Systemdatei/Trojaner (?) MPREXE.EXE

Dieses Thema im Forum "Windows NT / 95 / 98 / 2000 / ME" wurde erstellt von frederic, 29. Dezember 2001.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Hallo allerseits,

    weiß jemand welche Funktion das Programm "MPREXE.EXE" in \Windows\System hat? Ist als "WIN32 Network Interface Service Process" beschrieben und wurde von http://62.47.194.138, Port 1923, UDP angesprochen und wollte antworten. Habe ausgehende Verbindung geblockt, ping und tracert blieben ohne Ergebnis. Mein System: WinME, IE6 mit aktuellen Patches.

    Danke im Voraus
    frederic
     
  2. brainstormer

    brainstormer Byte

    Registriert seit:
    28. September 2000
    Beiträge:
    78
    Habe einen Interessanten Artikel darüber gelesen:

    http://www.computer-security.ch/ids/default.asp?TopicID=145
     
  3. grizzly

    grizzly Megabyte

    Registriert seit:
    30. März 2001
    Beiträge:
    1.411
    Hallo Thimi

    eine MSAGENT.exe hab ich bei mir nicht gefunden,nur eine Agentsvr.exe.Diese datei gehört meines Wissens nach zum Officepaket und stellt verschiedene Hilfe-Agenten zur Verfügung.Jedoch hat diese datei bei mir noch nicht versucht,zu telefonieren.Folgende dateien haben es schon versucht:
    Windows-explorer
    HH.exe (c:\windows; ist für den Aufruf der Hilfe zuständig -> *.chm)
    Loadqm.exe (c:\windows;eine Art Qualitätsfeedback für M$ betreffend den IE bzw auch MSN-Messenger)

    Soweit meine Erfahrungen......

    MfG
    Mike
     
  4. Thimi

    Thimi Halbes Megabyte

    Registriert seit:
    28. April 2001
    Beiträge:
    609
    Suchen\' von ME ist bei ich nix, bin damit aber auch noch nicht fertig.
    Gruß Thimi
     
  5. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Ja, da hab ich neulich was gelesen: http://www.trojaner-info.de/report_backdoorsheute.shtml. Das sollte M$ doch auch beherrschen, oder?

    Gruß
    frederic
     
  6. grizzly

    grizzly Megabyte

    Registriert seit:
    30. März 2001
    Beiträge:
    1.411
    wenn du die Dateien umbenannt hast,kannste die ja wieder in Originalzustand versetzen.Ne andere Möglichkeit ist mir nicht bekannt. Ich weiß nur,daß die bewußten DLL\'s den Windows-Explorer veranlassen,nach Hause zu telefonieren.Hab aber bei weitem noch nicht alle exe-Dateien getestet.
    Angeblich sollen sogar Dateien nach Hause telefonieren können,die die Firewall umgehen (wie immer das auch geht)....

    MfG
    Mike
     
  7. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Bin leider fündig geworden, habe aber insoweit bisher noch keine Verbindungsaufnahme bemerkt. Meine Firewall ist neugierig, gibts eine Möglichkeit da etwas nachzuhelfen?

    Gruß
    frederic
     
  8. grizzly

    grizzly Megabyte

    Registriert seit:
    30. März 2001
    Beiträge:
    1.411
    Ja kannst du.Die blackbox.dll und die wscthunk.dll können ohne Probleme gelöscht werden,auch die loadqm.exe.Hab diese Dateien jedenfalls bei mir gelöscht und WinME funktioniert trotzdem.Du kannst sie auch in *.old umbenennen,dann hast du sie noch,falls nötig.Allerdings solltest du für diesen Fall die SWH <B>und</B> den Statusmanager sowie die PCHealth deaktivieren.

    MfG
    Mike
     
  9. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Wieder was dazugelernt und danke für die Tips! Die Sache mit mprexe.exe hab ich natürlich nur durch meine FW gemerkt, und 239.255.255.250 wird immer schon bei jedem IE-Start geblockt, wo kämen wir denn da hin!

    Kann ich die genannten Dateien ggf. ohne weiteren Schaden löschen (sofern mich die automatische ME-Systemwiederherstellung überhaupt läßt)?

    Gruß
    frederic
     
  10. grizzly

    grizzly Megabyte

    Registriert seit:
    30. März 2001
    Beiträge:
    1.411
    That\'s Microsoft LIVE........

    selbst der Windows-Explorer geht gelegentlich online (zur IP 239.255.255.250 Port1900).Diese Adresse gehört zu M$ in California.

    Suche mal eine Datei namens Blackbox.dll und wscthunk.dll,dies sind ebenfalls Spy-Dateien,die über den Windows-Explorer nach Hause telefonieren.Andere Datei ist die Loadqm.exe im Windows-Verzeichnis.Offiziell ist diese Datei ein Feedback bei Fehlern des IE.Sie telefoniert aber ebenso wie die HH.exe nach Hause(eine Internetverbindung vor dem Start dieser Dateien vorausgesetzt).In solch einem Fall ist eine FW sehr hilfreich......
    Außerdem ist M$ der Kunde IMHO "wurscht",solange M$ Geld damit verdient.....

    MfG
    Mike
     
  11. The "MPREXE.EXE" process manages your passwords, user profiles, and network
    connections.
     
  12. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    hi grizzly,

    danke für den Tip. Ich hatte inzwischen Gelegenheit, die fragliche Datei mit einem 100% unbenutzten Betriebssystem zu vergleichen; ist identisch und somit insoweit unverdächtig. Aber solche Vorfälle stärken nur mein Mißtrauen gegen M$ und ich denke, kein Softwarehersteller sollte das Recht haben, ohne weitere Nachfrage und Information seine Programme Verbindung mit außerhalb der lokalen Maschine aufnehmen zu lassen.

    Gruß
    frederic
     
  13. grizzly

    grizzly Megabyte

    Registriert seit:
    30. März 2001
    Beiträge:
    1.411
    die IP,die du angibst,gehört der Telekom Austria.Infos darüber bekommst du hier:
    http://hexillion.com/utilities/DomainDossier.vbs.asp

    welche Funktion die Exe allerdings hat,kann ich dir momentan nicht sagen,sie gehört aber zu allen Win9x/ME -systemen.
    Der Port 1923 wird meines wissens nach nicht von Trojanern verwendet,es kann sich um einen Scan handeln.....

    MfG
    Mike
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen