Trojan Objekt identifiziert

#1 Ich erhielt heute vormittag folgende Meldung auf meinem Rechner (läuft unter Windows 2000):

Trojan Objekt identifiziert!

Typ : Datei
Daten : psexesvc.exe
Objekt : C:\WINNT\system32\
FileSize : 60 KB
FileVersion : 1.23
ProductVersion : 1.23
Copyright : Copyright 2001 Mark Russinovich
CompanyName : Sysinternals
FileDescription : psexesvc
InternalName : psexesvc
OriginalFilename : psexesvc.exe
ProductName : Sysinternals PsExec
Created on : 28.05.2003 13:14:38
Last accessed : 29.05.2003 22:00:00
Last modified : 28.05.2003 14:23:48

Wer kann mir dies bitte "verdeutschen" ??? Die identifizierte Datei habe ich zur Vorsorge mal isolieren lassen ... aber ich weiß jetzt natürlich auch nicht, wie ich mich hier weiter verhalten soll ?

Bin wie immer für jede Hilfe und jeden Rat dankbar, da im Prinzip nur einfacher "Anwender"

#2 Also PsExec kenn ich.
http://www.sysinternals.com/ntw2k/freeware/psexec.shtml

Das ist ein Kommandozeilen-Remote Tool. Wenn du es nicht installiert hast würde ich es löschen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Danke Dir für Deine Hilfe.

Ich habe nichts dergleichen installiert ... aber ein Remote-Tool kommt mir schon ominös vor und vor allem die Meldung "Last accessed : 29.05.2003 22:00:00" - der Rechner war gestern den GANZEN Tag ausgeschaltet !

Wie kann ich dieses tool jetzt komplett von meinem Rechner verbannen ? Soweit ich das beurteilen kann, läuft es - zumindest momentan - auch nicht im Task-Manager ...

Nochmals DANKE vom "einfachen Anwender"

#4 @CelticDreams

Von wem kam eigentlich diese Meldung ("Trojan Objekt identifiziert!")?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 Hey Forge,

Also, das "Problem" scheint wohl doch durch einen Virus hervorgerufen zu sein - ich hatte bereits wiederholt den W32.hllw.deloder und backdoor.dvldr auf meinem Rechner, der allerdings immer vom Norton entdeckt und isoliert worden war.

Auf Anraten eines Foren-Mitgliedes habe ich Lavasoft Ad-Aware 6 installiert und daraufhin an die 120 identifizierte Objekte und Dateien isoliert. Heute vormittag kam bei einem erneuten Scann dann obige Meldung ... tja, und seitdem war ich ein wenig ratlos.

Das Tool wird von mir nicht verwendet, d.h. ich hatte es auch nicht installiert und wußte bislang auch von der Existenz nichts.

Ab und zu lasse ich den Rechner auch noch online mit HosueCall scannen (de-aktiviere dann aber vorübergehend den Norton).

Nochmals DANKE an alle, die mit guten Ratschlägen weiterhelfen können ... ich hoffe, wir kriegens hin !

#6 Hmm, das ist schon das zweite mahl das jemand dieses Program auf seinem Rechner findet ohne das er es installiert hat.
Gehe mit regedt32 (nicht regedit) nach HKEY_LOCAL_MACHINE\system\controlset001\enum\root\legacy_psexesvc
HKEY_LOCAL_MACHINE\System\Current Controlset\Services\psexesvc
und lösche die Einträge.

Starte dan neu auf und lass den Scan nochmal laufen.
__________
http://www.pieter-arntz.info/wordpressblog/

#7 Hallo Metallica,

Danke für Deine Hilfe ! Die Einträge lassen sich jedoch NICHT löschen ... Meldung erscheint, daß keine ausreichenden Berechtigungen hierfür vorliegen !

Wie geht's jetzt weiter ???

Hatte heute erneut einen Virus auf diesem besagten Rechner "bat_spybot.A" und habe daraufhin unter System32 auch eine neue "Exe-Datei" mit dem Symbol eines Hundes entdeckt und gelöscht. Ob das alles miteinander zusammenhängt ???

#8 Die Situation eskaliert inzwischen !!!

Ich wurde heute morgen binnen von 20 Minuten von mindestens 40 - 50 Viren attakiert - Teile hiervon lassen sich löschen, andere nicht ! Ich bin jetzt wirklich ratlos ... weiß jemand einen einigermaßen brauchbaren Rat ???

Die "nicht-gelöschten" Viren habe ich im Isolationsbereich gelassen :

Memory ok
Master Boot Record 80 ok (DOS, WinNT4.0, Win95)
Partition Boot 1 (primary) (active) ok (Windows NT 2000 FAT32)
Boot Sector of Drive A: ok (Read Error)
C:\WINNT\system32\HFind.exe infected: VirTool.Win32.Hucline.A
C:\WINNT\system32\HFind.exe unable to disinfect
C:\WINNT\system32\GroupPolicy\Machine\regsc.org.exe infected: Backdoor.FtpUServ.A
C:\WINNT\system32\GroupPolicy\Machine\regsc.org.exe unable to disinfect
C:\Programme\Norton AntiVirus\Quarantine\063C2857.txt infected: IRC-Worm.Randon.I
C:\Programme\Norton AntiVirus\Quarantine\063C2857.txt unable to disinfect
C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.dll infected: IRC-Worm.Randon.I
C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.dll unable to disinfect
C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.txt infected: IRC-Worm.Randon.I
C:\Programme\Norton AntiVirus\Quarantine\318E7EC3.txt unable to disinfect
C:\Programme\Norton AntiVirus\Quarantine\7EAB098D.dll infected: IRC-Worm.Randon.I
C:\Programme\Norton AntiVirus\Quarantine\7EAB098D.dll unable to disinfect

#9

Zitat

CelticDreams postete
Hallo Metallica,

Danke für Deine Hilfe ! Die Einträge lassen sich jedoch NICHT löschen ... Meldung erscheint, daß keine ausreichenden Berechtigungen hierfür vorliegen !

Hast du auch wirklich regedt32 benutzt?
Da hast du nämlich mehr Berechtigungen als mit regedit.
__________
http://www.pieter-arntz.info/wordpressblog/

#10 Hallo nochmals ... doch, ich hatte regedt32 benutzt (wie Du's geschrieben hattest) - sowohl im normalen, wie auch im abgesicherten Modus. Aber die Einträge lassen sich noch löschen !

#11

Zitat

CelticDreams postete
Hallo nochmals ... doch, ich hatte regedt32 benutzt (wie Du's geschrieben hattest) - sowohl im normalen, wie auch im abgesicherten Modus. Aber die Einträge lassen sich noch löschen !

Komisch. Wie ich schon geschrieben hatte, habe ich sowas schon mal erlebt und bei diesem Jungen hat es geklappt als wir erst alle ProgrammTeile gelöscht hatten um dan im Register diese Einträge auch zu löschen.
Das Prozess taucht nicht etwa immer noch auf, oder?

Gruß,
__________
http://www.pieter-arntz.info/wordpressblog/

#12 Hallochen,

ich kann mich nur anschliessen.....hab auch die psexesvc.exe und sie ist defintiv nicht bewusst von mir installiert und sie sendet daten! sie lauscht anscheinend über port 3171 (wenn ichs richtig im kopf hab) nimmt irgendwohin kontakt und schafft die möglichkeit, dass von aussen daten auf meinen rechner geschickt werden können.

so macht es zumindest den eindruck.

ist diese datei nicht aktiv, dann krieg ich auch keine rückmeldungen, dass sich irgendwo auf meinem rechner viren befinden..... ist sie allerdings aktiv, dann ploppt ständig norton auf und meldet, dass dieser oder jener trojaner im system entdeckt wurde....es gibt definitv einen zusammenhang mit dieser psexesvc und der verseuchung mit viren!!!!

und sie ist ja nunmal definitv ein remote tool.... allerdings nicht von mir installiert sondern in irgendeiner datei versteckt, die ich irgendwann mal installiert hab.

das beschissene an dieser exe ist nun, dass ich sie nicht mehr wegbekomme.... ich seh sie nur, wenn sie aktiv ist....also bei den aktiven prozessen angezeigt wird.... dann kann ich sie aber nicht deaktivieren....

wenn ich das system im abgesicherten modus starte, dann finde ich sie nirgendwo.....

habs ganz normal über "suchen" probiert und es wird mir keine ergebniss angezeigt....

norton kann sie auch nicht deaktivieren, da der zugriff auf diesen vorgang nicht erlaubt ist...

ich hab sie auch schon in der registry gelöscht.... mit dem ergebnis, dass sie nach nem neustart wieder da war....

selbst nach dem ich das system komplett neu aufgebaut hab war sie wieder da....und ich denke, ich hab sie mir mit irgendnem programm, dass ich aussem netz geladen hab eingefangen hab....

ich weiss nur nicht mit welchem :-((((

so, das war einfach mal mein eintrag.....

und die psexesvc.exe ist thema in vielen forum..... ich war in einem englischsprachigen, da hatte jemand ne nette idee.....

die datei war einfach für keinen benutzer mehr freigegeben..... da soll die prbs gelöst haben.... ich werd das mal testen und dann meine ergebnisse mitteilen....falls interesse besteht :-)))

gruss

micha

#13 RPC + DAU + ESEL + Exploit + Norton= koestliche Unterhaltung

#14 Name: &nbspW32.HLLW.Deloder
Aliases: &nbspWORM_DELODER.A,Deloder,Backdoor.Dvldr,W32/Deloder.worm,
&nbspW32/Deloder-A,Worm.Win32.Deloder
Variants:
Type: &nbspInternet Worm
Platforms:&nbspWindows NT/2000/XP/2003
Status: &nbspin the wild
Threat: &nbspV-CON 2 (low)


The following has been derived from information provided by F-Secure, NAI, Symantec, and Trend Micro:

http://www.canada-av.com/sensible/home.nsf/0/C2E6210F37A759FC85256CE40064B094?OpenDocument

Gruß
Ajax

#15

Zitat

wgonzales postete
RPC + DAU + ESEL + Exploit + Norton= koestliche Unterhaltung

Na wgonzales,

da sag ich doch mal herzlichen dank für deinen extrem wertvollen beitrag zu dem thema. hilft wirklich weiter!

ich finds immer wieder unglaublich, wie oft man in foren sozial inkompetente leute trifft. solche beiträge nähren wirklich das vorurteil vom pickligen, lebensunfähigen und einsamen computerfreak!!!

ich begreife es einfach nicht, dass manche leute ein problem damit haben, dass es menschen gibt, die von computern vielleicht nicht wirklich ahnung haben, sich aber trotzdem mit problemstellungen auseinandersetzen müssen.

und das diese leute - anstatt ihr möglicherweise vorhandenes wissen zu teilen - sich mit dummen oder gar beleidigenden kommentaren zu wort melden müssen finde ich einfach nur extrem bekloppt!

aber auch so kriegt man ja ein forum voll.

ich könnt wirklich grad kotzen........