Supportnet / Forum / WindowsME
WFXMSRVR.exe stellt autonom Inernet-Verbindung her
Frage
Hallo Supportnet-Gemeinde,
hatte vor kurzem T/WinReg-- und WORM-OPA-Troyaner, die von AntiVir angezeigt wurden und die ich dann manuell lt. Anleitung vom System entfernt habe. Die Troyaner haben jeweils versucht, über DFÜ-Verbindung ins Netz zu gelangen. Dies konnte ich unterbinden, in dem ich die Verbindung nicht bestätigt habe.
Jetzt bin ich über meine Firewall auf C:\Programm\office2000\office\1031\WFXMSRVR.exe aufmerksam geworden, wovon Internetverbindung autonom ohne merklich aufgerufenes DFÜ-Fenster aufgebaut wurde. Aktuelles AntiVir zeigt keine auffälligen Aktivitäten.
Habe Datei gelöscht und bis jetzt Ruhe und keine merklichen Office-Fehlfunktionen.
1.Welche Funktion hat diese Datei (lt. eigenschaften MFC Application) in Office?
2.Datei lt. Protokoll seit 1998 unverändert/ AntiVir kann nichts feststellen-kann sich Virus trotzdem hier eingenistet haben?
3.Ist die Sache mit löschen der Datei erledigt?
Vorab besten Dank für konstruktiven Austausch
stefan
Antwort 1 von Mickey
WFXMSRVR.exe ist deine Winfaxanwendung.
---------------------------------------
zum Opasoft:
Wird Worm/Opasoft ausgeführt, kopiert er sich in das Windowsverzeichnis mit dem Dateinamen 'ScrSvr.exe' und legt folgenden Registry Eintrag an:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ScrSvr"="C:\Windows\ScrSvr.exe"
Danach erstellt Worm/Opasoft die Datei TMP.INI in das Root Verzeichnis von Laufwerk C. Diese Datei besitzt den folgenden Inhalt:
"run=c:\windows\scrsvr.exe"
und fügt in die Datei Win.ini im Windowsverzeichnis den folgenden Eintrag hinzu:
run=c:\tmp.ini
Worm/OpaSoft sucht nach Verzeichnissen, die über das Netzwerk gemappt wurden und kopiert sich, sofern er Schreibzugriff besitzt, in das jeweilige Verzeichnis als ScrSvr.exe.
Danach versucht der Wurm von der Webseite www.opasoft.com ein Update herunter zu laden. Dies schlägt allerdings fehl, da diese Webseite momentan nicht mehr zu erreichen ist.
Ist Worm/Opasoft aktiv, pingt er über den Port 139 alle IP Adressen nacheinander an. Sollte er hier einen Rechner im lokalen Netzwerk oder im Internet finden, der das Laufwerk C freigegeben (geshared) hat, kopiert er sich sofort auf dieses Laufwerk als 'ScrSvr.exe'.
--------------------------------------
Twin.reg legt folgenden Schlüssel an:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run<br>
"virus command"
---------------------------------------
Ich denke wenn dann hast du, sollte es nicht das Fax ansich sein, noch ein Übrigbleibsel das raustelefonieren will- also würde ich sicherheitshalber nochmal scannen ( online evtl, ).
Gruss,
Mic
---------------------------------------
zum Opasoft:
Wird Worm/Opasoft ausgeführt, kopiert er sich in das Windowsverzeichnis mit dem Dateinamen 'ScrSvr.exe' und legt folgenden Registry Eintrag an:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ScrSvr"="C:\Windows\ScrSvr.exe"
Danach erstellt Worm/Opasoft die Datei TMP.INI in das Root Verzeichnis von Laufwerk C. Diese Datei besitzt den folgenden Inhalt:
"run=c:\windows\scrsvr.exe"
und fügt in die Datei Win.ini im Windowsverzeichnis den folgenden Eintrag hinzu:
run=c:\tmp.ini
Worm/OpaSoft sucht nach Verzeichnissen, die über das Netzwerk gemappt wurden und kopiert sich, sofern er Schreibzugriff besitzt, in das jeweilige Verzeichnis als ScrSvr.exe.
Danach versucht der Wurm von der Webseite www.opasoft.com ein Update herunter zu laden. Dies schlägt allerdings fehl, da diese Webseite momentan nicht mehr zu erreichen ist.
Ist Worm/Opasoft aktiv, pingt er über den Port 139 alle IP Adressen nacheinander an. Sollte er hier einen Rechner im lokalen Netzwerk oder im Internet finden, der das Laufwerk C freigegeben (geshared) hat, kopiert er sich sofort auf dieses Laufwerk als 'ScrSvr.exe'.
--------------------------------------
Twin.reg legt folgenden Schlüssel an:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run<br>
"virus command"
---------------------------------------
Ich denke wenn dann hast du, sollte es nicht das Fax ansich sein, noch ein Übrigbleibsel das raustelefonieren will- also würde ich sicherheitshalber nochmal scannen ( online evtl, ).
Gruss,
Mic
Antwort 2 von spet
Danke Mic,
habe gerade vorhin gescannt (aktuelles AntiVir), aber keine Meldung.
Gehe jetzt die Einträge nochmal durch.
Habe ich richtig verstanden, dass mit dem Löschen der Datei alleine die Sache dann also noch nicht erledigt ist?
Stefan
habe gerade vorhin gescannt (aktuelles AntiVir), aber keine Meldung.
Gehe jetzt die Einträge nochmal durch.
Habe ich richtig verstanden, dass mit dem Löschen der Datei alleine die Sache dann also noch nicht erledigt ist?
Stefan
Antwort 3 von Mickey
Ich denke mal das du eventuell deine Winfaxanwendung gelöscht hast- teste einfach mal ob du noch Faxen machen kannst.
Nicht jeder Virus wird von Antivir erkannt- Viren können deinen Virenscanner auch unterlaufen oder täuschen.
Mach lieber noch Onlinescans wenn du dir nicht sicher bist ( bitdefender, symantech, trend-micro ), schau die Registry durch - vorm Löschen einzelner Einträge diese Sichern ) und dann beschäftige dich bei Interesse auch mal mit dem Schliessen von offenen Ports:
http://www.trojaner-info.de/sicherheit/betriebssystem/port139/ports...
Gruss,
Mic
Nicht jeder Virus wird von Antivir erkannt- Viren können deinen Virenscanner auch unterlaufen oder täuschen.
Mach lieber noch Onlinescans wenn du dir nicht sicher bist ( bitdefender, symantech, trend-micro ), schau die Registry durch - vorm Löschen einzelner Einträge diese Sichern ) und dann beschäftige dich bei Interesse auch mal mit dem Schliessen von offenen Ports:
http://www.trojaner-info.de/sicherheit/betriebssystem/port139/ports...
Gruss,
Mic