w32.virut.w, PE_VIRUT.A w32.virut.w, PE_VIRUT.A

    • Nov Nov
    • 11 11

    w32.virut.w, PE_VIRUT.A w32.virut.w, PE_VIRUT.A

    Posted by Nick B 9 months, 4 weeks ago . Posted by Nick B 9 Monate, 4 Wochen.

    Filed under Virus & Windows . Gespeichert unter Viren und Windows.

    I just download google pack with norton and the first scan hook my fav svn tortoise with w32.virut.w . Ich habe gerade Google Pack herunterladen mit Norton und die ersten Scan Haken meine fav svn Schildkröte mit w32.virut.w.

    Excerpt from Symantec Auszug von Symantec

    W32.Virut.A is a virus that infects executable files and opens a back door on TCP port 65520 by connecting to a predefined IRC server. W32.Virut.A ist ein Virus, infiziert ausführbare Dateien und öffnet eine Hintertür auf TCP-Port 65520 eine Verbindung zu einem vordefinierten IRC-Server.

    Netstats

    netstat -aob > netstat.log netstat-AOB> netstat.log 

     TCP USER:1028 78.109.19.140.in.hosting.ua:65520 ESTABLISHED 936  [winlogon.exe] TCP USER: 1028 78.109.19.140.in.hosting.ua: 65520 ANSÄSSIGEN 936 [winlogon.exe]

    The free version of Norton Internet Scan Failed to fixed the virus. Die kostenlose Version von Norton Internet Scan konnte nicht behoben das Virus. :( : (

