Von: Banana~im~Pyjama 
13.06.03 - 16:53
13.06.03 - 16:53 
Seltsame exe Dateien tummeln sich auf meinem PC...
Erstmal beim hochfahren kommt schon jedesmal die Fehlermeldung:
Lvz1.exe: Der Prozedureinsprungspunkt "SetupDiGetClassDevsExW" wurde in der DLL "SETUPAPI.dll" nicht gefunden.
Diese Lvz1.exe will auch dauernd ins Internet genauso wie die Eet1.exe, Rfh1.exe, Usd1.exe, Wex1.exe, Wht1.exe, msrexe.exe und die IAMAPP.EXE.
Als ob das nicht genug wäre versucht auch noch ständig ein "remote system" auf das internet zuzugreifen... Momentan zwar alles blokiert von der Firewall aber ich wüsste gern was es mit diesen dateien auf sich hat und wie ich sie wieder los werde oder ob die vieleicht teilweise doch irgendwie ihre Berechtigung haben...?
Ad-aware und Norton Antivirus (jeweils auf aktuellem Stand) hilft jedenfalls nichts dagegen...
Kann ich die alle von Hand löschen oder ist da eine exe dabei die man braucht zum normalen Betrieb?
Erstmal beim hochfahren kommt schon jedesmal die Fehlermeldung:
Lvz1.exe: Der Prozedureinsprungspunkt "SetupDiGetClassDevsExW" wurde in der DLL "SETUPAPI.dll" nicht gefunden.
Diese Lvz1.exe will auch dauernd ins Internet genauso wie die Eet1.exe, Rfh1.exe, Usd1.exe, Wex1.exe, Wht1.exe, msrexe.exe und die IAMAPP.EXE.
Als ob das nicht genug wäre versucht auch noch ständig ein "remote system" auf das internet zuzugreifen... Momentan zwar alles blokiert von der Firewall aber ich wüsste gern was es mit diesen dateien auf sich hat und wie ich sie wieder los werde oder ob die vieleicht teilweise doch irgendwie ihre Berechtigung haben...?
Ad-aware und Norton Antivirus (jeweils auf aktuellem Stand) hilft jedenfalls nichts dagegen...
Kann ich die alle von Hand löschen oder ist da eine exe dabei die man braucht zum normalen Betrieb?
Von: joe
13.06.03 - 17:15
13.06.03 - 17:15
msrexe.exe ist Subseven. Suche die Loader und lösche die Registry-Einträge (wahrscheinlich in HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Von: desert-moon
13.06.03 - 17:48
13.06.03 - 17:48
Von: Killerbu
13.06.03 - 18:27
13.06.03 - 18:27
Desert-moon:
Nicht alle Linuxe sind Open Surce ;)
Die kann man alle auch im Laden kaufen ;)
Nicht alle Linuxe sind Open Surce ;)
Die kann man alle auch im Laden kaufen ;)
Von: desert-moon
13.06.03 - 18:38
13.06.03 - 18:38
@Killerbu
Linux ist Open Source, es gibt ja nur eins.
Die meisten Distri's sind auch Open Source.
Das einzige wofür man bei RedHat, Suse etc.etc bezahlt ist die Verpackung, Handbücher, Support
Linux ist Open Source, es gibt ja nur eins.
Die meisten Distri's sind auch Open Source.
Das einzige wofür man bei RedHat, Suse etc.etc bezahlt ist die Verpackung, Handbücher, Support
Von: Banana~im~Pyjama
13.06.03 - 20:07
13.06.03 - 20:07
Danke erstmal,werds versuchen mit den Registry-Einträgen!
Noch ne Frage zu Subseven:
Kann ich irgendwie rausfinden an welche adresse der gesendet hat bzw. senden wollte,oder den sonst irgendwie zurückverfolgen?
Noch ne Frage zu Subseven:
Kann ich irgendwie rausfinden an welche adresse der gesendet hat bzw. senden wollte,oder den sonst irgendwie zurückverfolgen?
Von: joe
13.06.03 - 20:48
13.06.03 - 20:48
Du hast doch NIS (habe ich auf Deinem Dektop-Bild gesehen). Du läßt den Trojaner am Leben, konfigurierst aber seinen Zugang. Also er darf raussenden, aber Nichts empfangen. Meistens brauchst Du das auch garnicht, da NIS gleich feststellt an welche IP er senden will. IP mit NeoTrace zurückverfolgen und wenn was Konkretes dabei rauskommt, kannst Du Dir ja Gegenmaßnahmen überlegen. :)
Von: Coolman2
16.06.03 - 19:53
16.06.03 - 19:53
Desktop-Bild? Hackst du oder was?
Von: Banana~im~Pyjama
17.06.03 - 16:36
17.06.03 - 16:36
@Joe
Nochmals danke!
Werd mir das NeoTrace mal besorgen und dann schauen wie weit ich damit komme... :)
Naja,zum zurückschießen reicht zur Not auch die IP aber ich würde schon auch gerne erstmal wissen woher das kam...
@Coolman2
Joe wird wohl meinen Desktop hier gesehen haben:
http://www.mogelpower.de/forum/thread.php?34696
Nochmals danke!
Werd mir das NeoTrace mal besorgen und dann schauen wie weit ich damit komme... :)
Naja,zum zurückschießen reicht zur Not auch die IP aber ich würde schon auch gerne erstmal wissen woher das kam...
@Coolman2
Joe wird wohl meinen Desktop hier gesehen haben:
http://www.mogelpower.de/forum/thread.php?34696
Logge dich ein um einen Beitrag zu schreiben.