/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Backdoor - MSCVRT32.exe ?
Fra : Thomas


Dato : 31-03-03 23:45

Hej NG'er

Jeg sad og rode på nettet og pludselig efter at have kørt en .exe fil jeg
havde hentet begyndte min firewall at informere mig om at filen
"c:\windows\system32\mscvrt32.exe" gjorde følgende "'MSCVRT32.EXE' from your
computer wants to connect to 255.255.255.255, port 6667". Hvis jeg nægter
den adgang prøver den igen og igen. Jeg har prøvede derfor at tjekke med
antivirus programmet Antivir, som fandt noget den kaldte "Backdoor" - det
den fandt bad jeg om sende i en eller anden container, men 'MSCVRT32.EXE'
vil stadig connecte til overstående. Jeg hentede Spybot, men den har ikke
fundet noget. Jeg prøvede endvidere permanent at nægtet 'MSCVRT32.EXE'
adgang, men så er det som om computeren fryser lidt og taste indslag bliver
langsomme?

Håber i kan hjælpe!
--
Med Venlig Hilsen
Thomas Jansson



 
 
NicO (01-04-2003)
Kommentar
Fra : NicO


Dato : 01-04-03 07:49

"Thomas" <tjansson80@hotmail.com> wrote in
news:b6aggp$11gd$1@news.cybercity.dk:

> Hej NG'er
>
> Jeg sad og rode på nettet og pludselig efter at have kørt en .exe fil
> jeg havde hentet begyndte min firewall at informere mig om at filen
> "c:\windows\system32\mscvrt32.exe" gjorde følgende "'MSCVRT32.EXE'
> from your computer wants to connect to 255.255.255.255, port 6667".
> Hvis jeg nægter den adgang prøver den igen og igen. Jeg har prøvede
> derfor at tjekke med antivirus programmet Antivir, som fandt noget den
> kaldte "Backdoor" - det den fandt bad jeg om sende i en eller anden
> container, men 'MSCVRT32.EXE' vil stadig connecte til overstående. Jeg
> hentede Spybot, men den har ikke fundet noget. Jeg prøvede endvidere
> permanent at nægtet 'MSCVRT32.EXE' adgang, men så er det som om
> computeren fryser lidt og taste indslag bliver langsomme?
>
> Håber i kan hjælpe!
> --
> Med Venlig Hilsen
> Thomas Jansson
>
>

Jeg tror ikke du har nogen grund til bekymring...såvidt jeg erindrer er
MSCVRT32.EXE en windows system fil.

Mvh
NicO

Kent Friis (01-04-2003)
Kommentar
Fra : Kent Friis


Dato : 01-04-03 16:01

Den 01 Apr 2003 06:48:55 GMT skrev NicO:
>"Thomas" <tjansson80@hotmail.com> wrote in
>news:b6aggp$11gd$1@news.cybercity.dk:
>
>> Hej NG'er
>>
>> Jeg sad og rode på nettet og pludselig efter at have kørt en .exe fil
>> jeg havde hentet begyndte min firewall at informere mig om at filen
>> "c:\windows\system32\mscvrt32.exe" gjorde følgende "'MSCVRT32.EXE'
>> from your computer wants to connect to 255.255.255.255, port 6667".
>> Hvis jeg nægter den adgang prøver den igen og igen. Jeg har prøvede
>> derfor at tjekke med antivirus programmet Antivir, som fandt noget den
>> kaldte "Backdoor" - det den fandt bad jeg om sende i en eller anden
>> container, men 'MSCVRT32.EXE' vil stadig connecte til overstående. Jeg
>> hentede Spybot, men den har ikke fundet noget. Jeg prøvede endvidere
>> permanent at nægtet 'MSCVRT32.EXE' adgang, men så er det som om
>> computeren fryser lidt og taste indslag bliver langsomme?
>
>Jeg tror ikke du har nogen grund til bekymring...såvidt jeg erindrer er
>MSCVRT32.EXE en windows system fil.

Forkert!!! MSVCRT32.DLL er en system-fil, den anden lader bare som om.
Og windows sytem-filer har INTET at gøre på IRC-servere.

Mvh
Kent
--
At køre i en stor Mercedes eller BMW viser ikke at man har mange penge.
Det viser blot at man er tysker.

iddqd@worldonline.dk (01-04-2003)
Kommentar
Fra : iddqd@worldonline.dk


Dato : 01-04-03 16:07

NicO wrote:
> Jeg tror ikke du har nogen grund til bekymring...såvidt jeg erindrer er
> MSCVRT32.EXE en windows system fil.
>
MSVCR32.EXE er IKKE en Windows system fil, og selv hvis det var så kunne
den jo være inficeret.

Jeg kender følgende MS filer med navne der ligner og som er fra Microsoft.

msvcrt.dll
msvcrt10.dll
msvcrt20.dll
msvcrt40.dll

så det kan ikke udelukkes der er en msvcrt32.dll, men det giver ingen
mening at der skulle være en EXE med det navn.

I sager med Vira og den slags er det nok en dårlig ide at udtale noget
ikke er farligt, med mindre man er 100% sikker. En del vira benytter
netop det at deres navne ligner filer som er ok!

Mvh

Bruno


J Hansen (01-04-2003)
Kommentar
Fra : J Hansen


Dato : 01-04-03 21:18

On Tue, 01 Apr 2003 17:06:59 +0200, "iddqd@worldonline.dk"
<iddqd@worldonline.dk> wrote:

>så det kan ikke udelukkes der er en msvcrt32.dll, men det giver ingen
>mening at der skulle være en EXE med det navn.

http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B138708

Med venlig hilsen
Jimmy hansen

Anders Lund (01-04-2003)
Kommentar
Fra : Anders Lund


Dato : 01-04-03 21:32

J Hansen wrote:
> On Tue, 01 Apr 2003 17:06:59 +0200, "iddqd@worldonline.dk"
> <iddqd@worldonline.dk> wrote:
>
>> så det kan ikke udelukkes der er en msvcrt32.dll, men det giver ingen
>> mening at der skulle være en EXE med det navn.
>
> http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B138708

Ja?

msvcrt32.dll
Msgsrv32.exe

--
Anders Lund - spam2003@andersonline.dk
"The real question is this: If no human being can ever
hope to check a proof, is it really a proof?" - Ron Graham


J Hansen (03-04-2003)
Kommentar
Fra : J Hansen


Dato : 03-04-03 23:36

On Tue, 1 Apr 2003 22:32:09 +0200, "Anders Lund"
<spam2003@andersonline.dk> wrote:

>Ja?
>
>msvcrt32.dll
>Msgsrv32.exe

Beklager. Jeg røg vist ind i noget rod, da jeg søgte på filnavnene.


Med venlig hilsen
Jimmy hansen

TH (01-04-2003)
Kommentar
Fra : TH


Dato : 01-04-03 09:07

Hej,

> Jeg sad og rode på nettet og pludselig efter at have kørt en .exe fil jeg
> havde hentet begyndte min firewall at informere mig om at filen
> "c:\windows\system32\mscvrt32.exe" gjorde følgende "'MSCVRT32.EXE' from
your
> computer wants to connect to 255.255.255.255, port 6667". Hvis jeg nægter
> den adgang prøver den igen og igen. Jeg har prøvede derfor at tjekke med
> antivirus programmet Antivir, som fandt noget den kaldte "Backdoor" - det
> den fandt bad jeg om sende i en eller anden container, men 'MSCVRT32.EXE'
> vil stadig connecte til overstående. Jeg hentede Spybot, men den har ikke
> fundet noget. Jeg prøvede endvidere permanent at nægtet 'MSCVRT32.EXE'
> adgang, men så er det som om computeren fryser lidt og taste indslag
bliver
> langsomme?

Det er en Trojaner du har inde garanteret. Der blot bruger et
windowssystem-navn. Den broadcaster så p.t. er der ikke problemer hvis du
sidder på et hjemme-netværk, men det stinker langt væk at den bruger port
6667, hvorfor det garanteret er en trojan.

Hent evt. et anti-trojansk program som fx.:
http://tds.diamondcs.com.au/
http://www.lockdowncorp.com

Og se om ikke de finder noget interessant. TDS er nok det bedste imho. Der
er glimrende guides med som forklarer hvad du bør gøre hvis den finder
noget.

Evt. prøv et mere solidt AV program som stopper fyren inden den bliver
eksekveret (hvis den kan altså). Det er formentligt det som er kikset her.

Held og lykke,

--
/TH



Peter Kruse (01-04-2003)
Kommentar
Fra : Peter Kruse


Dato : 01-04-03 18:34

"Thomas" <tjansson80@hotmail.com> skrev i en meddelelse news:b6aggp$11gd$1@news.cybercity.dk...
> Hej NG'er
>
> Jeg sad og rode på nettet og pludselig efter at have kørt en .exe fil jeg
> havde hentet begyndte min firewall at informere mig om at filen
> "c:\windows\system32\mscvrt32.exe" gjorde følgende "'MSCVRT32.EXE' from your
> computer wants to connect to 255.255.255.255, port 6667".

Hej Thomas,

Prøv og send den til virus@krusesecurity.dk, så skal jeg kigge på den.
Du bedes zippe den og give den zippede fil et password: virus.

Venligst
Peter Kruse


Thomas (01-04-2003)
Kommentar
Fra : Thomas


Dato : 01-04-03 23:44

>Prøv og send den til virus@krusesecurity.dk, så skal jeg kigge på den.
>Du bedes zippe den og give den zippede fil et password: virus.

Mange tak for tilbudet, men jeg tror problemet er afhjulpet mere eller
mindre nu. Jeg har nemlig sat antivir til at kigge alle 65000 filer på min
computer og fik løst problemet ved at finde nedenstående backdoor program.
Jeg brugte også mike lin's startup program til at forhindre at den der
"MSCVRT32.EXE" startede op med Windows, men det kan være jeg lige skal
scanne den engang til. Jeg testede også computeren igennem med Spybot og
TDS-3 som jeg fik råd andre steder i tråden, men de fandt intet. Så jeg tror
at det ovre nu.

Under alle omstændigheder mange tak for alle svarene alle sammen!

WARNING: Contains a signature of the (dangerous) backdoor program
BDS/Optix.Pro.12 Backdoor serverprograms !C:\WINDOWS\TEMP\TAPISRV.EXE
File has been moved to quarantine directory!

--
Med Venlig Hilsen
Thomas Jansson



Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste