Ist services.exe ein Virus? - siehe eMail

#16 Hallo Dana
Hallo paff

Also FT-Prot hat nix gebracht!
Update Microsoft war schon nicht schlecht.
Schaut mal auf die Seite

http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MYDOOM.B

ist von MS empfohlen worden.
Danke ersteinmal.
Ich habe den Virenscan von TrendMicro durchgeführt und dannach Windows und Outlook upgedatet. Scheint nun wieder alles zu laufen.

Ich melde mich fals es doch noch Probleme geben sollte.

Gruß
FDS

#17

Zitat

paff postete
@Dana
wenn's geholfen hat, bitte Ergebnis hier posten

Habe mir sagen lassen, dass es bei Einzel-PCs kein Problem sei, jedoch bei einem Server Vorsicht geboten sein sollte.
Da unser Server sowieso in aus dem SChrank musste, da wir neue Fenster -staubige Angelegenheit- bekamen und ich den SChrank nicht abdecken wollte, wenn die Lüfter laufen, konnten wir den Dienst (services.exe) beenden (es konnte ja eh keiner arbeiten, solange der Server mit sich selber beschäftigt war) und ihn dann neu starten.
Danach lief es wieder einwandfrei. (nur frage mich nicht warum.. )

#18 Dana
Hast du, wie von Microsoft angegeben, das 4er Service Pack installiert ?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#19 Hallo paff!

Ja habe ich.
Bis jetzt laüft wieder alles völlig ruhig und stabil!

#20 Hier ist mal solch eine Mail von der Ihr sprecht! Also lasst bitte die finger von der services.exe, das system braucht sie sowohl für das Netzwerk als auch für die Internetverbindung!
Gruß an Alle!

Von : <nzonline.admin@www51.gmx.net>
Gesendet : Mittwoch, 11. Februar 2004 07:58:44
An : BAY13-F549ZsiJDk1DT0003f6f5@hotmail.com
Betreff : A Trojan horse is on your PC

| | | Junk-Mail | Posteingang

Hotmail hat die folgende(n) potenziell unsichere(n) Anlage(n) langfristig blockiert: remove-services-patch.exe (99 KB) Weitere Informationen...

hello, I am from Austria and you'll don't believe me,
but a trojan horse in on your computer.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the services.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!

On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!

greets

#21 Es kann sich hierbei auch um den Wurm NetSky handeln. Der Wurm kopiert sich als servicex.exe ins Windows-Verzeichnis. Es handelt sich dabei aber nicht um die services.exe-Systemdatei, die unter \windows\system32 zu finden ist.

Hier der Original-Text von http://www.radware.com:
Netsky is an email attachment worm, which propagates via its own SMTP engine or by P2P file sharing. This worm only affects MS Windows OS. The worm arrives with a variety of subject lines or attachment names enticing the user to open the attachment.

When the user opens the attachment, it automatically runs the Netsky worm. During this process the worm copies itself as %systemdir%\SERVICES.EXE and embeds a startup key in the system registry. The worm also attempts to delete important registry keys to avoid detection. It then scans for email addresses in all accessible drives and begins sending itself as an attachment using its own SMTP engine. Subject lines and attachment names vary. The worm also copies itself to P2P share folders using tempting filenames to entice users to download and use it.

#22 Ich hab auch dieses services.exe Problem.
Beim Hochfahren sagt eine Meldung, dass C:/WINNT/service.exe nicht vorhanden oder Pfad nicht gefunden wird.
Im Taskmanager sind aber 2 services.exe Prozesse, die zusammen meinen CPU zu 100% auslasten.
Zuerst dachte ich, dass dies der Netsky Wurm verursacht, aber mein Norton findet ihn nicht. Ich hab auch schon andere Antiviren Programme, sogar Entfernungstools ausprobiert.
Woran kann diese langsame Rechengeschwindigkeit liegen?
Könnte mir jemand weiterhelfen?

#23 @LumberJack

Zitat

Beim Hochfahren sagt eine Meldung, dass C:/WINNT/service.exe nicht vorhanden oder Pfad nicht gefunden wird...
Im Taskmanager sind aber 2 services.exe Prozesse, die zusammen meinen CPU zu 100%

Scheint ein Schädling zu sein dieser C:/WINNT/service.exe
nicht zu verwechseln mit: C:\Windows\System32\Services.exe in in Windows XP/2003 oder C:\WINNT\System32\Services.exe in Windows NT4/2000

Zitat

Woran kann diese langsame Rechengeschwindigkeit liegen?

Sehr wohl an der CPU-Auslastung.

Zitat

Ich hab auch schon andere Antiviren Programme, sogar Entfernungstools ausprobiert.

Versuchs mal mit eScan im abgesicherten Modus(NAV sicherheitshalber vorerst deaktivieren).Findest Du hier
Notfalls wenn das auch nicht helft kannst Du ein HJT-Log posten.

Gruß
Ajax

#24 Vielen Dank für die schnelle Antwort!

eScan hab ich vorher schon probiert(der is aber gut, hat 9 viren, trojaner gefunden die mein NAV nicht bemerkt hat).
Ich habs auch im abgesicherten Modus mit deaktivierten NAV probiert, aber eScan hat nix mehr gefunden.
HJT hab ich auch schon gemacht. Habs schon automatisch auswerten lassen und dabei schon 2 (global gstartup, 02 BHO "irgendwas") dringende Fixes gemacht. Die automatische Auswertung sagt, dass es noch 2 evtl. böse Applicationen gibt, aber besser du checkst sie vorher. Hier das neue HJT-LOG:


Logfile of HijackThis v1.98.2
Scan saved at 03:04:18, on 17.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\SERVICES.EXE
C:\WINNT\system32\SERVICES.EXE
C:\WINNT\Mixer.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Winamp\Winampa.exe
D:\Programme\Quicktime\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Eigene Dateien\Klemens\Downloads\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F3 - REG:win.ini: load=C:\WINNT\services.exe
F3 - REG:win.ini: run=C:\WINNT\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\Quicktime\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B24BB5AE-94AB-4ABE-AB47-36C04A6FD083}: NameServer = 195.3.96.67 195.3.96.68


Vielen Dank im Voraus!

#25 Dein Log scheint sauber zu sein.
Den Eintrag:
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
würde ich noch mit HTJ fixen.
Kleine Anmerkung
Für die Zukunft solltest Du dir die Frage stellen wie Würmer/Trojaner auf deinen PC kommen und wie das zu vermeiden wäre.Antworten dafür gebe es auch hier im Board.
Um die lästige Meldung beim Hochfahren loszuwerden lade dir StartDreck.Über die Option 'Search','service.exe' oder 'service' eingeben und Einträge löschen.(Achtung:nicht mit 'services.exe' oder 'services' verwechseln)
Die hohe CPU-Auslastung kann viele Gründe haben.Einen Schädling schließen wir jetzt mal aus.
Erstens würde ich alle Programme aus dem Autostart nehmen die nicht unbedingt hingehören.
AV-Software und ggf eine FW gehören unbedigt zum Autostart.
Desweiteren würde ich auch Windowsdienste die Du nicht brauchst abschalten.
Ich möchte nicht wieder über Norton lästern aber NIS ist auch ein Ressourcenfresser und kann manchmal ähnliche Probleme auslösen.
Würde es auch probeweise komplett deinstallieren um zu sehen ob sich da was ändert.
----------------
Falls noch nicht geschehen solltest Du auch über einen Browserwechsel (Firefox/Mozilla oder Opera) nachdenken.

Gruß
Ajax

#26 Seit den Fixes ist die Startmeldung weg, die CPU Auslastung aber immer noch 100%.
Ist es echt normal, dass ich 3 mal den Prozess SERVICES.EXE im Taskmanager habe, wobei 2 davon jeder ca. zu 50% den CPU auslastet?
Komischerweise haben die beiden mit 50% beide 1.512KB Speichernutzung, aber der eine mit 0% 5.848KB. Ist es doch möglich, dass diese beiden mit 50% ein Fake sind?
Ausserdem sagt die autom. HJT Auswertung, dass

O17 - HKLM\System\CCS\Services\Tcpip\..\{B24BB5AE-94AB-4ABE-AB47-36C04A6FD083}: NameServer = 195.3.96.67 195.3.96.68

evtl. böse ist. Hier ist auch ein Services vorhanden und ich kenne diese IP nicht.
Sollte ich dies auch fixen?[/u]

#27

Zitat

evtl. böse ist. Hier ist auch ein Services vorhanden und ich kenne diese IP nicht.

Das sind deine DNS-Server.
Start->Einstellungen->Netzwerk- und DFÜ-Verbindungen->LAN-Verbindung/Rechtsklick/Eigenschaften->Internetprotokoll(TCP/IP)/Linksklick/Eigenschaften=
1.Möglichkeit: DNS-Serveradresse automatisch beziehen
2.Möglichkeit: Folgende DNS-Serveradresse verwenden =
z.B:
Bevorzugter DNS-Server: 195.3.96.67
Alternativer DNS-Server: 195.3.96.68

Hast Du schon immer diese hohe CPU-Auslastung bzw lahmen Rechner gehabt oder ist dir das erst kürzlich aufgefallen?
Falls erst kürzlich,was hast Du von meine Ratschläge bis jetzt umgesetzt?

#28 Nein die CPU Auslastung war erst seit dieser services.exe Meldung.
Ich weiss leider gar nicht wo ich die Programme, die automatisch starten, sehen bzw. konfigurieren kann.
Im Ordner Autostart sind nur 2 (office und adobe gamma loader), aber das kann nicht stimmen, weil beim hochfahren ICQ und NIS auch autom. startet.
Sind die Programme rechts unten auf der Taskleiste die autostart Programme?(weil da is alles gleich geblieben)
NIS möchte ich erst nach diesem Schritt deinstallieren.
"Startdreck" is nicht mehr nötig, weil jetzt keine Meldung mehr beim Hochfahren kommt.

Vielen Dank für dein Engagement

#29

Zitat

Ist es echt normal, dass ich 3 mal den Prozess SERVICES.EXE im Taskmanager habe, wobei 2 davon jeder ca. zu 50% den CPU auslastet?

Das ist nicht normal.
Überprüfe diese Datei C:\WINNT\system32\SERVICES.EXE (Achte aber auf die Großschreibung) bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis.
Geschützte Sytemdateien einblenden::
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Diese beiden Einträge fixen:
F3 - REG:win.ini: load=C:\WINNT\services.exe
F3 - REG:win.ini: run=C:\WINNT\services.exe
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#30 Hi Cidre,
auch noch wach?

Muß wohl Sand in die Augen gehabt haben daß ich die 2 .INI Einträge glatt übersehen habe.(genauer gesagt nur dortin geguckt wo die automatische Auswertung gemeckert hat

Eine neue Netsky-Variante,das eScan noch nicht erkennt ?

Danke für die Mithilfe

Gute Nacht
Ajax