AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme Kryptische Dienste im Autostart
Thema durchsuchen
Ansicht
Themen-Optionen

Kryptische Dienste im Autostart

Ein Thema von OrallY · begonnen am 4. Sep 2004 · letzter Beitrag vom 10. Sep 2004
Antwort Antwort
Seite 1 von 2  1 2      
Benutzerbild von OrallY
OrallY

Registriert seit: 29. Apr 2003
268 Beiträge
 
#1

Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 16:15
Vor einiger Zeit ist mir in msconfig unter "Dienste" ein Dienst aufgefallen mit einem komischen Namen: "scmbwankii". Natürlich sofort aus dem Autostart gelöscht. Der Dienst lief nicht mehr und die Systemverwaltung konnte ihm keine Datei zuordnen.
Mittlerweile folgten nun zwei weitere dieser Dienste: "Rasvc0u" und "Mousciat5fhtn". Mit diesen Diensten verhielt es sich wie mit dem ersten. Sie liefen nicht mehr, als ich sie entdeckte und die Systemverwaltung ordnete ihnen keine EXE zu.

Der Virenscanner der noch bis vor kurzem lief (War der Kaspersky 4.5 von der PC-Welt, leider ist die Lizenz abgelaufen), hat mir nie eine Meldung ausgegeben.

Diese Dienste, mit einem anscheinend Zufallsgenerierten Namen machen mir schon etwas Sorgen, muss ich gestehen.

Hat jemand eine Idee, was das ist?

P.S.: Habe Windows XP Pro SP2
.oO'rallY
Linux is like a tipi: no gates, no windows and a gnu-eating apache inside...
  Mit Zitat antworten Zitat
Dax
(Gast)

n/a Beiträge
 
#2

Re: Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 16:30
Die Namen sind EXE-Namen, sie werden irgendwo auf deinem Rechner liegen. Bemüh mal die WIndows-Dateisuche.
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.202 Beiträge
 
Delphi 10.4 Sydney
 
#3

Re: Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 17:27
Lass mal Spybot S&D drüberlaufen. Evtl. sag der dir welchen "Internet-Enhancer" du dir eingefangen hast/hattest.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von OrallY
OrallY

Registriert seit: 29. Apr 2003
268 Beiträge
 
#4

Re: Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 17:32
Zitat von Dax:
Die Namen sind EXE-Namen, sie werden irgendwo auf deinem Rechner liegen. Bemüh mal die WIndows-Dateisuche.
Leider kein Erfolg.

Zitat von Bernhard Geyer:
Lass mal Spybot S&D drüberlaufen.
Ich hab schon Lavasofts AdAware laufenlassen und es wurde nichts gefunden. Probier ich mal mit SpyBot.
.oO'rallY
Linux is like a tipi: no gates, no windows and a gnu-eating apache inside...
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.202 Beiträge
 
Delphi 10.4 Sydney
 
#5

Re: Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 17:38
Zitat von OrallY:
Ich hab schon Lavasofts AdAware laufenlassen und es wurde nichts gefunden. Probier ich mal mit SpyBot.
Ich würde folgendes Vorschlagen:
Alle ungekannten/verdächtigen Einträge mittels Spybot deaktivieren. Rechner neustarten und testen ob alles paßt und anschließend Einträge löschen. Und die Immunisierungsmöglichkeinte von Spybot aktivieren.
Musste erst am Montag einen Rechner entwanzen (Trotz aktiven Virenscanner!!!).
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von Remote1
Remote1

Registriert seit: 22. Okt 2003
Ort: Dippoldiswalde
252 Beiträge
 
Delphi 6 Personal
 
#6

Re: Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 18:27
du findest die exe vielleicht nicht, weil sie versteckt ist

schalte mal bei ordneroptionen "all dateien und ordner anzeigen" ein
und "geschützte systemdateien ausblenden" aus (vor allem 2. wichtig)

jetzt noch mal suchen
  Mit Zitat antworten Zitat
Johannes Maier

Registriert seit: 3. Sep 2004
25 Beiträge
 
Delphi 7 Professional
 
#7

Re: Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 18:48
Oder lass mal HijackThis drüberlaufen und schau dir den Log an (kannst ihn ja hier posten, aber ich bin auch kein Experte im deuten dieser Logs ). Der zeigt dir auch Dateien, die automatisch starten (wie einige dieser Prozesse).
Johannes Maier
  Mit Zitat antworten Zitat
Benutzerbild von OrallY
OrallY

Registriert seit: 29. Apr 2003
268 Beiträge
 
#8

Re: Kryptische Dienste im Autostart

  Alt 4. Sep 2004, 18:49
So, hab jetzt mal SpyBot laufen lassen und es wurden 4 mal Spyware gefunden. Die Immunisierung habe ich schon vor einiger Zeit benutzt.
Ich lass auch grad die Testversion von Kaspersky 5.0 drüberlaufen (leider nur ein Tag lauffähig, aber für einmal scannen reicht es, zumal aktuelle Datenbestände benutzt werden ).
Bisher wurden ein 4 JS-Viren im Opera Cache gefunden, ich glaub aber nicht, dass die aktiv gewesen sind.

Leider kann ich nicht direkt nachprüfen, ob das Problem jetzt gelöst ist. Das wird mir die Zeit verraten.

Zitat von Remote1:
du findest die exe vielleicht nicht, weil sie versteckt ist

schalte mal bei ordneroptionen "all dateien und ordner anzeigen" ein
und "geschützte systemdateien ausblenden" aus (vor allem 2. wichtig)
Danke für den Rat, aber das ist das erste, was ich nach einer Windowsinstallation mache .


Die Einträge in der Systemverwaltung sind immer noch da und wollen anscheinden auch nicht wieder verschwinden
.oO'rallY
Linux is like a tipi: no gates, no windows and a gnu-eating apache inside...
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#9

Re: Kryptische Dienste im Autostart

  Alt 5. Sep 2004, 04:17
IIch hoffe, du willst das System so wie es jetzt ist nicht weiter einsetzten? Es wurde eindeutig kompromitiert und da gibt es nur eine Lösung: format c:\
Siehe dazu auch das:
http://www.microsoft.com/technet/com...mt/sm0504.mspx
und das:
http://oschad.de/wiki/index.php/Kompromittierung
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von OrallY
OrallY

Registriert seit: 29. Apr 2003
268 Beiträge
 
#10

Re: Kryptische Dienste im Autostart

  Alt 9. Sep 2004, 21:45
Luckies trockener Kommentar hat mich irgendwie ziemlich ins Schwitzen gebracht. Also bin ich kein Risiko eingegangen und hab die Windowspartition geputzt. Außerdem habe ich sämtliche Passwörter von Mailkonten etc. geändert. Als nun bei meinem Vater im Taskmanager plötzlich 50 ein Prozess namens drwatson32.exe (oder so ähnlich) auftauchte, der 52K Speicher belegte, dachte ich, dass das wohl kein dummer Zufall ist. Also hab ich jetzt den Server neu aufgesetzt und werden mir dann auch den Rechner von meinem Vater und die Rechner vom Rest der Familie vornehmen.

Und der ganze Aufwand nur wegen einer Vermutung der Kompromitierung . Naja, besser Vorsicht als Nachsicht. Ist mir das erste Mal passiert, sowas. Hoffentlich bleibts auch dabei...
.oO'rallY
Linux is like a tipi: no gates, no windows and a gnu-eating apache inside...
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:46 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz