explore32.exe

[reyeg 10]

Hi Leute,

 

ich habe hier nen Problem mit der Datei explore32.exe die im System32 Verzeichnis liegt und als Prozess aktiv ist.

 

Diese Datei will immer auf das Internet zugreifen, meldet meine Firewall.... ich hatte einen Virus/Wurm/Trojaner etc. vermutet und habe mittlerweile 5 Programme drüberlaufen lassen, aber keines hat was gefunden.... langsam bekomme ich Zweifel... :(

 

Habt Ihr ne Idee was das für ne Datei ist und was sie macht?

Wenn ich sie einfach lösche würde....?

 

Cu Reyeg :)

[TheNameless 10]

hallo erstmal!

 

meinst du vllt die exploreR32.exe? denn das is definitiv ein hijacker oder wurm!

 

aber auch bei explore32.exe würd ich auf sowas tippen... hab die nämlich noch nie gehört! :suspect:

[reyeg 10]

Hi TheNameless,

 

also es ist definitv explore32.exe und ich tippe auch auf sowas, aber kein Programm findet was... :(

Ich bin grad auf der MicrosoftSite und lade erstmal alle Updates runter.... um evtl. lücken zu schließen.

 

Ich würde das File ja gerne löschen, aber ich weiß net was dann passiert... :(

 

CU Reyeg :)

[gr@mlin 10]

hi,

 

der prozess ist wohl kein windows-eigener prozess. also erst mal abschiessen! wenn das ding dauernd ins internet will, tipp ich mal auf nen trojaner oder ne irc-backdoor oder sowas...

 

gruss, gr@mlin

[reyeg 10]

Hi Gr@mlin,

 

ja das glaub ich auch, aber wie bekomme ich ihn weg? ;)

 

Cu Reyeg :)

[CaIvin 10]

Das ist definitiv ein Wurm.

Hatten wir auch an der Uni.

 

Wichtig

En Kollege hat herausgefunden, dass er wohl über einfache Passwörter rein kommt. Sowohl beim Administrator-Account, als auch einen anderen, sofern dieser im Moment des Angriffs angemeldet ist. Wir hatten ihn an 6 Rechnern, die alle entweder beim Admin oder beim angemeldeten User _kein_ Passwort hatten!

 

Also nochmal kontrollieren wer alles mit leeren Passworten den Blaster und den Phatbot überlebt hat, jetzt werden auch die letzten Accounts gefunden ;)

 

An dieser Stelle auch nochmal Dank an meinen Kollegen, der das rausgefunden und behoben hat! Auch wenn er es hier nicht lesen wird :-/

 

Achja, Sophos hat den Wurm / Trojaner (der einen IRC-Port aufmacht) bis Montag auf jeden Fall noch nicht erkannt.

 

Gruß CaIvin

 

PS: es gibt ihn auch in der Variante ntsys.exe

[gr@mlin 10]

taskmanager öffnen -> prozesse -> prozess markieren -> prozess(struktur) beenden

 

dann versuch die datei zu löschen

 

/edit

dann durchsuche die registry nach explore32.exe und lösche auch hier gefundene einträge

[CaIvin 10]

Original geschrieben von reyeg

Hi Gr@mlin,

 

ja das glaub ich auch, aber wie bekomme ich ihn weg? ;)

 

Cu Reyeg :)

 

Such in der Registrierung nach dem Dateinamen! Du wirst ihn wahrscheinlich in den Run-Schlüsseln finden. Da entfernen und somit wird er beim Systemstart nicht mehr gestartet.

Aber: Kontrolliere Deine Freigaben und Passwörter. Denn wenn die unsicher sind, iss dieses Teil ruckzuck wieder auf Deinem Rechner.

 

 

cU CaIvin ;)

[reyeg 10]

Oh mann, das sind ja tolle Nachrichten.... :(

 

Wie ich den Prozess beende ist mir schon klar, aber ich will den Wurm/Virus gerne dauerhaft weghaben, da er nach jedem Neustart wieder aktiv ist! :)

 

@Calvin

 

Ja, das werde ich wohl machen, oder besser ich spiele ein Image zurück und mache den Rechner platt denn ich traue mich net ihn im Netzwerk zu betreiben auch wenn ich die Registry dementsprechend angepasst habe.... :rolleyes:

 

Mal wieder vielen Dank für die Hilfe @ TheNameless, Calvin und gr@mlin! :)

 

Cu Reyeg :)

[reyeg 10]

Okidoki, ich hab endlich nen Programm gefunden der den Wurm erkennt und entfernt:

 

AntiVir mit der neuesten Signatur kann ihn entfernen.

 

Danke und Grüße

Reyeg :)