    Norton Logs Norton-Protokolle 

     Process:  c:\windows\system32\ctfmon.exe  c:\program files\tortoisesvn\bin\tsvncache.exe Infection:  c:\windows\system32\ctfmon.exe  c:\program files\tortoisesvn\bin\tsvncache.exe  c:\windows\system32\spoolsv.exe  c:\windows\system32\locator.exe  c:\windows\system32\alg.exe  c:\windows\system32\sessmgr.exe  c:\windows\system32\dllhost.exe  c:\windows\system32\rsvp.exe  c:\windows\system32\dmadmin.exe  c:\windows\system32\msdtc.exe  c:\windows\system32\cisvc.exe  c:\windows\system32\wbem\wmiapsrv.exe  c:\windows\system32\ups.exe  c:\windows\system32\msiexec.exe  c:\windows\system32\netdde.exe  c:\windows\system32\vssvc.exe  c:\windows\system32\mnmsrvc.exe  c:\windows\system32\mshta.exe  c:\windows\system32\userinit.exe  c:\windows\system32\ieudinit.exe  c:\windows\inf\unregmp2.exe  c:\windows\system32\ie4uinit.exe  c:\windows\system32\rundll32.exe  c:\windows\system32\regsvr32.exe  c:\windows\system32\ntsd.exe  c:\program files\wakoopa\wakoopa.exe  c:\program files\7-zip\7zfm.exe  c:\program files\acd systems\acdsee\6.0\acdsee6.exe  c:\program files\adobe\adobe help center\ahc.exe  c:\program files\netmeeting\conf.exe  c:\program files\common files\acd systems\en\devdetect.exe  c:\program files\windows nt\dialer.exe  c:\program files\acd systems\fotocanvas\3.0\fotocanvas3.exe  c:\program files\acd systems\fotoslate\3.0\fotoslate3.exe  c:\windows\pchealth\helpctr\binaries\helpctr.exe  c:\program files\hp\digital imaging\unload\hpqapkil.exe  c:\program files\hp\digital imaging\unload\hpqdia.exe  c:\program files\hp\digital imaging\unload\hpqdias.exe  c:\program files\hp\digital imaging\unload\hpqphunl.exe  c:\program files\hp\digital imaging\unload\hpqpsmon.exe  c:\program files\hp\digital imaging\unload\hpqunset.exe  c:\program files\hp\digital imaging\bin\hpqvpswp.exe  c:\program files\windows nt\hypertrm.exe  c:\program files\internet explorer\connection wizard\icwconn1.exe  c:\program files\internet explorer\connection wizard\icwconn2.exe  c:\program files\internet explorer\iexplore.exe  c:\program files\adobe\adobe photoshop cs2\imageready.exe  c:\program files\internet explorer\connection wizard\inetwiz.exe  c:\program files\internet explorer\connection wizard\isignup.exe  c:\program files\java\jre1.6.0_02\bin\javaws.exe  c:\windows\system32\usmt\migwiz.exe  c:\program files\movie maker\moviemk.exe  c:\program files\windows media player\mplayer2.exe  c:\program files\combined community codec pack\mpc\mplayerc.exe  c:\windows\pchealth\helpctr\binaries\msconfig.exe  c:\program files\outlook express\msimn.exe  c:\program files\common files\microsoft shared\msinfo\msinfo32.exe  c:\program files\messenger\msmsgs.exe  c:\program files\notepad  \notepad  .exe  c:\windows\system32\mspaint.exe  c:\program files\adobe\adobe photoshop cs2\photoshop.exe  c:\program files\quicktime\pictureviewer.exe  c:\python25\python.exe  c:\program files\real\realplayer\realplay.exe  c:\program files\common files\real\update_ob\rnxproc.exe  c:\windows\soundman.exe  c:\program files\tortoisesvn\bin\subwcrev.exe  c:\program files\outlook express\wab.exe  c:\program files\outlook express\wabmig.exe  c:\program files\winrar\winrar.exe  c:\program files\windows media player\wmplayer.exe  c:\program files\windows nt\accessories\wordpad.exe  c:\program files\combined community codec pack\zoom player\zplayer.exe  c:\windows\system32\logon.scr Service:  RpcLocator  ALG  RDSessMgr  COMSysApp  RSVP  dmadmin  MSDTC  CiSvc  WmiApSrv  UPS  SwPrv  MSIServer  NetDDE  VSS  mnmsrvc Browser Cache Registry:  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit Prozess: c: \ windows \ system32 \ CTFMON.EXE c: \ program files \ TortoiseSVN \ bin \ tsvncache.exe Infektion: c: \ windows \ system32 \ CTFMON.EXE c: \ program files \ TortoiseSVN \ bin \ tsvncache.exe c: \ windows \ system32 \ Spoolsv.exe c: \ windows \ system32 \ Locator.exe c: \ windows \ system32 \ alg.exe c: \ windows \ system32 \ Sessmgr.exe c: \ windows \ system32 \ "Dllhost.exe" c: \ windows \ system32 \ rsvp.exe c: \ windows \ system32 \ Dmadmin.exe c: \ windows \ system32 \ msdtc.exe c: \ windows \ system32 \ cisvc.exe c: \ windows \ system32 \ wbem \ wmiapsrv . exe c: \ windows \ system32 \ ups.exe c: \ windows \ system32 \ msiexec.exe c: \ windows \ system32 \ netdde.exe c: \ windows \ system32 \ Vssvc.exe c: \ windows \ system32 \ mnmsrvc . exe c: \ windows \ system32 \ Mshta.exe c: \ windows \ system32 \ userinit.exe c: \ windows \ system32 \ ieudinit.exe c: \ windows \ inf \ unregmp2.exe c: \ windows \ system32 \ ie4uinit . exe c: \ windows \ system32 \ rundll32.exe c: \ windows \ system32 \ regsvr32.exe c: \ windows \ system32 \ ntsd.exe c: \ program files \ wakoopa \ wakoopa.exe c: \ program files \ 7 zip-\ 7zfm.exe c: \ program files \ ACD Systems \ ACDSee \ 6,0 \ acdsee6.exe c: \ program files \ Adobe \ Adobe-Hilfe \ ahc.exe c: \ program files \ netmeeting \ conf.exe c: \ Programme \ Gemeinsame Dateien \ ACD Systems \ de \ devdetect.exe c: \ program files \ Windows NT \ dialer.exe c: \ program files \ ACD Systems \ fotocanvas \ 3,0 \ fotocanvas3.exe c: \ program files \ ACD Systeme \ fotoslate \ 3,0 \ fotoslate3.exe c: \ windows \ PCHealth \ HelpCtr \ Programme \ Helpctr.exe c: \ program files \ HP \ digital imaging \ entladen \ hpqapkil.exe c: \ program files \ HP \ digital imaging \ abladen \ hpqdia.exe c: \ program files \ HP \ digital imaging \ entladen \ hpqdias.exe c: \ program files \ HP \ digital imaging \ entladen \ hpqphunl.exe c: \ program files \ HP \ digital imaging \ entladen \ hpqpsmon.exe c: \ program files \ HP \ digital imaging \ entladen \ hpqunset.exe c: \ program files \ HP \ Digital Imaging \ bin \ hpqvpswp.exe c: \ program files \ Windows NT \ Hypertrm.exe c: \ Program Files \ Internet Explorer \ Connection Wizard \ icwconn1.exe c: \ program files \ Internet Explorer \ Connection Wizard \ icwconn2.exe c: \ program files \ Internet Explorer \ iexplore.exe c: \ program files \ Adobe \ Adobe Photoshop CS2 \ imageready.exe c: \ program files \ Internet Explorer \ Connection Wizard \ inetwiz.exe c: \ program files \ Internet Explorer \ Connection Wizard \ isignup.exe c: \ program files \ java \ jre1.6.0_02 \ bin \ javaws . exe c: \ windows \ system32 \ usmt \ Migwiz.exe c: \ program files \ Movie Maker \ moviemk.exe c: \ program files \ Windows Media Player \ mplayer2.exe c: \ program files \ kombinierten Community Codec Pack \ mpc \ mplayerc.exe c: \ windows \ PCHealth \ HelpCtr \ Programme \ msconfig.exe c: \ program files \ Outlook Express \ msimn.exe c: \ Programme \ Gemeinsame Dateien \ Microsoft Shared \ msinfo \ msinfo32.exe c: \ program files \ Messenger \ msmsgs.exe c: \ program files \ Notepad     \ Notepad    . exe c: \ windows \ system32 \ mspaint.exe c: \ program files \ Adobe \ Adobe Photoshop CS2 \ photoshop.exe c: \ program files \ quicktime \ pictureviewer.exe c: \ Python25 \ python.exe c: \ program files \ real \ realplayer \ realplay.exe c: \ Programme \ Gemeinsame Dateien \ real \ update_ob \ rnxproc.exe c: \ windows \ soundman. exe c: \ program files \ TortoiseSVN \ bin \ subwcrev.exe c: \ program files \ Outlook Express \ wab.exe c: \ program files \ Outlook Express \ wabmig.exe c: \ program files \ winrar \ winrar.exe c : \ program files \ Windows Media Player \ wmplayer.exe c: \ program files \ Windows NT \ Zubehör \ Wordpad.exe c: \ program files \ kombinierten Community Codec Pack \ Zoom Player \ zplayer.exe c: \ windows \ system32 \ logon.scr Service: RpcLocator ALG RDSessMgr COMSysApp RSVP dmadmin MSDTC CiSvc WmiApSrv UPS SwPrv MSIServer NetDDE VSS mnmsrvc Browser-Cache-Registrierung: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon-> Userinit

