phoenix-web
Goto Top

Dropper/Pere.103936(.E.2)

Hat jemand diesen Dropper schon einmal gesehen?
Trat gestern (4.12.05 16:00) bei einem Kollegen auf.

Er deaktiviert den Virenscanner, Firewall (Personal und auch die Windowsinterne).
Er scheint auch Tempdateien zu infizieren (waren in C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tmpA.tmp, tmpB.tmp, tmpC.tmp....).
Außerdem hat er sich im \System32\ eingenistet... Allerdings wiessen wir leider nicht mehr welche Dateien dort betroffen waren.
Logs folgen, wenn wir noch welche finden können ^^
Verbreitet sich wohl auch massiv übers Netz (Stecker gezogen alles OK, Stecker rein und schon gingen die Alarmglocken wieder an).
Gefunden hat das Teil AntiVir Pers.

Content-ID: 20947

Url: https://administrator.de/forum/dropper-pere-103936-e-2-20947.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

10545
10545 05.12.2005, aktualisiert am 30.03.2023 um 02:16:10 Uhr
Goto Top
Moin,

lies dazu mal mein Posting in folgendem Thread zur Vorgehensweise:

hab einen neuen Virus

Gruß, Rene
Phoenix-Web
Phoenix-Web 05.12.2005 um 09:41:17 Uhr
Goto Top
danke...
werd ich weiterleiten face-smile
Phoenix-Web
Phoenix-Web 06.12.2005 um 09:04:32 Uhr
Goto Top
Hier die Scan von Gestern (AntiVir):


Ist das Trojanische Pferd TR/Dldr.Small.ACP.1!
  C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\TMP29.TMP
 
Ist das Trojanische Pferd TR/Click.Small.DN.3!
  C:\WINDOWS\SYSTEM32\PUHAAAAA.EXE

Ist das Trojanische Pferd TR/Dldr.CWS.M.1!
  C:\WINDOWS\SYSTEM32\AHAKFUIA.EXE

Ist das Trojanische Pferd TR/Drop.Xe.224244.B!
  C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\TMP8.TMP
 
Ist das Trojanische Pferd TR/Dldr.CWS.M.1!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{41D1CF84-DCAB-40CD-A588-D2AB2000D1A7}\RP513\A0177412.EXE


Panda ActiveScan hat folgendes gefunden:

Virus:Trj/Ppdoor.D            
Disinfected C:\WINDOWS\system32\mpnoa64k.dll                                                                                                                                                                                                                                
Virus:Trj/Ppdoor.D            
Disinfected                   C:\WINDOWS\system32\psclache.dll         




- BitDefender läuft gerade

Der Dropper (Pere.103936[.E.2]) wird nicht mehr gefunden....
10545
10545 06.12.2005 um 12:46:29 Uhr
Goto Top
Moin,

Der Dropper (Pere.103936[.E.2]) wird nicht
mehr gefunden....

Geht doch face-wink

Gruß, Rene
<font size=1>(Gebt mir Sterne face-wink Ich WILL den Kalender haben face-wink )</font>
Phoenix-Web
Phoenix-Web 06.12.2005 um 13:53:04 Uhr
Goto Top
hehe...
naja.. hoffen wir mal, dass die anderen Trojaner, etc. auch nach dem Scan nicht mehr auftauchen ^^
Biber
Biber 06.12.2005, aktualisiert am 30.03.2023 um 02:16:31 Uhr
Goto Top
@Rene
Gebt mir Sterne..

Okay, Du Gierschlund.. einen Stern spendier ich Dir..
Weil Nikolaus ist face-big-smile

Hope It Helps *ROFL*
Biber