Hallo zusammen,
folgender Fall: In einem Netzwerk, mit Windows 2003 Server und einigen XP-Clients befindet sich seit kurzrem im Hauptverzeichnis eine Datei namens "ffyzsgctz.exe", die von eScan-Antivirus als Virtob.Gen.6 identifiziert wird. Sonst meldet das Programm keinerlei verdächtigen Funde.
Das Betriebssytem verhält sich bisher nicht auffällig. Löschen der datei ist möglich, diese wird aber sofort wieder neu erzeugt. Das Änderungsdatum in den Attributen ist stets gleich (13.06.2011).
Im Logfile von ProcessMonitor steht folgendes:
PHP
- <event>
- <ProcessIndex>32</ProcessIndex>
- <Time_of_Day>10:17:06,8150106</Time_of_Day>
- <Process_Name>Explorer.EXE</Process_Name>
- <PID>296</PID>
- <Operation>CreateFile</Operation>
- <Path>D:\</Path>
- <Result>SUCCESS</Result>
- <Detail>Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened</Detail>
- </event>
(Ist natürlich kein PHP-Code)
Gibts da irgendeine Möglichkeit herauszubekommen, welche Datei/Anweisung für die Neuerzeugung dieses Geschwürs verantwortlich ist?