    had to reinstall my windows XP because there is so many hook. musste mein Windows neu installieren, XP, weil es so viele Haken. I had send a support email to hosting.ua but still got no replied from theme. Ich hatte senden Sie bitte eine E-Mail an Unterstützung hosting.ua aber noch nicht geantwortet habe Thema aus. need to reboot now. müssen jetzt neu zu starten.

    Nov 17 07 , Update Nov 17 07, Update

    I got reply back from hosting.ua support. Ich bekam Antwort zurück aus hosting.ua Unterstützung. below is part of the email unten ist ein Teil der E-Mail 

     from abuse@hosting.ua to nospam@gmail.com, date Nov 13, 2007 5:00 PM subject Reply: trojan 78.109.19.140.in.hosting.ua #48879  hide details Nov 13 (3 days ago)   Reply  ======== CUT HERE ========= Your support request was answered:  Created: 11.11.2007 1:28:38 Last Mod: 12.11.2007 1:41:30  Assigned To: admin(Hosting.UA)  [11.11.2007 1:28:38] Q: hi, This is for your attention. von abuse@hosting.ua zu nospam@gmail.com, Datum Nov 13, 2007 5:00 pm Titel Antwort: Trojaner 78.109.19.140.in.hosting.ua # 48879 verstecken Details Nov 13 (3 Tage) Antwort === ===== Cut here ========= Ihre Support-Anfrage beantwortet wurde: Erstellt: 11.11.2007 1:28:38 last mod: 12.11.2007 1:41:30 Zugewiesen an: admin (Hosting. UA) [11.11.2007 1:28:38] Q: Hallo, Das ist für Ihre Aufmerksamkeit. I got a trojan in pc it routed back to one of your hosting at *78.109.19.140.in.hosting.ua *  I hope you can do something about it. Ich habe ein trojanisches Pferd in PC geroutet es zurück zu einem Ihrer Hosting bei 78.109.19.140.in.hosting.ua * * Ich hoffe, Sie können etwas tun. Thank you -------------------------------------------------------  [13.11.2007 11:00:08] A: Fixed! Vielen Dank ------------------------------------------------ ------- [13.11.2007 11:00:08] A: Fixed! thx www.Hosting.UA  ------------------------------------------------------- Hosting.UA Administration THX www.Hosting.UA -------------------------------------------- ----------- Hosting.UA Administration

    Well there is no explaination about the issue from the support staff.  hope this site will be closed down for good. Nun gibt es keine Erklärung über das Thema aus der Support-Mitarbeiter. Hoffen, dass diese Website wird stillgelegt für gut. Google already blocked and place a warning when you search for the infected URI. Google bereits gesperrt, und legen Sie eine Warnung, wenn Sie bei der Suche nach dem infizierten URI.

    About the Author Über den Autor

     

    Tags: Tags:
    • November 11, 2007 at 11:44 am 11. November 2007 um 11:44
    • November 17, 2007 at 1:36 am November 17, 2007 at 1:36
    • 0.3 0,3
    • url URL

    • No Responses tow32.virut.w, PE_VIRUT.A Keine Kommentare zu "w32.virut.w, PE_VIRUT.A"

      Trackback URL: Trackback URL: Use the TrackBack url ↑ to ping this article. Verwenden Sie die ↑ TrackBack-URL zu diesem Artikel Ping. If your blog does not support Trackbacks you might want to leave a comment instead. Wenn Ihr Blog nicht unterstützt Trackbacks Vielleicht möchten Sie einen Kommentar hinterlassen.
        • RE: w32.virut.w, PE_VIRUT.A - 'The Guide' ↓ RE: w32.virut.w, PE_VIRUT.A - "Der Führer" ↓
          w32.virut.w, PE_VIRUT.A Kakkoi 9 months, 4 weeks ago 5 url w32.virut.w, PE_VIRUT.A Kakkoi 9 Monate, 4 Wochen 5 url
          Marvin, Point of View Gun

          The following "Code" are designed to protect you and other users of this site. Die folgenden "Code" sind so konzipiert, schützen Sie und andere Nutzer dieser Website.

          • Be relevant: Your comment should be a thoughtful contribution to the subject of the entry. Relevant sein: Ihr Kommentar sollte ein nachdenklichen Beitrag zum Thema des Eintrags. Keep your comments constructive and polite. Halten Sie Ihre Kommentare und konstruktive höflich.
          • No advertising or spamming: Do not use the comment feature to promote commercial entities/products, affiliates services or websites. Keine Werbung oder Spamming: Verwenden Sie nicht den Kommentar-Funktion zur Förderung der wirtschaftlichen Einheiten oder Produkten, Dienstleistungen oder verbundenen Websites. You are allowed to post a link as long as it's relevant to the entry. Sie sind erlaubt, um eine Verbindung so lange, wie es ist relevant für den Eintrag.
          • Keep within the law: Do not link to offensive or illegal content websites. Halten Sie innerhalb der gesetzlich: Nicht Link zu anstößige oder illegale Inhalte Websites. Do not make any defamatory or disparaging comments which might damage the reputation of a person or organisation. Nehmen Sie keine diffamierenden oder herabwürdigende Bemerkungen, die möglicherweise dadurch der Ruf einer Person oder Organisation.
          • Privacy: Do not post any personal information relating to yourself or anyone else - (ie: address, place of employment, telephone or mobile number or email address). Datenschutz: Veröffentlichen Sie keine persönlichen Informationen über sich selbst oder jemand anders - (dh: Adresse, Ort der Beschäftigung, Telefon-oder Handynummer oder E-Mail-Adresse).

          In order to keep these experiences enjoyable and interesting for all of our users, we ask that you follow the above guidlines. Um diese Erfahrungen angenehm und interessant für alle unsere Nutzer, bitten wir Sie, folgen Sie den oben genannten Richtlinien.

          be the first to comment. als erstes zur Stellungnahme.

          Kakkoi Feel free to engage, ask questions, and tell us what you are thinking! Fühlen Sie sich frei zu engagieren, Fragen stellen und uns sagen, was Sie denken! Regular and insightful comments are most welcomed. Regelmäßige und aufschlussreiche Kommentare sind die meisten begrüßen.

    "write as if you were talking to a good friend (in front of your mother)." "schreiben, als ob Sie sich unterhielten, ein guter Freund (vor Ihrer Mutter)."

    .have your say . Ihre Meinung zählt

    Disclaimer: For any content that you post, you hereby grant to Kakkoi the royalty-free, irrevocable, perpetual, exclusive and fully sublicensable license to use, reproduce, modify, adapt, publish, translate, create derivative works from, distribute, perform and display such content in whole or in part, world-wide and to incorporate it in other works, in any form, media or technology now known or later developed. Some rights reserved. Disclaimer: Für alle Inhalte, die Sie veröffentlichen, gewähren Sie hiermit zu Kakkoi die gebührenfreie, unwiderrufliche, unbefristete, exklusive und vollständig sublizenzierbare Lizenz zu nutzen, zu reproduzieren, zu modifizieren, anzupassen, zu veröffentlichen, zu übersetzen, abgeleitete Arbeiten erstellen, verteilen, die Durchführung und den Anzeige solcher Inhalte ganz oder teilweise, welt-weit zu tragen und sie in anderen Werken, in irgendeiner Form, Medien oder Technologie jetzt bekannt ist oder später entwickelt. Some rights reserved.

MySQL query error MySQL-Abfrage Fehler