Seltsamer Virus

><))))°>

Idle ...

Registered: Sep 2002
Location: Wien
Posts: 1586

22.11.2003 - 16:19

Folgendes problem hab ich seit einigen tagen.
in unregelmässigen abständen öffnen sich immer internet explorer pop ups, ohne das der IE gerade läuft. meistens öffnen sich gleich 5 auf einmal.
über diese popups wird dann ein trojaner runtergeladen, und ausgeführt, dieser wird von norton dann gleich gelöscht.

ich hab dann adaware und eben norton anti virus drüber laufen lassen, aber beide haben nix gefunden?!

am nächsten tag in der früh waren dann wieder 5 popups offen, und norton hat wieder gemeldet das er 5 trojaner gelöscht hat.

ich hab dann herausgefunden dass diese popups auf diese URL zugreifen:

http://www..adlogix.com/server/?VFJDSz0xMjg3

als notlösung hab ich jetzt adlogix.com in meinem hosts file auf den localhost umgeleitet - die fenster öffnen sich aber trotzdem noch, es wird dann halt kein trojaner runtergeladen

also, was ist das, und wie bekomm ich das weg?

Bearbeitet von ><))))°> am 28.11.2003, 11:22

Murph

Nerd

Registered: Dec 2001
Location: Vienna
Posts: 9236

22.11.2003 - 16:35

schau mal in diesen registry schlüssel:
hkey current user / software / microsoft / windows / run

da sollte eigentlich garnix drinstehen.. wenn "Update Scheduler" oder solche hochwichtigen dinge drinstehen is wahrscheinlich dieses file der virus.

><))))°>

Idle ...

Registered: Sep 2002
Location: Wien
Posts: 1586

22.11.2003 - 16:42

hmm also da steht bei mir schon was drinnen allerdings sachen wie:
nerochek, mbm5, edonkey2000, kernelfaultcheck, usw
also nix wirklich ungewöhnliches

ich hab übrigens den "systemstart" reiter unter "msconfig" auch schon kontrolliert.
jedes mal nachdem diese popups erschienen stand da "stcloader.exe" drinnen, ich hab den eintrag natürlich jedesmal wieder entfernt.

Frys_Assassin

information keeper

Registered: Oct 2001
Location: New New York
Posts: 2503

22.11.2003 - 16:48

Zitat von ><)))°>
hmm also da steht bei mir schon was drinnen allerdings sachen wie:
nerochek, mbm5, edonkey2000, kernelfaultcheck, usw
also nix wirklich ungewöhnliches[...]

kernelfaultcheck? kenn ich nicht / hab ich nicht.
hast du w2k oder xp?

><))))°>

Idle ...

Registered: Sep 2002
Location: Wien
Posts: 1586

22.11.2003 - 16:52

xp

edit: der eintrag kernelfaultcheck hat diesen wert:
%systemroot%\system32\dumprep 0 -k

Murph

Nerd

Registered: Dec 2001
Location: Vienna
Posts: 9236

22.11.2003 - 16:55

kernelfaultcheck is *sicher* kein windows-dienst... alle viren heißen so (UpdateService, RegOptimize, ...)
jedenfalls kennt ihn win2k nicht...

TheDevil

Back from Banland

Registered: Jul 2003
Location: Vienna
Posts: 4663

22.11.2003 - 17:00

kernelfaultcheck hab ich auch.. xp auch.. *angst*

><))))°>

Idle ...

Registered: Sep 2002
Location: Wien
Posts: 1586

22.11.2003 - 17:00

also ich hab folgendes dazu gefunden:

"Dumprep - Explained (Microsoft)

It has various mode of functionality. ER Utility Application - This will be referred to as dumprep.exe from here forward.

This application houses a few simple functions to be used when a separate application is needed to perform certain tasks (such as snapping a minidump of a process, etc).

Queued reporting:

This goal of this mode is similar to that of regular manifest exception reporting: prevent non-privileged users from accessing data they should not be accessing. In regular manifest mode, we have the possibility that a non-privileged user could see a minidump from a service process if he was logged onto the local console when the service faulted."

usw...

scheint kein virus zu sein...

><))))°>

Idle ...

Registered: Sep 2002
Location: Wien
Posts: 1586

26.11.2003 - 22:42

ok, ich hab den übeltäter gefunden. der prozess der ständig popups erzeugt, heisst "IPU.exe"

als ich das herausfand hab ich ihn sofort beendet, das dumme ist nur, das er ständig wieder geladen wurde, wenn ich zum beispiel auf den arbeitsplatz klickte, oder den explorer öffnete...
ganz nebenbei wurde ich auch noch aus den "Internetoptionen" ausgesperrt.

jedenfalls hab ich die datei (die sich übrigens im system verzeichnis befand) jetzt gelöscht, den computer neu gestartet - und nun scheint alles wieder beim alten zu sein.

komisch find ich nur das kein scanner (spybotSD, adaware, norton, kaspersky) diesen virus, oder was immer das war, gefunden hat!!

unter google fand ich auch nur 12 einträge, und die meisten davon sind in irgendwelchen sprachen, ausser natürlich deutsch oder englisch... :rolleyes:

><))))°> Idle ... Registered: Sep 2002 Location: Wien Posts: 1586	22.11.2003 - 16:19 Folgendes problem hab ich seit einigen tagen. in unregelmässigen abständen öffnen sich immer internet explorer pop ups, ohne das der IE gerade läuft. meistens öffnen sich gleich 5 auf einmal. über diese popups wird dann ein trojaner runtergeladen, und ausgeführt, dieser wird von norton dann gleich gelöscht. ich hab dann adaware und eben norton anti virus drüber laufen lassen, aber beide haben nix gefunden?! am nächsten tag in der früh waren dann wieder 5 popups offen, und norton hat wieder gemeldet das er 5 trojaner gelöscht hat. ich hab dann herausgefunden dass diese popups auf diese URL zugreifen: http://www..adlogix.com/server/?VFJDSz0xMjg3 als notlösung hab ich jetzt adlogix.com in meinem hosts file auf den localhost umgeleitet - die fenster öffnen sich aber trotzdem noch, es wird dann halt kein trojaner runtergeladen also, was ist das, und wie bekomm ich das weg? Bearbeitet von ><))))°> am 28.11.2003, 11:22
Murph Nerd Registered: Dec 2001 Location: Vienna Posts: 9236	22.11.2003 - 16:35 schau mal in diesen registry schlüssel: hkey current user / software / microsoft / windows / run da sollte eigentlich garnix drinstehen.. wenn "Update Scheduler" oder solche hochwichtigen dinge drinstehen is wahrscheinlich dieses file der virus.
><))))°> Idle ... Registered: Sep 2002 Location: Wien Posts: 1586	22.11.2003 - 16:42 hmm also da steht bei mir schon was drinnen allerdings sachen wie: nerochek, mbm5, edonkey2000, kernelfaultcheck, usw also nix wirklich ungewöhnliches ich hab übrigens den "systemstart" reiter unter "msconfig" auch schon kontrolliert. jedes mal nachdem diese popups erschienen stand da "stcloader.exe" drinnen, ich hab den eintrag natürlich jedesmal wieder entfernt.
Frys_Assassin information keeper Registered: Oct 2001 Location: New New York Posts: 2503	22.11.2003 - 16:48 Zitat von ><)))°> hmm also da steht bei mir schon was drinnen allerdings sachen wie: nerochek, mbm5, edonkey2000, kernelfaultcheck, usw also nix wirklich ungewöhnliches[...] kernelfaultcheck? kenn ich nicht / hab ich nicht. hast du w2k oder xp?
><))))°> Idle ... Registered: Sep 2002 Location: Wien Posts: 1586	22.11.2003 - 16:52 xp edit: der eintrag kernelfaultcheck hat diesen wert: %systemroot%\system32\dumprep 0 -k
Murph Nerd Registered: Dec 2001 Location: Vienna Posts: 9236	22.11.2003 - 16:55 kernelfaultcheck is sicher kein windows-dienst... alle viren heißen so (UpdateService, RegOptimize, ...) jedenfalls kennt ihn win2k nicht...
TheDevil Back from Banland Registered: Jul 2003 Location: Vienna Posts: 4663	22.11.2003 - 17:00 kernelfaultcheck hab ich auch.. xp auch.. angst
><))))°> Idle ... Registered: Sep 2002 Location: Wien Posts: 1586	22.11.2003 - 17:00 also ich hab folgendes dazu gefunden: "Dumprep - Explained (Microsoft) It has various mode of functionality. ER Utility Application - This will be referred to as dumprep.exe from here forward. This application houses a few simple functions to be used when a separate application is needed to perform certain tasks (such as snapping a minidump of a process, etc). Queued reporting: This goal of this mode is similar to that of regular manifest exception reporting: prevent non-privileged users from accessing data they should not be accessing. In regular manifest mode, we have the possibility that a non-privileged user could see a minidump from a service process if he was logged onto the local console when the service faulted." usw... scheint kein virus zu sein...
><))))°> Idle ... Registered: Sep 2002 Location: Wien Posts: 1586	26.11.2003 - 22:42 ok, ich hab den übeltäter gefunden. der prozess der ständig popups erzeugt, heisst "IPU.exe" als ich das herausfand hab ich ihn sofort beendet, das dumme ist nur, das er ständig wieder geladen wurde, wenn ich zum beispiel auf den arbeitsplatz klickte, oder den explorer öffnete... ganz nebenbei wurde ich auch noch aus den "Internetoptionen" ausgesperrt. jedenfalls hab ich die datei (die sich übrigens im system verzeichnis befand) jetzt gelöscht, den computer neu gestartet - und nun scheint alles wieder beim alten zu sein. komisch find ich nur das kein scanner (spybotSD, adaware, norton, kaspersky) diesen virus, oder was immer das war, gefunden hat!! unter google fand ich auch nur 12 einträge, und die meisten davon sind in irgendwelchen sprachen, ausser natürlich deutsch oder englisch...

Seltsamer Virus

Forum Index > Real Life > Offtopic

><))))°>

Murph

><))))°>

Frys_Assassin

><))))°>

Murph

TheDevil

><))))°>

><))))°>