Security Professionals - ipfw add deny all from eindgebruikers to any

verdachte txt file wil steeds bijbehorende virus starten met startonce

30-06-2011, 18:49 door anthony68, 6 reacties
Momeneel wordt dat geblokkeerd door winpatrol. maar nadat ik de file txt heb gedeleted blijft het programma actief in mijn startups. ik kan het niet verwijderen met winpatrol tool of verwijderen na restart optie hij blijft terugkomen..:(
Dat programma probeert steeds opte starten ik weet hoe het heet maar kan het niet verwijderen uit winpatrol.
zie jpg;
http://www.2shared.com/photo/Gk7DEMtN/grpconv_virus_runonce_in_txt.html
het programma heet grpconv en heeft geen details bij verwijderen komt het steeds terug!
Reacties (6)
30-06-2011, 21:30 door Anoniem
misschien eens een online scan doen bv panda,eset....
30-06-2011, 22:13 door xy22
Waarom heb je eigenlijk het idee dat het om malware gaat?
Er zijn inderdaad virussen e.d. in omloop met die naam, maar het kan ook een Windows-systeemfile zijn. Dacht dat in ieder geval Windows XP het proces gebruikte om oudere software, van bijv. win 98 te kunnen draaien.

Zou niet durven zeggen of win7 datzelfde proces voor backwards-comp. draait; overigens wel apart dat er geen 'Microsoft Corporation' achter vermeldt staat in het screenshot. Anderzijds heeft bijvoorbeeld ook Windows Media Player Network Sharing Services dat.

edit: je zou voor de zekerheid eens Trend Micro Housecall, Malwarebytes Anti-Malware en een tooltje als McAfee Stinger kunnen proberen. Of had je dat al gedaan?
30-06-2011, 22:38 door EDLIN
Als je met Winpatrol info opvraagt over grpconv is de padnaam dan c:\windows\system 32\grpconv.exe?
Zo ja dan is het een windows proces.
Grpconv.exe draait altijd als runonce en is niet (EDIT: altijd) terug te vinden in taakbeheer.

Je zou voor de zekerheid nog hier kunnen kijken of de bestandsversie van grpc.exe en de bestandsgrootte correct zijn.
http://www.computer-support.nl/Systeemtaken/Taakinfo.php?ID=3751
01-07-2011, 10:44 door Anoniem
Stel allereerst de locatie van de grpconv.exe vast z.a EDLIN dat al aangaf.
Staat het niet in %windir%\system32 maar bijv. in %ProgramFiles%\common files\system\ of %temp% dan is het mogelijk dat het om malware gaat.
Zie ook: http://www.threatexpert.com/files/grpconv.exe.html

Als het om malware gaat kan je Process Hacker proberen om het proces te beëindigen. Process Hacker is een soort Taakbeheer waarmee je ook 'koppige' processen kan beëindigen: http://processhacker.sourceforge.net/

Kijk verder ook naar: http://comprolive.com/remove/harmful/exe/ctfmon-exe-service-exe-wininet-exe-grpconv-exe

Nogmaals, stel eerst de locatie van de executable vast.
01-07-2011, 11:43 door anthony68
Hij is al verwijderd met een eset scan. bedankt allemaal....
01-07-2011, 17:05 door johanw
Zoals uit je zelf aangeleverde URL blijkt is het een html file en geen txt file. Dat achterlijke default afkappen van de laatste extensie door Windows ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.