich(hero.exe, C:\WINDOWS\zset32\xyz.exe,..) ?
Dieser Beitrag wurde von pjaeger´06 bearbeitet: 13. Juli 2006 - 14:18
#14
geschrieben 13. Juli 2006 - 14:20
edit: sry, wegen doppelpost
Dieser Beitrag wurde von pjaeger´06 bearbeitet: 13. Juli 2006 - 14:21
#15
geschrieben 13. Juli 2006 - 14:34
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)