C:\windows\downloadedprogramfiles\conflict.1\d_alexeyman.exe

#16 @Para_NOid

Wer oder was meldet das ?

Das reimt sich

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#17 das ist eine beschreibung von sophos

#18 @Para_NOid

und jetzt

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#19 hab die regeinträge per hand gelöscht und jage im abgesicherten modus nochmal mcafee drüber.... wenn er dann net wech is mach ich ihn nackisch *g* :-)

das prob ist das er den virus im abgesicherten modus nicht findet und im normal modus findet er ihn und zeigt ihn beim einlogen in die benutzeroberfläche auch an

also muss er ja irgentwie im sysstart hängen und abhängig von systhemdatein sein die im abgesicherten modus nicht geladen werden

#20 @Para

Vergiss McAfee, benutzt den EScan der ist in HiJackersachen einfach besser.
Scanne im abgesicherten Modus, öffne dabei niemals den Internet Explorer und alles wird gut

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#21 escan findet nix mehr und der mcaffe findet einen BackDoor-CFB
aber auch nur im normalen modus und wenn ich den wmplayer öffne zeigt er sofort ne viruswarnmeldung mit den BackDoor-CFB

ich glaub wenn ich hier mit den teil fertig bin könnt ihr mich abholen und in die klapse stecken

#22 @PAra

Das sollte weiterhelfen
http://vil.nai.com/vil/content/v_126106.htm

Was genau meldet McAfee?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#23 genau das habe ich auch schon gefunden... nur bin ich in englisch nicht so gebildet
er meldet das ich kein zugriff auf so ne dll habe, den name weis ich jetzt nicht mehr so genau

aber ich denk mal das es daran liegt das der virus sich bestimmt al hiddendienst startet weshalb er auch nicht im abgesicherten modus gefunden wird

#24 @Para_NOid

Das ist des Rätsels Lösung
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="%SysDir%\(DLL filename).DLL"

Geh bitte in die Registry mit
Start/Ausführen/regedit

Geh zu diesem Key
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

und suche den Eintrag
AppInit_DLLs

Was steht da drin

oder lade die pvzip
http://tools.zerosrealm.com/pv.zip
auspacken und runme.bat starten
dann drücke 6 und return
poste das ergebnis

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#25 nur hab ich nen kleines problem
das notebook ist momentan in spanien unterwegs und kommt erst nächste woche wieder, da ein mittarbeiter es dringend benötigte

habs ihn gegeben da der virus in der gefahrenstufe als low eingestuft ist und sich nicht selber verbreitet

also poste ich nächste woche wieder

thx ertmal

#26 @Para_NOid

Halt mich auf dem laufenden
Bin nach der ganzen Posterei, schon Interessiert wie es weitergeht

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#27 ja klar... mach ich doch,
hab auch nen bösen anruf gehabt das das nb sich jetzt permanent aufhängt :/

#28

Zitat

Para_NOid postete
hab auch nen bösen anruf gehabt das das nb sich jetzt permanent aufhängt :/

Kann ich verstehen, es ist ja auch noch was "BÖSES" drin
Dieses wurde wahrscheinlich halb beseitig und nun ist Buggy.

Notfalls lass deinen Kollegen das oben gesagte machen.
Er muß nur die DLL die in appinis_dll steht finden und löschen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#29 naja, er hat sich nen black berry gekauft und das notbook geht irgendwie wieder.... naja *augenroll*

ich werds ja dann sehen wenn ich es wieder habe...

werde dich aufn laufen halten

#30 @Para_Noid

Was ist ein "black berry"

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware