PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Virus- aber mswctl32.exe nicht auffindbar

AnarchX
2004-11-19, 18:55:45
hi,
heute meinte meine fw mal wieder sich selbst abzuschalten, ergebnis rpc...

auf symantec.de online auf viren geprüft... mswctl32.exe mit w32spybot.worm befallen...

dann habe ich den dazu gehörigen reg-eintrag gelöscht... aber das problem symantec findet den virus immer noch, aber ich finde die mswctl32.exe nicht welche in system32 sein soll...

hat einer ne ahnung, wenn ja würde es mich freuen...

AnarchX
GUNDAM
2004-11-19, 19:08:55
Installier mal Antivir oder AVG Free und scanne mal die Platte komplett. Online Scanner (besonders Symantec) bringen manchmal Fehlmeldungen.
Denniss
2004-11-20, 02:01:07
Außerdem mal mit Hijack-This eine Logdatei erstellen und den Inhalt hier rein stellen - eventuell ist dort noch ein Aufruf drin der nicht reingehört .

www.hijackthis.de
Lokadamus
2004-11-20, 08:47:26
symantec findet den virus immer noch, aber ich finde die mswctl32.exe nicht welche in system32 sein soll...
hat einer ne ahnung, wenn ja würde es mich freuen...
AnarchXmmm...

Im Explorer muss eingestellt werden, das Systemdateien nicht ausgeblendet werden und das alle Dateien und Ordner angezeigt werden sollen ... die Tips der anderen am besten ebenfalls befolgen ...
AnarchX
2004-11-21, 18:16:19
hier der logfile:
...
mswctl32.exe konnte ich nun aufspüren, nachdem ich das ausblenden von systemdateien deaktiviert habe.

was soll ich nun tun einfach löschen, gehört diese datei zum system oder ist sie nur ein fake des worms...
GUNDAM
2004-11-21, 18:20:00
Die Log ist sauber. Da brauch nix gelöscht werden.
AnarchX
2004-11-21, 18:22:45
aber symantec meinte das die mswctl32.exe infiziert sei...
den start habe ich in der registry durch die löschung eines Parameters unter Run Services behoben.


edit:

hab die datei jetzt noch einmal einzeln bei Kaspersky (http://www.kaspersky.com/de/scanforvirus) gescannt

ergebnis:

Zu überprüfende Datei: mswctl32.exe

mswctl32.exe - packed with PE_Patch.Morphine
mswctl32.exe - packed with Morphine
mswctl32.exe - packed with UPX
mswctl32.exe Infiziert: Backdoor.Win32.Rbot.gen
Black-Scorpion
2004-11-21, 18:37:20
HijackThis immer in einen eigenen Ordner ausführen.
Nicht in das Temp Verzeichnis, sonst können keine Backups angelegt werden.
AnarchX
2004-11-21, 18:41:35
HijackThis würde ja eh nichts finden, da der Prozess nicht mehr startet...
Die Datei hab ich nun gelöscht und nichts ist passiert

kann geclosed werden...