Datei vsmon.exe = Wurm?

#0
10.10.2004, 19:19
Member

Beiträge: 13
#1 Bei einer Neuinstallation von Windows XP und SP2 habe ich als mehrmalige Autostarteinträge eine Datei namens vsmon.exe vorgefunden. Recherchiert habe ich bislang, dass es sich um eine Datei der Firewall Zone Alarm handelt. Ich habe allerdings Zone Alarm niemals installiert oder auf der Platte gehabt, auch vor dem Neuaufsetzen nicht.

Unangenehme Folge der vsmon.exe war eine deutliche Verlangsamung des Systems und des Internetverkehrs.

Ich benutze eTrust Antivirus von Computer Associates. eTrust hat vsmon.exe als Wurm identifiziert und gelöscht. Über den Wurm vsmon.exe habe ich über Google jedoch nichts gefunden. Ist hierüber etwas bekannt?
Seitenanfang Seitenende
10.10.2004, 20:40
Member

Beiträge: 441
#2 Hierbei handelt es sich um den WORM_RBOT.BO mit Backdoor Funktionalität!

Zitat

Backdoor Capabilities

This worm connects to port 6667 (a normal mIRC port) and joins a specific channel where it listens for commands issued by the remote malicious user. These commands include the following:

* Disable network shares
* Download an update version of itself
* Download and execute a file
* Launch a SYN and ICMP flood attack
* List and terminate services and processes
* Open and execute a file
* Perform several IRC-related functions
* Redirect connections
* Steal system information, as follows:
o CPU speed
o Currently logged-in user
o Free/Total RAM
o Malware uptime
o Windows version and build
* Visit a particular Web site
Quelle: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.BO&VSect=T

Das wäre Grund genug um nochmals über ein Neuaufsetzen deines Systems nachzudenken.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
11.10.2004, 00:40
Member

Themenstarter

Beiträge: 13
#3 Vielen Dank für die prompte Antwort. Sehr beunruhigend.

Ich hatte das System bereits vor meiner Anfrage zweimal neu aufgesetzt und vorher die Platte neu formatiert. Trotzdem habe ich im Autostartbereich vsmon.exe gefunden. Kann es sein, dass sich der Wurm irgendwo festsetzt, so dass die Formatierung nichts nützt?

eTrust findet jetzt nichts mehr, auch im Arbeitsspeicher nicht.

Die in Deinem Link aufgeführten Registry-Einträge sind nicht beziehungsweise nicht mehr vorhanden.
Dieser Beitrag wurde am 11.10.2004 um 00:44 Uhr von Rainer2 editiert.
Seitenanfang Seitenende