Service.exe

Hi Leute,

seit ich mich in meiner Linux-Domäne anmelde bekomme ich bei der User-Abmeldung immer den Fehler Service.exe konnte nicht beendet werden. Wenn ich dann auf sofort beenden klicke, erhalte ich wieder die normale Anmeldeaufforderung.

Weiß jemand was es mit der Service.exe auf sich hat?

Habe eben nochmals das neue Antivir laufen lassen, ohne Probleme!


Mautzer

 

a) wo liegt die Datei? Unter C:\windows\system32 ?
b) service.exe oder services.exe?

 

Richtig unter windows32

und es handelt sich nicht um Services.exe....die ist meine ich ein reale Dienst von Windows!

Mautzer

 

Ja, die services gehört zu windows.
Ich denke, es dürfte sich mit ziemlicher Sicherheit um einen Schädling handeln.
Teste die Datei doch einfach mal hier.

 

Ist o.K.

Hatte ich aber auch schon mit Antivir gemacht...

Aber ist eine tolle Sache mit kaspersky!!

Mautzer

 

Wurde denn mit Kaspersky was gefunden?

 

Nö

keine Fehler oder Probleme!!

Mautzer

 

Bin mir trotzdem ziemlich sicher, das mit der Datei etwas nicht stimmt.
Ich weiss nicht, wie versiert du in solchen Sachen bist...ich hab unter Windows alles was mir verdächtig vorkam, in den Hexeditor geschoben.
Wenn du magst, kannst du sie mir auch schicken, ich guck mal rein.
Meld dich per PM wg. der mailadresse)

 

Es IST(!) ein Backdoor oder Wurm. Bis auf Fprot (der sagte aber nur "suspecious" schlug auch bei mir kein Scanner an.
Ich habs im Hexeditor erkannt.
Ich hab die Datei mal an verschiedene Antiviren-Labs gesendet, mal sehen, was bei rauskommt.
Btw. Tue dir selbst einen Gefallen und nimm den Rechner vom Netz...vorerst...

 

Achso:
Die Virenscannerei sah im übrigens so aus:

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.36 seconds taken)
ClamAV
No viruses found (0.35 seconds taken)
Dr.Web
modification of BackDoor.Generic.823 (0.53 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.62 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
probably unknown NewHeur_PE (probable variant) (0.42 seconds taken)
Norman Virus Control
No viruses found (0.40 seconds taken)

 

SDBOT.D wird aber von den Virenscannern erkannt..ich tipp mal auf eine Abart.

 

Hi,

konnte die Service.exe im Verzeichnis System32 löschen nachdem ich den Dienst im Taskmanager beendet habe.
Auch nach einem Neustart ist er bisher nicht wieder aufgetaucht.
Bitte melde Dich wenn Du etwas über die verschickte Datei hörst.


Danke nochmals

Mautzer

 

Kaspersky schrieb gerade zurück:

Date: 16 Dec 2004 20:00:32 +0300

Hello,

it is new Backdoor trojan, it is added to next update.

Regards, Eugene
Kaspersky Lab
http://www.kaspersky.com
http://www.viruslist.com


> Attachment: service.exe

Online wird er jetzt schon erkannt:
service.exe Infiziert: Backdoor.Win32.VB.zc

Jaja...die weibliche Intuition...

 

Btw. Kann hier wer Französich? Dann könnte man vllt. übersetzten, was der Trojaner eigendlich macht.(gemacht hat)
(Das Biest ist in Franz. geschrieben)

 

Hallo MissAntroph

Ich hatte 6 Jahre französisch in der Schule, ist allerdings schon ein wenig her, könnte also etwas eingerostet sein.

Gruß
Nevok

 

Hier ist der Hexdump.
Ich hab noch den dump aus dem disassembler da, falls du damit was anfangen kannst.

Seite 19 gehts los mit franz.

 

Hi,
Ich hab die Datei an Frank Ziemann von http://www.hoax-info.de/ weitergeleitet, der sie nun gerade auseinandernimmt.
Er hat mir erlaubt, seine Mails hier zu veröffentlichen:

Mail1

Mail2

 

Nun endlich reagieren auch die anderen Hersteller: