HELP: systemfremde Datei schreibt sich immer wieder in C:\Windows

Es handelt sich um: services.exe in C:\WINDOWS

Nein - es es ist nicht die Anwendung für Dienste und Controller von MS, welche sich normalerweise in C:\WINDOWS\system32 und C:\WINDOWS\system32\dllcache befindet.


Aufgefallen ist mir die Datei, als sie auf's Internet zugreifen wollte, was ich mittels ZoneAlarm blockiert habe. Nach heftigem googeln habe ich dann herausgefunden, dass die Datei eigentlich in einem anderen Verzeichnis sein soll und der Eigenschaften-Check hat nur ergeben, dass sie am Donnerstag, 29. Mai 2003 erstellt wurde (keine Signatur) und auf 195.34.133.15 - zugreifen wollte - wobei die IP nicht immer die selbe ist.

Security Task Manager gibt u. a. folgenden Aufschluß über den enthaltenen Text:
Portions Copyright c 199,2003 Avenger by NhT
Software\Microsoft\RAS Autodial\Control
a_fuck
GetSystemDirectoryA
SetFileTime
http//ww.cruelintentionz.net/index.php

Der komplette Inhalt ist hier zu finden (zu lange zum posten):
http://web.space.wifiwien.at/28138523/LorenzOl/stm_fileinfo.txt

HijackThis-logfile:
http://web.space.wifiwien.at/28138523/LorenzOl/hijackthis.txt


Weder Ad-Aware Pro, Norton AV 2004 noch Spybot Search & Destroy hat sich nach einer Überprüfung zu Wort gemeldet - ich vermute die Datei ist ein Überbleibsel einer zuvor gelöschten Attacke. Auf jeden Fall muss ich erst den Prozess beenden um die Datei löschen zu können, aber nach jedem Neustart ist sie wieder da - sogar eine schreibgeschützte Datei (um den Virus auszusperren) mit selben Namen (die auch noch wahlweise versteckt und verschlüsselt war) hat ein Überschreiben NICHT verhindert.


Was ich im Netz gefunden habe, aber mir nicht weiterhilft:
http://www.megasecurity.org/trojans/c/cruelintentionz/Cruelintentionz1.22.html
Außer C:\WINDOWS\services.exe war bei mir keine Übereinstimmung festzustellen.
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269&Page=40
Eine Sprachbarriere

DANKE für Eure Hilfe,
die Sonne geht schon auf und der vermeindliche Virus ist noch immer da.
cheers!
:-\

verschoben von Windows XP

http://www.wintotal-forum.de/?board=35;action=display;threadid=33317

Bitte mal lesen - auch besonders den ersten Link mal anklicken.......
Dann holen: AdAware, Spybot, HijackThis und CoolWebShredder - damit solltest Du schon etwas finden können........
http://www.wintotal.de/Software/index.php?rb=31
ggf noch dies dazu:
http://www.wintotal-forum.de/?board=35;action=display;threadid=44901

wenn die Datei services.exe nicht im system32-Verzeichnis ist, wird es sich mit großer Wahrscheinlichkeit um einen Virus handeln.
Dem Virenscanner auf einem verseuchten System ist nicht mehr zu trauen, versuche dies mal mit Online-Scans.

http://www.bitdefender.de/bd/site/page.php

http://de.trendmicro-europe.com/enterprise/products/housecall_launch.php

http://www.rav.ro/scan/

http://www.panda-software.de/index.htm

M.E. gehört ein infiziertes System neu aufgesetzt, Daten (nicht ausführbare Dateien) sichern, formatieren und neu installieren.

Edit: Bitte auch alle Passwörter die Du an diesem PC benutzt hast ändern, Zugangsdaten von deinem System, eventuelles Online-Banking, eMail usw.

Vorher noch die Patches gegen Sasser und Blaster offline verfügbar machen.

Und sich mal darüber Gedanken machen wie das Mistzeug auf deinen Rechner kommen konnte

Kann ich nur voll unterschreiben - hätt ich eigentlich selbst dazuschreiben müssen........

du hast ja xp, durch die systemwiederherstellungsfunktion kann es passieren, daß die datei mitgesichert wird. deshalb solltest du die systemwiederherstellung ausschalten, dann in den abgesicherten modus wechseln und die datei dann löschen. falls die datei wieder auftauchen sollte, dann steckt sie noch in einer anderen datei mit drin. trojaner machen das gerne, daß die datei in einer .txt .html usw. drin verborgen wird und durch einen aufruf dann wieder erstellt wird. in deinem hijackthis log hab ich folgendes zum fixen feststellen können:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Acrobat Reader 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

dann mach mal ein online-scan deiner kiste bei trendmicro

http://housecall.trendmicro.com/

bei denen kannst du auch ein freeware-tool namens syscleaner und eine aktuelle viren/trojaner-paternfile downloaden, der syscleaner hat bis jetzt immer mehr rausgefunden als die bekannten virenwächter. download hier

http://www.trendmicro.com/download/dcs.asp

das mußt du erst in ein verzeichniss entpacken, weiter unter auf der page gibts auch den doenload des aktuellen virenpatternfiles, unbedingt das aktuellste nehmen ... und nun hoffe ich, daß du den bösewicht von deinem system wegputzen kannst.

greetz

hugo

Ad-Aware (incl. PlugIns), CoolWebShredder, HijackThis, Norton AV 2004 Pro, Spyware Blaster, SpywareGuard sowie Spybot S&D haben die infizierte Datei NICHT erkannt.

Alle verfügbaren MS Patches (Sys. & IE) sowie die aktuellsten Anti-Viren-Updates habe ich (vorher) installiert. Und ja - ich habe gewisse Seiten besucht, die man als riskant einstufen kann - meine Schuld - trotz vorsichtigem Klickens hat es mich erwischt. Man sieht, dass die oben genannten Programme eben nicht ausreichen und der wirksamste Schutz ist, derartige Seiten zu meiden.


Danke für Eure Hilfe - des Rätsels Lösung war:
C:\WINDOWS\services.exe=>(FSG 2.0) infected: Trojan.Cruel.A
(schon bekannt) aber services.exe wurde scheinbar durch
C:\WINDOWS\system32\mssyncr.exe=>(FSG 2.0) infected: Trojan.Cruel.A
immer wieder neu erstellt!

Zu dem Ergebnis kam: http://www.bitdefender.de/bd/site/page.php
Der scan dauerte recht lange im Vergleich zu anderen Online-Lösungen, aber 810.000 Dateien brauchen eben einiges an Zeit und ich hatte auch den Eindruck, dass intensiver gesucht wurde. In Zukunft werde ich wieder auf diese Lösung zurückgreifen.

Ist Mozilla weniger anfällig für Browserattacken als der IE6 SP1 inkl. aller Patches?

@ bla bla: Mein Sys ist gerade mal 2 Tage alt
@ hp: Habe alles bis auf die googletoolbar1.dll gefixt, denn die dll wird evtl für die Suchleiste im IE benötigt (oder?).




Nochmal Danke an alle!

die von dir zitierten progs sind keine trojaner-jäger, deshalb finden die auch nichts, es sei denn dein norten kennt schon die deffinition des trojaners, was ja offensichtlich nicht der fall ist, und meldet den befall. ich habe sehr gute erfahrungen mit der software von trendmicro gemacht, die jungs sind echt fit, bis jetzt hat der syscan immer die bösewichte gefunden. die googletoolbar1.dll ist wie der name schon sagt, eine bekannte anwendung, sollte also kein trojaner oder sowas sein. alle alternativ-browser die nicht auf dem ie basieren sind de facto sicherer als der ie himself, da sie auf activex verzichten und nicht so tief mit dem betriebsystem verwurzelt sind, also wäre ein browserwechsel schon eine steigerung der sicherheit. natürlich bist du auch selber in der pflicht, überdenk mal deine surfgewohnheiten. von alleine kommen die bösewichte nicht auf dein system...

greetz

hugo

Ist Mozilla weniger anfällig für Browserattacken als der IE6 SP1 inkl. aller Patches?

Zum Vergrößern anklicken....

Kommt auf die Einstellungen des IE an, aber in der Regel hast Du mit Mozilla 1.7. bzw. Firefox 0.9 einen besseren Schutz, da diese beiden Browser von Hause aus kein ActiveX unterstützen und in der Regel weniger Angriffsfläche bieten als der IE.

Eventuell auch mal ein anderes Mail-Programm in betracht ziehen.

Ich kann den von dir beschriebenen Trojan.Cruel.A nicht bei Bitdefender oder woanders finden

Würde gerne wissen wie man sich diesen einfängt

Mein Sys ist gerade mal 2 Tage alt

Zum Vergrößern anklicken....

Kannste mal sehen wie schnell so was geht wenn man sich vollkommen unbedarft im Netz bewegt

Auch mal über den Einsatz eines Image-Programmes nachdenken, dann sind diese Probleme schnell behoben