Trojan Objekt identifiziertThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
30.05.2003, 10:28
Member
Beiträge: 45 |
||
|
||
30.05.2003, 10:55
Member
Beiträge: 3306 |
#2
Also PsExec kenn ich.
http://www.sysinternals.com/ntw2k/freeware/psexec.shtml Das ist ein Kommandozeilen-Remote Tool. Wenn du es nicht installiert hast würde ich es löschen. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
30.05.2003, 11:04
Member
Themenstarter Beiträge: 45 |
#3
Danke Dir für Deine Hilfe.
Ich habe nichts dergleichen installiert ... aber ein Remote-Tool kommt mir schon ominös vor und vor allem die Meldung "Last accessed : 29.05.2003 22:00:00" - der Rechner war gestern den GANZEN Tag ausgeschaltet ! Wie kann ich dieses tool jetzt komplett von meinem Rechner verbannen ? Soweit ich das beurteilen kann, läuft es - zumindest momentan - auch nicht im Task-Manager ... Nochmals DANKE vom "einfachen Anwender" |
|
|
||
30.05.2003, 14:44
Member
Beiträge: 813 |
#4
@CelticDreams
Von wem kam eigentlich diese Meldung ("Trojan Objekt identifiziert!")? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
30.05.2003, 15:15
Member
Themenstarter Beiträge: 45 |
#5
Hey Forge,
Also, das "Problem" scheint wohl doch durch einen Virus hervorgerufen zu sein - ich hatte bereits wiederholt den W32.hllw.deloder und backdoor.dvldr auf meinem Rechner, der allerdings immer vom Norton entdeckt und isoliert worden war. Auf Anraten eines Foren-Mitgliedes habe ich Lavasoft Ad-Aware 6 installiert und daraufhin an die 120 identifizierte Objekte und Dateien isoliert. Heute vormittag kam bei einem erneuten Scann dann obige Meldung ... tja, und seitdem war ich ein wenig ratlos. Das Tool wird von mir nicht verwendet, d.h. ich hatte es auch nicht installiert und wußte bislang auch von der Existenz nichts. Ab und zu lasse ich den Rechner auch noch online mit HosueCall scannen (de-aktiviere dann aber vorübergehend den Norton). Nochmals DANKE an alle, die mit guten Ratschlägen weiterhelfen können ... ich hoffe, wir kriegens hin ! |
|
|
||
31.05.2003, 15:20
Member
Beiträge: 213 |
#6
Hmm, das ist schon das zweite mahl das jemand dieses Program auf seinem Rechner findet ohne das er es installiert hat.
Gehe mit regedt32 (nicht regedit) nach HKEY_LOCAL_MACHINE\system\controlset001\enum\root\legacy_psexesvc HKEY_LOCAL_MACHINE\System\Current Controlset\Services\psexesvc und lösche die Einträge. Starte dan neu auf und lass den Scan nochmal laufen. __________ http://www.pieter-arntz.info/wordpressblog/ |
|
|
||
03.06.2003, 13:47
Member
Themenstarter Beiträge: 45 |
#7
Hallo Metallica,
Danke für Deine Hilfe ! Die Einträge lassen sich jedoch NICHT löschen ... Meldung erscheint, daß keine ausreichenden Berechtigungen hierfür vorliegen ! Wie geht's jetzt weiter ??? Hatte heute erneut einen Virus auf diesem besagten Rechner "bat_spybot.A" und habe daraufhin unter System32 auch eine neue "Exe-Datei" mit dem Symbol eines Hundes entdeckt und gelöscht. Ob das alles miteinander zusammenhängt ??? |
|
|
||
04.06.2003, 10:13
Member
Themenstarter Beiträge: 45 |
#8
Die Situation eskaliert inzwischen !!!
Ich wurde heute morgen binnen von 20 Minuten von mindestens 40 - 50 Viren attakiert - Teile hiervon lassen sich löschen, andere nicht ! Ich bin jetzt wirklich ratlos ... weiß jemand einen einigermaßen brauchbaren Rat ??? Die "nicht-gelöschten" Viren habe ich im Isolationsbereich gelassen : Memory ok Master Boot Record 80 ok (DOS, WinNT4.0, Win95) Partition Boot 1 (primary) (active) ok (Windows NT 2000 FAT32) Boot Sector of Drive A: ok (Read Error) C:\WINNT\system32\HFind.exe infected: VirTool.Win32.Hucline.A C:\WINNT\system32\HFind.exe unable to disinfect C:\WINNT\system32\GroupPolicy\Machine\regsc.org.exe infected: Backdoor.FtpUServ.A C:\WINNT\system32\GroupPolicy\Machine\regsc.org.exe unable to disinfect C:\Programme\Norton AntiVirus\Quarantine\063C2857.txt infected: IRC-Worm.Randon.I C:\Programme\Norton AntiVirus\Quarantine\063C2857.txt unable to disinfect C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.dll infected: IRC-Worm.Randon.I C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.dll unable to disinfect C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.txt infected: IRC-Worm.Randon.I C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.txt unable to disinfect C:\Programme\Norton AntiVirus\Quarantine\7EAB098D.dll infected: IRC-Worm.Randon.I C:\Programme\Norton AntiVirus\Quarantine\7EAB098D.dll unable to disinfect |
|
|
||
04.06.2003, 13:29
Member
Beiträge: 213 |
#9
Zitat CelticDreams postete Hast du auch wirklich regedt32 benutzt? Da hast du nämlich mehr Berechtigungen als mit regedit. __________ http://www.pieter-arntz.info/wordpressblog/ |
|
|
||
05.06.2003, 14:53
Member
Themenstarter Beiträge: 45 |
#10
Hallo nochmals ... doch, ich hatte regedt32 benutzt (wie Du's geschrieben hattest) - sowohl im normalen, wie auch im abgesicherten Modus. Aber die Einträge lassen sich noch löschen !
|
|
|
||
05.06.2003, 16:07
Member
Beiträge: 213 |
#11
Zitat CelticDreams postete Komisch. Wie ich schon geschrieben hatte, habe ich sowas schon mal erlebt und bei diesem Jungen hat es geklappt als wir erst alle ProgrammTeile gelöscht hatten um dan im Register diese Einträge auch zu löschen. Das Prozess taucht nicht etwa immer noch auf, oder? Gruß, __________ http://www.pieter-arntz.info/wordpressblog/ |
|
|
||
05.08.2003, 16:04
...neu hier
Beiträge: 2 |
#12
Hallochen,
ich kann mich nur anschliessen.....hab auch die psexesvc.exe und sie ist defintiv nicht bewusst von mir installiert und sie sendet daten! sie lauscht anscheinend über port 3171 (wenn ichs richtig im kopf hab) nimmt irgendwohin kontakt und schafft die möglichkeit, dass von aussen daten auf meinen rechner geschickt werden können. so macht es zumindest den eindruck. ist diese datei nicht aktiv, dann krieg ich auch keine rückmeldungen, dass sich irgendwo auf meinem rechner viren befinden..... ist sie allerdings aktiv, dann ploppt ständig norton auf und meldet, dass dieser oder jener trojaner im system entdeckt wurde....es gibt definitv einen zusammenhang mit dieser psexesvc und der verseuchung mit viren!!!! und sie ist ja nunmal definitv ein remote tool.... allerdings nicht von mir installiert sondern in irgendeiner datei versteckt, die ich irgendwann mal installiert hab. das beschissene an dieser exe ist nun, dass ich sie nicht mehr wegbekomme.... ich seh sie nur, wenn sie aktiv ist....also bei den aktiven prozessen angezeigt