Service.exe

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von Mautzer, 10. Dezember 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Mautzer

    Mautzer Byte

    Registriert seit:
    14. Januar 2001
    Beiträge:
    80
    Hi Leute,

    seit ich mich in meiner Linux-Domäne anmelde bekomme ich bei der User-Abmeldung immer den Fehler Service.exe konnte nicht beendet werden. Wenn ich dann auf sofort beenden klicke, erhalte ich wieder die normale Anmeldeaufforderung.

    Weiß jemand was es mit der Service.exe auf sich hat?

    Habe eben nochmals das neue Antivir laufen lassen, ohne Probleme!


    Mautzer
     
  2. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    a) wo liegt die Datei? Unter C:\windows\system32 ?
    b) service.exe oder services.exe?
     
  3. Mautzer

    Mautzer Byte

    Registriert seit:
    14. Januar 2001
    Beiträge:
    80
    Richtig unter windows32

    und es handelt sich nicht um Services.exe....die ist meine ich ein reale Dienst von Windows!

    Mautzer
     
  4. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Ja, die services gehört zu windows.
    Ich denke, es dürfte sich mit ziemlicher Sicherheit um einen Schädling handeln.
    Teste die Datei doch einfach mal hier.
     
  5. Mautzer

    Mautzer Byte

    Registriert seit:
    14. Januar 2001
    Beiträge:
    80
    Ist o.K.

    Hatte ich aber auch schon mit Antivir gemacht...

    Aber ist eine tolle Sache mit kaspersky!!

    Mautzer
     
  6. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Wurde denn mit Kaspersky was gefunden?
     
  7. Mautzer

    Mautzer Byte

    Registriert seit:
    14. Januar 2001
    Beiträge:
    80


    keine Fehler oder Probleme!!

    Mautzer
     
  8. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Bin mir trotzdem ziemlich sicher, das mit der Datei etwas nicht stimmt.
    Ich weiss nicht, wie versiert du in solchen Sachen bist...ich hab unter Windows alles was mir verdächtig vorkam, in den Hexeditor geschoben.
    Wenn du magst, kannst du sie mir auch schicken, ich guck mal rein.
    Meld dich per PM wg. der mailadresse)
     
  9. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Es IST(!) ein Backdoor oder Wurm. Bis auf Fprot (der sagte aber nur "suspecious" schlug auch bei mir kein Scanner an.
    Ich habs im Hexeditor erkannt.
    Ich hab die Datei mal an verschiedene Antiviren-Labs gesendet, mal sehen, was bei rauskommt.
    Btw. Tue dir selbst einen Gefallen und nimm den Rechner vom Netz...vorerst...
     
  10. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Achso:
    Die Virenscannerei sah im übrigens so aus:

    AntiVir
    No viruses found (0.14 seconds taken)
    Avast
    No viruses found (1.51 seconds taken)
    BitDefender
    No viruses found (0.36 seconds taken)
    ClamAV
    No viruses found (0.35 seconds taken)
    Dr.Web
    modification of BackDoor.Generic.823 (0.53 seconds taken)
    F-Prot Antivirus
    No viruses found (0.06 seconds taken)
    Kaspersky Anti-Virus
    No viruses found (0.62 seconds taken)
    mks_vir
    No viruses found (0.21 seconds taken)
    NOD32
    probably unknown NewHeur_PE (probable variant) (0.42 seconds taken)
    Norman Virus Control
    No viruses found (0.40 seconds taken)
     
  11. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    SDBOT.D wird aber von den Virenscannern erkannt..ich tipp mal auf eine Abart.
     
  12. Mautzer

    Mautzer Byte

    Registriert seit:
    14. Januar 2001
    Beiträge:
    80
    Hi,

    konnte die Service.exe im Verzeichnis System32 löschen nachdem ich den Dienst im Taskmanager beendet habe.
    Auch nach einem Neustart ist er bisher nicht wieder aufgetaucht.
    Bitte melde Dich wenn Du etwas über die verschickte Datei hörst.


    Danke nochmals

    Mautzer
     
  13. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Kaspersky schrieb gerade zurück:

    Date: 16 Dec 2004 20:00:32 +0300

    Hello,

    it is new Backdoor trojan, it is added to next update.

    Regards, Eugene
    Kaspersky Lab
    http://www.kaspersky.com
    http://www.viruslist.com


    > Attachment: service.exe

    Online wird er jetzt schon erkannt:
    service.exe Infiziert: Backdoor.Win32.VB.zc

    Jaja...die weibliche Intuition...:D
     
  14. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Btw. Kann hier wer Französich? Dann könnte man vllt. übersetzten, was der Trojaner eigendlich macht.(gemacht hat)
    (Das Biest ist in Franz. geschrieben)
     
  15. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo MissAntroph

    Ich hatte 6 Jahre französisch in der Schule, ist allerdings schon ein wenig her, könnte also etwas eingerostet sein. :D

    Gruß
    Nevok
     
  16. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Hier ist der Hexdump.
    Ich hab noch den dump aus dem disassembler da, falls du damit was anfangen kannst.

    Seite 19 gehts los mit franz.
     
  17. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Hi,
    Ich hab die Datei an Frank Ziemann von http://www.hoax-info.de/ weitergeleitet, der sie nun gerade auseinandernimmt.
    Er hat mir erlaubt, seine Mails hier zu veröffentlichen:

    Mail1

    Mail2

     
  18. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Nun endlich reagieren auch die anderen Hersteller:

     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen