Virus...wird nicht erkannt, obwohl er da ist.

berbaer · 1. Dezember 2005

jetzt wird es interesant,
daswegen auch mein vorschlag die rundll32 im urzustand zu setzen
und zu beobachten wer die datei verendern will, es gibt unzaehlige programme und selbst windows ueberwacht den dllchace ordner und
laest da nichts ueberschreiben, das heist wenn das programm das
schaft ohne das windows die datei beim naechsten start wieder im
urzusatnd setzt das er alle rechte auf dem system hat.
das wurde mich aber wundern ich glaube eher daran das die enderung
vom nutzer waerend eine internet sitzung unbewust gebiligt wurde.

glaube nicht winpatrol sondern pestpatrol hat eine eingebaute
ueberwachung alle systemdateien und bei jedem versuch im
system was zu aendern wird ein fenster mit frage ob die aenderung
erlaubt ist eingeblendet, allerdings mus das program vor der
infizierung instaliert sein, nachtraeglich geht es auch man mus
mit dem progi auf einem anderem rechner erst ein wenig erfahrung
sammeln, ver.4.2.0.50 corporate in english ist vorhanden cca.7Mb

Anzeige

spotting · 1. Dezember 2005

hmm hab ich da etwas nicht mitbekommen?

ich nutze nun schon seit einiger zeit pest patrol version 5.0.1.6 (nen richtig guter spyware scanner, der aber auch oftmals nen fehlalarm liefert), aber eine überwachung der systemdateien hab ich da nicht ...
komisch

wurde das herausgenommen in version 5 , oder gibt es das nur in der corp. edition... seit wann gibt es ne corp edition von pp...

berbaer · 2. Dezember 2005

hi spotting,
wetten wurde ich darauf auf anhieb nicht, habe es seit cca 2 jahren
nicht mehr benutzt, wenn mich die errinerung nicht teuscht war das
so, davor habe ich adaware nie benutzt sondern pestpatrol, dann
habe ich eine lizenz fuer antiwir (norton) bekommen fuer das ganze
netzwerk samt server und wegen unvertraeglickeit muste pestpatrol
weichen, irgendwann kamm dan adaware 6 pro dazu und pest geriet
in vergessenheit, mangels updates wechselte ich dann auf adaware
SE, mit der version bin aber nicht so zufrieden wie mit 6 pro
pest habe ich in der ver.4.2.053 hochgeladen rar pass : 4rr

pest.rar

falls du zeit hast schaue es dir an, ich werde es morgen bei mir
instalieren dann melde ich mich wieder

EDIT/
habe es installiert, jetzt kommt die errinerung langsam wieder,
die aeltere wersion habe ich immer behalten weil die neuen nicht
mehr sauber auf NT4 laufen, du hast recht eine direkte ueberwachung
ist nicht drinn aber wenn die PPC kofiguriert ist (es wird eine
ueberwachung der clients vom serwer durchgefuert) in dem moment
wo ein angriff errkant wird wird das system angehalten und es poppt
auf mit der meldung das ein wersuch gestartet worde eine z.b. dll
datei zu veraendern ( es mus in der option eingestellt sein )

zu dem "virus" habe ich aber etwas gefunden :

Dec 2 2004, 08:16 PM
everyone will say to install all these programs and run them which i'm sure you already have. i've done a bunch of research on 69.20.56.3. it starts from rackspace and travels all around the world. its a new version of vx2 but normal vx2 cleaners won't get it off. i'm working on a computer that has this too. if you search for that ip you will find many threads but not many people know about this variant. how do you get it off? you can't! well maybe you can. here is one program that works for some people. its called vx2finder(126).exe i dont' remember where i downloaded it from. you could also search for the ip, you may find where i got it from.
edit: its not through windows messanger and doesn't show in hijackThis, adaware doesn't find it. people have suggested them, but don't waste your time.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

teuti · 2. Dezember 2005

hab die beiträge gelesen....

ist ein virus......und bevor du so ein aufriß mit all diesen programmen machst, mache einfach folgendes....

du kannst die datei getrost löschen... denn die echte rundll wird von system neu erstellt.

solltest du die datei nicht löschen können, probiere es mit pstools. (wichtig du musst, falls die datei aktiv ist erst killn).

kommste dennoch nicht weiter...poste nochmal

nigga · 5. Dezember 2005

Original von berbaer

zu dem "virus" habe ich aber etwas gefunden :

Dec 2 2004, 08:16 PM
everyone will say to install all these programs and run them which i'm sure you already have. i've done a bunch of research on 69.20.56.3. it starts from rackspace and travels all around the world. its a new version of vx2 but normal vx2 cleaners won't get it off. i'm working on a computer that has this too. if you search for that ip you will find many threads but not many people know about this variant. how do you get it off? you can't! well maybe you can. here is one program that works for some people. its called vx2finder(126).exe i dont' remember where i downloaded it from. you could also search for the ip, you may find where i got it from.
edit: its not through windows messanger and doesn't show in hijackThis, adaware doesn't find it. people have suggested them, but don't waste your time.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

ich hab jetzt mal den vx2finder drüber laufen lassen, aber der findet auch nicht wirklich was...

ich hätte da noch eine frage und zwar:

die Windows NT-Anmeldung oder auch winlogon.exe is die normal??
das is mir füher nie aufgefallen und jetzt will er immer du irgendeiner IP connecten..mhm.

berbaer · 5. Dezember 2005

winlogon.exe ist der eigentliche anmelde dienst beim starten von
windows, es wird gestartet noch vor windows desktop und vergleicht
die eingabe (benutzer, kennwort) mit dem im system gespeicherten,
erst nach uebereinstimmung wird das windows geladen mit dem
benutzer profil der sich anmeldet, soweit benutzerkonten eingerichtet
sind ist es notwendig und mus gestartet werden.

da der vx2 finder nichts gefunden hat werde ich wieder suchen wo
ich das her habe, da war ein programm erwaent der als einziger
faehig war es zu entdecken (irgend was mit spy...... ) mus aber erst
suchen den ich habe es mir nicht gespeichert

warum gibt es keine reaktion von dir auf den vorschlag alle rundll32
dateien zu loeschen und vom sp2 cd zu ersetzen ?

Smoky Smoke · 6. Dezember 2005

leute das ist kein richtiger virus, es ist so eine art pop-up,
hatte ich auch mal!
hab wochen lang dran gesessen, doch die einzige möglichkeit "für mich"
war es zu formatieren...!

berbaer · 6. Dezember 2005

also endgueltig
es ist der spysweeper der look2me herausfiltern und enfernen kann !

bitte selbst lesen :

behebung look2me

noch eine bitte,
loesche deine geposteten HJT logs aus dem thema, ich denke das es
daran ligt das nicht alle posts im brett ansicht nicht angezeigt werden
weil fuer die datenbank das thema zu gross geworden ist ?

nigga · 6. Dezember 2005

ich hab schon die rundll gelöscht, aber sie wird ja immer wieder erstellt, aber nicht von windows.weil es is immer wieder die falsche...??

ich werds jetzt mal mit spysweeper probieren..

@Smoky Smoke mit popups hat das eig nichts zu tun..

HolloW · 6. Dezember 2005

Ich hatte fast das selbe prob!!

Bei mir kam die datei aber von windows selber.

Wenn du noch immer probs hast dann versuch es mal damit,vielleicht hilft es!!

drück mal

Nützliche Suchen

Virus...wird nicht erkannt, obwohl er da ist.

Videos zum Themenbereich