Systemdatei/Trojaner (?) MPREXE.EXE

Hallo allerseits,

weiß jemand welche Funktion das Programm "MPREXE.EXE" in \Windows\System hat? Ist als "WIN32 Network Interface Service Process" beschrieben und wurde von http://62.47.194.138, Port 1923, UDP angesprochen und wollte antworten. Habe ausgehende Verbindung geblockt, ping und tracert blieben ohne Ergebnis. Mein System: WinME, IE6 mit aktuellen Patches.

Danke im Voraus
frederic

 

Habe einen Interessanten Artikel darüber gelesen:

http://www.computer-security.ch/ids/default.asp?TopicID=145

 

Hallo Thimi

eine MSAGENT.exe hab ich bei mir nicht gefunden,nur eine Agentsvr.exe.Diese datei gehört meines Wissens nach zum Officepaket und stellt verschiedene Hilfe-Agenten zur Verfügung.Jedoch hat diese datei bei mir noch nicht versucht,zu telefonieren.Folgende dateien haben es schon versucht:
Windows-explorer
HH.exe (c:\windows; ist für den Aufruf der Hilfe zuständig -> *.chm)
Loadqm.exe (c:\windows;eine Art Qualitätsfeedback für M$ betreffend den IE bzw auch MSN-Messenger)

Soweit meine Erfahrungen......

MfG
Mike

 

Suchen\' von ME ist bei ich nix, bin damit aber auch noch nicht fertig.
Gruß Thimi

 

Ja, da hab ich neulich was gelesen: http://www.trojaner-info.de/report_backdoorsheute.shtml. Das sollte M$ doch auch beherrschen, oder?

Gruß
frederic

 

wenn du die Dateien umbenannt hast,kannste die ja wieder in Originalzustand versetzen.Ne andere Möglichkeit ist mir nicht bekannt. Ich weiß nur,daß die bewußten DLL\'s den Windows-Explorer veranlassen,nach Hause zu telefonieren.Hab aber bei weitem noch nicht alle exe-Dateien getestet.
Angeblich sollen sogar Dateien nach Hause telefonieren können,die die Firewall umgehen (wie immer das auch geht)....

MfG
Mike

 

Bin leider fündig geworden, habe aber insoweit bisher noch keine Verbindungsaufnahme bemerkt. Meine Firewall ist neugierig, gibts eine Möglichkeit da etwas nachzuhelfen?

Gruß
frederic

 

Ja kannst du.Die blackbox.dll und die wscthunk.dll können ohne Probleme gelöscht werden,auch die loadqm.exe.Hab diese Dateien jedenfalls bei mir gelöscht und WinME funktioniert trotzdem.Du kannst sie auch in *.old umbenennen,dann hast du sie noch,falls nötig.Allerdings solltest du für diesen Fall die SWH <B>und</B> den Statusmanager sowie die PCHealth deaktivieren.

MfG
Mike

 

Wieder was dazugelernt und danke für die Tips! Die Sache mit mprexe.exe hab ich natürlich nur durch meine FW gemerkt, und 239.255.255.250 wird immer schon bei jedem IE-Start geblockt, wo kämen wir denn da hin!

Kann ich die genannten Dateien ggf. ohne weiteren Schaden löschen (sofern mich die automatische ME-Systemwiederherstellung überhaupt läßt)?

Gruß
frederic

 

That\'s Microsoft LIVE........

selbst der Windows-Explorer geht gelegentlich online (zur IP 239.255.255.250 Port1900).Diese Adresse gehört zu M$ in California.

Suche mal eine Datei namens Blackbox.dll und wscthunk.dll,dies sind ebenfalls Spy-Dateien,die über den Windows-Explorer nach Hause telefonieren.Andere Datei ist die Loadqm.exe im Windows-Verzeichnis.Offiziell ist diese Datei ein Feedback bei Fehlern des IE.Sie telefoniert aber ebenso wie die HH.exe nach Hause(eine Internetverbindung vor dem Start dieser Dateien vorausgesetzt).In solch einem Fall ist eine FW sehr hilfreich......
Außerdem ist M$ der Kunde IMHO "wurscht",solange M$ Geld damit verdient.....

MfG
Mike

 

The "MPREXE.EXE" process manages your passwords, user profiles, and network
connections.

 

hi grizzly,

danke für den Tip. Ich hatte inzwischen Gelegenheit, die fragliche Datei mit einem 100% unbenutzten Betriebssystem zu vergleichen; ist identisch und somit insoweit unverdächtig. Aber solche Vorfälle stärken nur mein Mißtrauen gegen M$ und ich denke, kein Softwarehersteller sollte das Recht haben, ohne weitere Nachfrage und Information seine Programme Verbindung mit außerhalb der lokalen Maschine aufnehmen zu lassen.

Gruß
frederic

 

die IP,die du angibst,gehört der Telekom Austria.Infos darüber bekommst du hier:
http://hexillion.com/utilities/DomainDossier.vbs.asp

welche Funktion die Exe allerdings hat,kann ich dir momentan nicht sagen,sie gehört aber zu allen Win9x/ME -systemen.
Der Port 1923 wird meines wissens nach nicht von Trojanern verwendet,es kann sich um einen Scan handeln.....

MfG
Mike