- #1
L
Lorenz0Lamas
Guest
Es handelt sich um: services.exe in C:\WINDOWS
Nein - es es ist nicht die Anwendung für Dienste und Controller von MS, welche sich normalerweise in C:\WINDOWS\system32 und C:\WINDOWS\system32\dllcache befindet.
Aufgefallen ist mir die Datei, als sie auf's Internet zugreifen wollte, was ich mittels ZoneAlarm blockiert habe. Nach heftigem googeln habe ich dann herausgefunden, dass die Datei eigentlich in einem anderen Verzeichnis sein soll und der Eigenschaften-Check hat nur ergeben, dass sie am Donnerstag, 29. Mai 2003 erstellt wurde (keine Signatur) und auf 195.34.133.15 - zugreifen wollte - wobei die IP nicht immer die selbe ist.
Security Task Manager gibt u. a. folgenden Aufschluß über den enthaltenen Text:
Portions Copyright c 199,2003 Avenger by NhT
Software\Microsoft\RAS Autodial\Control
a_fuck
GetSystemDirectoryA
SetFileTime
http//ww.cruelintentionz.net/index.php
Der komplette Inhalt ist hier zu finden (zu lange zum posten):
http://web.space.wifiwien.at/28138523/LorenzOl/stm_fileinfo.txt
HijackThis-logfile:
http://web.space.wifiwien.at/28138523/LorenzOl/hijackthis.txt
Weder Ad-Aware Pro, Norton AV 2004 noch Spybot Search & Destroy hat sich nach einer Überprüfung zu Wort gemeldet - ich vermute die Datei ist ein Überbleibsel einer zuvor gelöschten Attacke. Auf jeden Fall muss ich erst den Prozess beenden um die Datei löschen zu können, aber nach jedem Neustart ist sie wieder da - sogar eine schreibgeschützte Datei (um den Virus auszusperren) mit selben Namen (die auch noch wahlweise versteckt und verschlüsselt war) hat ein Überschreiben NICHT verhindert.
Was ich im Netz gefunden habe, aber mir nicht weiterhilft:
http://www.megasecurity.org/trojans/c/cruelintentionz/Cruelintentionz1.22.html
Außer C:\WINDOWS\services.exe war bei mir keine Übereinstimmung festzustellen.
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269&Page=40
Eine Sprachbarriere
DANKE für Eure Hilfe,
die Sonne geht schon auf und der vermeindliche Virus ist noch immer da.
cheers!
:-\
verschoben von Windows XP
Nein - es es ist nicht die Anwendung für Dienste und Controller von MS, welche sich normalerweise in C:\WINDOWS\system32 und C:\WINDOWS\system32\dllcache befindet.
Aufgefallen ist mir die Datei, als sie auf's Internet zugreifen wollte, was ich mittels ZoneAlarm blockiert habe. Nach heftigem googeln habe ich dann herausgefunden, dass die Datei eigentlich in einem anderen Verzeichnis sein soll und der Eigenschaften-Check hat nur ergeben, dass sie am Donnerstag, 29. Mai 2003 erstellt wurde (keine Signatur) und auf 195.34.133.15 - zugreifen wollte - wobei die IP nicht immer die selbe ist.
Security Task Manager gibt u. a. folgenden Aufschluß über den enthaltenen Text:
Portions Copyright c 199,2003 Avenger by NhT
Software\Microsoft\RAS Autodial\Control
a_fuck
GetSystemDirectoryA
SetFileTime
http//ww.cruelintentionz.net/index.php
Der komplette Inhalt ist hier zu finden (zu lange zum posten):
http://web.space.wifiwien.at/28138523/LorenzOl/stm_fileinfo.txt
HijackThis-logfile:
http://web.space.wifiwien.at/28138523/LorenzOl/hijackthis.txt
Weder Ad-Aware Pro, Norton AV 2004 noch Spybot Search & Destroy hat sich nach einer Überprüfung zu Wort gemeldet - ich vermute die Datei ist ein Überbleibsel einer zuvor gelöschten Attacke. Auf jeden Fall muss ich erst den Prozess beenden um die Datei löschen zu können, aber nach jedem Neustart ist sie wieder da - sogar eine schreibgeschützte Datei (um den Virus auszusperren) mit selben Namen (die auch noch wahlweise versteckt und verschlüsselt war) hat ein Überschreiben NICHT verhindert.
Was ich im Netz gefunden habe, aber mir nicht weiterhilft:
http://www.megasecurity.org/trojans/c/cruelintentionz/Cruelintentionz1.22.html
Außer C:\WINDOWS\services.exe war bei mir keine Übereinstimmung festzustellen.
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269&Page=40
Eine Sprachbarriere
DANKE für Eure Hilfe,
die Sonne geht schon auf und der vermeindliche Virus ist noch immer da.
cheers!
:-\
verschoben von Windows XP