wird.... dann kann ich sie aber nicht deaktivieren.... wenn ich das system im abgesicherten modus starte, dann finde ich sie nirgendwo..... habs ganz normal über "suchen" probiert und es wird mir keine ergebniss angezeigt.... norton kann sie auch nicht deaktivieren, da der zugriff auf diesen vorgang nicht erlaubt ist... ich hab sie auch schon in der registry gelöscht.... mit dem ergebnis, dass sie nach nem neustart wieder da war.... selbst nach dem ich das system komplett neu aufgebaut hab war sie wieder da....und ich denke, ich hab sie mir mit irgendnem programm, dass ich aussem netz geladen hab eingefangen hab.... ich weiss nur nicht mit welchem :-(((( so, das war einfach mal mein eintrag..... und die psexesvc.exe ist thema in vielen forum..... ich war in einem englischsprachigen, da hatte jemand ne nette idee..... die datei war einfach für keinen benutzer mehr freigegeben..... da soll die prbs gelöst haben.... ich werd das mal testen und dann meine ergebnisse mitteilen....falls interesse besteht :-))) gruss micha |
|
|
||
05.08.2003, 17:56
wgonzales
zu Gast
|
#13
RPC + DAU + ESEL + Exploit + Norton= koestliche Unterhaltung
Dieser Beitrag wurde am 05.08.2003 um 17:57 Uhr von wgonzales editiert.
|
|
|
||
05.08.2003, 22:29
Member
Beiträge: 890 |
#14
Name:  W32.HLLW.Deloder
Aliases:  WORM_DELODER.A,Deloder,Backdoor.Dvldr,W32/Deloder.worm,  W32/Deloder-A,Worm.Win32.Deloder Variants: Type:  Internet Worm Platforms: Windows NT/2000/XP/2003 Status:  in the wild Threat:  V-CON 2 (low) The following has been derived from information provided by F-Secure, NAI, Symantec, and Trend Micro: http://www.canada-av.com/sensible/home.nsf/0/C2E6210F37A759FC85256CE40064B094?OpenDocument Gruß Ajax |
|
|
||
06.08.2003, 11:48
...neu hier
Beiträge: 2 |
#15
Zitat wgonzales postete Na wgonzales, da sag ich doch mal herzlichen dank für deinen extrem wertvollen beitrag zu dem thema. hilft wirklich weiter! ich finds immer wieder unglaublich, wie oft man in foren sozial inkompetente leute trifft. solche beiträge nähren wirklich das vorurteil vom pickligen, lebensunfähigen und einsamen computerfreak!!! ich begreife es einfach nicht, dass manche leute ein problem damit haben, dass es menschen gibt, die von computern vielleicht nicht wirklich ahnung haben, sich aber trotzdem mit problemstellungen auseinandersetzen müssen. und das diese leute - anstatt ihr möglicherweise vorhandenes wissen zu teilen - sich mit dummen oder gar beleidigenden kommentaren zu wort melden müssen finde ich einfach nur extrem bekloppt! aber auch so kriegt man ja ein forum voll. ich könnt wirklich grad kotzen........ |
|
|
||
Trojan Objekt identifiziert!
Typ : Datei
Daten : psexesvc.exe
Objekt : C:\WINNT\system32\
FileSize : 60 KB
FileVersion : 1.23
ProductVersion : 1.23
Copyright : Copyright 2001 Mark Russinovich
CompanyName : Sysinternals
FileDescription : psexesvc
InternalName : psexesvc
OriginalFilename : psexesvc.exe
ProductName : Sysinternals PsExec
Created on : 28.05.2003 13:14:38
Last accessed : 29.05.2003 22:00:00
Last modified : 28.05.2003 14:23:48
Wer kann mir dies bitte "verdeutschen" ??? Die identifizierte Datei habe ich zur Vorsorge mal isolieren lassen ... aber ich weiß jetzt natürlich auch nicht, wie ich mich hier weiter verhalten soll ?
Bin wie immer für jede Hilfe und jeden Rat dankbar, da im Prinzip nur einfacher "Anwender"