HELP: systemfremde Datei schreibt sich immer wieder in C:\Windows

Dieses Thema HELP: systemfremde Datei schreibt sich immer wieder in C:\Windows im Forum "Sonstiges rund ums Internet" wurde erstellt von Lorenz0Lamas, 3. Juli 2004.

Thema: HELP: systemfremde Datei schreibt sich immer wieder in C:\Windows Es handelt sich um: services.exe in C:\WINDOWS Nein - es es ist nicht die Anwendung für Dienste und Controller von...

  1. Es handelt sich um: services.exe in C:\WINDOWS

    Nein - es es ist nicht die Anwendung für Dienste und Controller von MS, welche sich normalerweise in C:\WINDOWS\system32 und C:\WINDOWS\system32\dllcache befindet. ;)


    Aufgefallen ist mir die Datei, als sie auf's Internet zugreifen wollte, was ich mittels ZoneAlarm blockiert habe. Nach heftigem googeln habe ich dann herausgefunden, dass die Datei eigentlich in einem anderen Verzeichnis sein soll und der Eigenschaften-Check hat nur ergeben, dass sie am Donnerstag, 29. Mai 2003 erstellt wurde (keine Signatur) und auf 195.34.133.15 - zugreifen wollte - wobei die IP nicht immer die selbe ist.

    Security Task Manager gibt u. a. folgenden Aufschluß über den enthaltenen Text:
    Portions Copyright c 199,2003 Avenger by NhT
    Software\Microsoft\RAS Autodial\Control
    a_fuck
    GetSystemDirectoryA
    SetFileTime
    http//ww.cruelintentionz.net/index.php

    Der komplette Inhalt ist hier zu finden (zu lange zum posten):
    http://web.space.wifiwien.at/28138523/LorenzOl/stm_fileinfo.txt

    HijackThis-logfile:
    http://web.space.wifiwien.at/28138523/LorenzOl/hijackthis.txt


    Weder Ad-Aware Pro, Norton AV 2004 noch Spybot Search & Destroy hat sich nach einer Überprüfung zu Wort gemeldet - ich vermute die Datei ist ein Überbleibsel einer zuvor gelöschten Attacke. Auf jeden Fall muss ich erst den Prozess beenden um die Datei löschen zu können, aber nach jedem Neustart ist sie wieder da - sogar eine schreibgeschützte Datei (um den Virus auszusperren) mit selben Namen (die auch noch wahlweise versteckt und verschlüsselt war) hat ein Überschreiben NICHT verhindert.


    Was ich im Netz gefunden habe, aber mir nicht weiterhilft:
    http://www.megasecurity.org/trojans/c/cruelintentionz/Cruelintentionz1.22.html
    Außer C:\WINDOWS\services.exe war bei mir keine Übereinstimmung festzustellen.
    http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269&Page=40
    Eine Sprachbarriere

    DANKE für Eure Hilfe,
    die Sonne geht schon auf und der vermeindliche Virus ist noch immer da.
    cheers!
    :-\

    verschoben von Windows XP
     
  2. wenn die Datei services.exe nicht im system32-Verzeichnis ist, wird es sich mit großer Wahrscheinlichkeit um einen Virus handeln.
    Dem Virenscanner auf einem verseuchten System ist nicht mehr zu trauen, versuche dies mal mit Online-Scans.

    http://www.bitdefender.de/bd/site/page.php

    http://de.trendmicro-europe.com/enterprise/products/housecall_launch.php

    http://www.rav.ro/scan/

    http://www.panda-software.de/index.htm

    M.E. gehört ein infiziertes System neu aufgesetzt, Daten (nicht ausführbare Dateien) sichern, formatieren und neu installieren.

    Edit: Bitte auch alle Passwörter die Du an diesem PC benutzt hast ändern, Zugangsdaten von deinem System, eventuelles Online-Banking, eMail usw.

    Vorher noch die Patches gegen Sasser und Blaster offline verfügbar machen.

    Und sich mal darüber Gedanken machen wie das Mistzeug auf deinen Rechner kommen konnte
     
  3. Kann ich nur voll unterschreiben - hätt ich eigentlich selbst dazuschreiben müssen........
     
  4. hp
    hp
    du hast ja xp, durch die systemwiederherstellungsfunktion kann es passieren, daß die datei mitgesichert wird. deshalb solltest du die systemwiederherstellung ausschalten, dann in den abgesicherten modus wechseln und die datei dann löschen. falls die datei wieder auftauchen sollte, dann steckt sie noch in einer anderen datei mit drin. trojaner machen das gerne, daß die datei in einer .txt .html usw. drin verborgen wird und durch einen aufruf dann wieder erstellt wird. in deinem hijackthis log hab ich folgendes zum fixen feststellen können:

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Acrobat Reader 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

    dann mach mal ein online-scan deiner kiste bei trendmicro

    http://housecall.trendmicro.com/

    bei denen kannst du auch ein freeware-tool namens syscleaner und eine aktuelle viren/trojaner-paternfile downloaden, der syscleaner hat bis jetzt immer mehr rausgefunden als die bekannten virenwächter. download hier

    http://www.trendmicro.com/download/dcs.asp

    das mußt du erst in ein verzeichniss entpacken, weiter unter auf der page gibts auch den doenload des aktuellen virenpatternfiles, unbedingt das aktuellste nehmen ... und nun hoffe ich, daß du den bösewicht von deinem system wegputzen kannst.

    greetz

    hugo
     
  5. Ad-Aware (incl. PlugIns), CoolWebShredder, HijackThis, Norton AV 2004 Pro, Spyware Blaster, SpywareGuard sowie Spybot S&D haben die infizierte Datei NICHT erkannt.

    Alle verfügbaren MS Patches (Sys. & IE) sowie die aktuellsten Anti-Viren-Updates habe ich (vorher) installiert. Und ja - ich habe gewisse Seiten besucht, die man als riskant einstufen kann - meine Schuld - trotz vorsichtigem Klickens hat es mich erwischt. Man sieht, dass die oben genannten Programme eben nicht ausreichen und der wirksamste Schutz ist, derartige Seiten zu meiden.


    Danke für Eure Hilfe - des Rätsels Lösung war:
    C:\WINDOWS\services.exe=>(FSG 2.0) infected: Trojan.Cruel.A
    (schon bekannt) aber services.exe wurde scheinbar durch
    C:\WINDOWS\system32\mssyncr.exe=>(FSG 2.0) infected: Trojan.Cruel.A
    immer wieder neu erstellt!

    Zu dem Ergebnis kam: http://www.bitdefender.de/bd/site/page.php
    Der scan dauerte recht lange im Vergleich zu anderen Online-Lösungen, aber 810.000 Dateien brauchen eben einiges an Zeit und ich hatte auch den Eindruck, dass intensiver gesucht wurde. In Zukunft werde ich wieder auf diese Lösung zurückgreifen.

    Ist Mozilla weniger anfällig für Browserattacken als der IE6 SP1 inkl. aller Patches?

    @ bla bla: Mein Sys ist gerade mal 2 Tage alt
    @ hp: Habe alles bis auf die googletoolbar1.dll gefixt, denn die dll wird evtl für die Suchleiste im IE benötigt (oder?).




    Nochmal Danke an alle!
     
  6. hp
    hp
    die von dir zitierten progs sind keine trojaner-jäger, deshalb finden die auch nichts, es sei denn dein norten kennt schon die deffinition des trojaners, was ja offensichtlich nicht der fall ist, und meldet den befall. ich habe sehr gute erfahrungen mit der software von trendmicro gemacht, die jungs sind echt fit, bis jetzt hat der syscan immer die bösewichte gefunden. die googletoolbar1.dll ist wie der name schon sagt, eine bekannte anwendung, sollte also kein trojaner oder sowas sein. alle alternativ-browser die nicht auf dem ie basieren sind de facto sicherer als der ie himself, da sie auf activex verzichten und nicht so tief mit dem betriebsystem verwurzelt sind, also wäre ein browserwechsel schon eine steigerung der sicherheit. natürlich bist du auch selber in der pflicht, überdenk mal deine surfgewohnheiten. von alleine kommen die bösewichte nicht auf dein system...

    greetz

    hugo
     
  7. Kommt auf die Einstellungen des IE an, aber in der Regel hast Du mit Mozilla 1.7. bzw. Firefox 0.9 einen besseren Schutz, da diese beiden Browser von Hause aus kein ActiveX unterstützen und in der Regel weniger Angriffsfläche bieten als der IE.

    Eventuell auch mal ein anderes Mail-Programm in betracht ziehen.

    Ich kann den von dir beschriebenen Trojan.Cruel.A nicht bei Bitdefender oder woanders finden :(

    Würde gerne wissen wie man sich diesen einfängt

    Kannste mal sehen wie schnell so was geht wenn man sich vollkommen unbedarft im Netz bewegt ;)

    Auch mal über den Einsatz eines Image-Programmes nachdenken, dann sind diese Probleme schnell behoben
     
Die Seite wird geladen...

HELP: systemfremde Datei schreibt sich immer wieder in C:\Windows - Ähnliche Themen

Forum Datum
Help: Windows Live Mail auf Teufel komm raus nicht zu entfernen... Windows 7 Forum 7. Nov. 2014
Downloadhelper Qualität von youtubevideos einstellen Web-Browser 16. Jan. 2014
XUID ändern?? pls help!! Windows 7 Forum 25. Okt. 2011
XUID ändern?? pls help!!! Windows XP Forum 25. Okt. 2011
Grafikkarte help Hardware 3. Jan. 2011