Ist services.exe ein Virus? - siehe eMail |
||
---|---|---|
#0
| ||
29.01.2004, 15:47
...neu hier
Beiträge: 4 |
||
|
||
30.01.2004, 09:18
...neu hier
Beiträge: 3 |
#17
Zitat paff posteteHabe mir sagen lassen, dass es bei Einzel-PCs kein Problem sei, jedoch bei einem Server Vorsicht geboten sein sollte. Da unser Server sowieso in aus dem SChrank musste, da wir neue Fenster -staubige Angelegenheit- bekamen und ich den SChrank nicht abdecken wollte, wenn die Lüfter laufen, konnten wir den Dienst (services.exe) beenden (es konnte ja eh keiner arbeiten, solange der Server mit sich selber beschäftigt war) und ihn dann neu starten. Danach lief es wieder einwandfrei. (nur frage mich nicht warum.. ) |
|
|
||
30.01.2004, 10:04
Member
Beiträge: 1095 |
#18
Dana
Hast du, wie von Microsoft angegeben, das 4er Service Pack installiert ? __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
30.01.2004, 10:33
...neu hier
Beiträge: 4 |
||
|
||
11.02.2004, 08:58
...neu hier
Beiträge: 1 |
#20
Hier ist mal solch eine Mail von der Ihr sprecht! Also lasst bitte die finger von der services.exe, das system braucht sie sowohl für das Netzwerk als auch für die Internetverbindung!
Gruß an Alle! Von : <nzonline.admin@www51.gmx.net> Gesendet : Mittwoch, 11. Februar 2004 07:58:44 An : BAY13-F549ZsiJDk1DT0003f6f5@hotmail.com Betreff : A Trojan horse is on your PC | | | Junk-Mail | Posteingang Hotmail hat die folgende(n) potenziell unsichere(n) Anlage(n) langfristig blockiert: remove-services-patch.exe (99 KB) Weitere Informationen... hello, I am from Austria and you'll don't believe me, but a trojan horse in on your computer. I've scanned the network-ports on the internet. (I know, that's illegal) And I have found your pc. Your pc is open on the internet for everybody! Because the services.exe trojan is running on your system. Check this, open the task manager and try to stop that! You'll see, you can't stop this trojan. When you use win98/me you can't see the trojan!! On my system was this trojan, too! And I've found a tool to kill that bad thing. I hope that I've helped you! greets |
|
|
||
04.03.2004, 14:48
...neu hier
Beiträge: 3 |
#21
Es kann sich hierbei auch um den Wurm NetSky handeln. Der Wurm kopiert sich als servicex.exe ins Windows-Verzeichnis. Es handelt sich dabei aber nicht um die services.exe-Systemdatei, die unter \windows\system32 zu finden ist.
Hier der Original-Text von http://www.radware.com: Netsky is an email attachment worm, which propagates via its own SMTP engine or by P2P file sharing. This worm only affects MS Windows OS. The worm arrives with a variety of subject lines or attachment names enticing the user to open the attachment. When the user opens the attachment, it automatically runs the Netsky worm. During this process the worm copies itself as %systemdir%\SERVICES.EXE and embeds a startup key in the system registry. The worm also attempts to delete important registry keys to avoid detection. It then scans for email addresses in all accessible drives and begins sending itself as an attachment using its own SMTP engine. Subject lines and attachment names vary. The worm also copies itself to P2P share folders using tempting filenames to entice users to download and use it. |
|
|
||
16.09.2004, 19:10
...neu hier
Beiträge: 10 |
#22
Ich hab auch dieses services.exe Problem.
Beim Hochfahren sagt eine Meldung, dass C:/WINNT/service.exe nicht vorhanden oder Pfad nicht gefunden wird. Im Taskmanager sind aber 2 services.exe Prozesse, die zusammen meinen CPU zu 100% auslasten. Zuerst dachte ich, dass dies der Netsky Wurm verursacht, aber mein Norton findet ihn nicht. Ich hab auch schon andere Antiviren Programme, sogar Entfernungstools ausprobiert. Woran kann diese langsame Rechengeschwindigkeit liegen? Könnte mir jemand weiterhelfen? |
|
|
||
16.09.2004, 20:52
Member
Beiträge: 890 |
#23
@LumberJack
Zitat Beim Hochfahren sagt eine Meldung, dass C:/WINNT/service.exe nicht vorhanden oder Pfad nicht gefunden wird...Scheint ein Schädling zu sein dieser C:/WINNT/service.exe nicht zu verwechseln mit: C:\Windows\System32\Services.exe in in Windows XP/2003 oder C:\WINNT\System32\Services.exe in Windows NT4/2000 Zitat Woran kann diese langsame Rechengeschwindigkeit liegen?Sehr wohl an der CPU-Auslastung. Zitat Ich hab auch schon andere Antiviren Programme, sogar Entfernungstools ausprobiert.Versuchs mal mit eScan im abgesicherten Modus(NAV sicherheitshalber vorerst deaktivieren).Findest Du hier Notfalls wenn das auch nicht helft kannst Du ein HJT-Log posten. Gruß Ajax |
|
|
||
17.09.2004, 03:20
...neu hier
Beiträge: 10 |
#24
Vielen Dank für die schnelle Antwort!
eScan hab ich vorher schon probiert(der is aber gut, hat 9 viren, trojaner gefunden die mein NAV nicht bemerkt hat). Ich habs auch im abgesicherten Modus mit deaktivierten NAV probiert, aber eScan hat nix mehr gefunden. HJT hab ich auch schon gemacht. Habs schon automatisch auswerten lassen und dabei schon 2 (global gstartup, 02 BHO "irgendwas") dringende Fixes gemacht. Die automatische Auswertung sagt, dass es noch 2 evtl. böse Applicationen gibt, aber besser du checkst sie vorher. Hier das neue HJT-LOG: Logfile of HijackThis v1.98.2 Scan saved at 03:04:18, on 17.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Norton Internet Security\NISUM.EXE D:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINNT\System32\svchost.exe D:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\SERVICES.EXE C:\WINNT\system32\SERVICES.EXE C:\WINNT\Mixer.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\Winamp\Winampa.exe D:\Programme\Quicktime\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\Programme\iPod\bin\iPodService.exe E:\Eigene Dateien\Klemens\Downloads\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) F3 - REG:win.ini: load=C:\WINNT\services.exe F3 - REG:win.ini: run=C:\WINNT\services.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\Quicktime\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B24BB5AE-94AB-4ABE-AB47-36C04A6FD083}: NameServer = 195.3.96.67 195.3.96.68 Vielen Dank im Voraus! |
|
|
||
17.09.2004, 13:18
Member
Beiträge: 890 |
#25
Dein Log scheint sauber zu sein.
Den Eintrag: R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) würde ich noch mit HTJ fixen. Kleine Anmerkung Für die Zukunft solltest Du dir die Frage stellen wie Würmer/Trojaner auf deinen PC kommen und wie das zu vermeiden wäre.Antworten dafür gebe es auch hier im Board. Um die lästige Meldung beim Hochfahren loszuwerden lade dir StartDreck.Über die Option 'Search','service.exe' oder 'service' eingeben und Einträge löschen.(Achtung:nicht mit 'services.exe' oder 'services' verwechseln) Die hohe CPU-Auslastung kann viele Gründe haben.Einen Schädling schließen wir jetzt mal aus. Erstens würde ich alle Programme aus dem Autostart nehmen die nicht unbedingt hingehören. AV-Software und ggf eine FW gehören unbedigt zum Autostart. Desweiteren würde ich auch Windowsdienste die Du nicht brauchst abschalten. Ich möchte nicht wieder über Norton lästern aber NIS ist auch ein Ressourcenfresser und kann manchmal ähnliche Probleme auslösen. Würde es auch probeweise komplett deinstallieren um zu sehen ob sich da was ändert. ---------------- Falls noch nicht geschehen solltest Du auch über einen Browserwechsel (Firefox/Mozilla oder Opera) nachdenken. Gruß Ajax Dieser Beitrag wurde am 17.09.2004 um 13:23 Uhr von Ajax editiert.
|
|
|
||
17.09.2004, 17:43
...neu hier
Beiträge: 10 |
#26
Seit den Fixes ist die Startmeldung weg, die CPU Auslastung aber immer noch 100%.
Ist es echt normal, dass ich 3 mal den Prozess SERVICES.EXE im Taskmanager habe, wobei 2 davon jeder ca. zu 50% den CPU auslastet? Komischerweise haben die beiden mit 50% beide 1.512KB Speichernutzung, aber der eine mit 0% 5.848KB. Ist es doch möglich, dass diese beiden mit 50% ein Fake sind? Ausserdem sagt die autom. HJT Auswertung, dass O17 - HKLM\System\CCS\Services\Tcpip\..\{B24BB5AE-94AB-4ABE-AB47-36C04A6FD083}: NameServer = 195.3.96.67 195.3.96.68 evtl. böse ist. Hier ist auch ein Services vorhanden und ich kenne diese IP nicht. Sollte ich dies auch fixen?[/u] |
|
|
||
17.09.2004, 20:50
Member
Beiträge: 890 |
#27
Zitat evtl. böse ist. Hier ist auch ein Services vorhanden und ich kenne diese IP nicht.Das sind deine DNS-Server. Start->Einstellungen->Netzwerk- und DFÜ-Verbindungen->LAN-Verbindung/Rechtsklick/Eigenschaften->Internetprotokoll(TCP/IP)/Linksklick/Eigenschaften= 1.Möglichkeit: DNS-Serveradresse automatisch beziehen 2.Möglichkeit: Folgende DNS-Serveradresse verwenden = z.B: Bevorzugter DNS-Server: 195.3.96.67 Alternativer DNS-Server: 195.3.96.68 Hast Du schon immer diese hohe CPU-Auslastung bzw lahmen Rechner gehabt oder ist dir das erst kürzlich aufgefallen? Falls erst kürzlich,was hast Du von meine Ratschläge bis jetzt umgesetzt? Dieser Beitrag wurde am 17.09.2004 um 20:53 Uhr von Ajax editiert.
|
|
|
||
17.09.2004, 23:48
...neu hier
Beiträge: 10 |
#28
Nein die CPU Auslastung war erst seit dieser services.exe Meldung.
Ich weiss leider gar nicht wo ich die Programme, die automatisch starten, sehen bzw. konfigurieren kann. Im Ordner Autostart sind nur 2 (office und adobe gamma loader), aber das kann nicht stimmen, weil beim hochfahren ICQ und NIS auch autom. startet. Sind die Programme rechts unten auf der Taskleiste die autostart Programme?(weil da is alles gleich geblieben) NIS möchte ich erst nach diesem Schritt deinstallieren. "Startdreck" is nicht mehr nötig, weil jetzt keine Meldung mehr beim Hochfahren kommt. Vielen Dank für dein Engagement |
|
|
||
18.09.2004, 01:25
Member
Beiträge: 441 |
#29
Zitat Ist es echt normal, dass ich 3 mal den Prozess SERVICES.EXE im Taskmanager habe, wobei 2 davon jeder ca. zu 50% den CPU auslastet?Das ist nicht normal. Überprüfe diese Datei C:\WINNT\system32\SERVICES.EXE (Achte aber auf die Großschreibung) bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis. Geschützte Sytemdateien einblenden:: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Diese beiden Einträge fixen: F3 - REG:win.ini: load=C:\WINNT\services.exe F3 - REG:win.ini: run=C:\WINNT\services.exe __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
18.09.2004, 02:06
Member
Beiträge: 890 |
#30
Hi Cidre,
auch noch wach? Muß wohl Sand in die Augen gehabt haben daß ich die 2 .INI Einträge glatt übersehen habe.(genauer gesagt nur dortin geguckt wo die automatische Auswertung gemeckert hat Eine neue Netsky-Variante,das eScan noch nicht erkennt ? Danke für die Mithilfe Gute Nacht Ajax |
|
|
||
Hallo paff
Also FT-Prot hat nix gebracht!
Update Microsoft war schon nicht schlecht.
Schaut mal auf die Seite
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MYDOOM.B
ist von MS empfohlen worden.
Danke ersteinmal.
Ich habe den Virenscan von TrendMicro durchgeführt und dannach Windows und Outlook upgedatet. Scheint nun wieder alles zu laufen.
Ich melde mich fals es doch noch Probleme geben sollte.
Gruß
FDS