|
Hi, auf meinem PC hat sich eine Datei Namens "Checkout.exe" im system32 Ordner eingenistet. In der Registrierung war unter RUN ein Eintrag darauf, den habe ich jetzt erstmal entfernt und den Task beendet. Googeln und suche hier um Forum hat leider nix gebracht, deshalb meine Frage: ist das ein Virus? Wenn ja, wo könnte ich den so plötzlich her haben (ich habe erst letzte Woche die RUN Einträge überprüft da war es noch nicht drin). Habe aus dem Netz nix runtergeladen die letzte Zeit... Danke für alle Tipps im voraus! Gruß, Matzzze PS: Greetz 2 Eisbär, war ja urlange nicht mehr hier :) |
|
hm...bist du sicher das sich das neu eingenistet hat, oder hast du irgendwas installiert in letzter zeit...hast du ad aware am rechner oder spybot search & destroy?...pestscan gibts z.B online...kannst es ja mal versuchen. (wird active x plugin im ordner downloaded programmfiles angelegt) kannst du nach dem scan gleich wieder rauslöschen, wird nur für den scan auf deinem rechner benötigt. http://www.pestpatrol.com/ sofern kaspersky check nichts ergibt. tony |
Welches Windows benutzt Du? Welches Datum hat die Datei? Welchen Hersteller gibt sie an? (muß natürlich nicht stimmen) |
Oh oh, danke Junx! checkout.exe Infiziert: Backdoor.Snart.gen Na mal sehen wie ich den wieder wegbekomme. @tony: ja, Ad-Aware habe ich drauf. @Shadow: Win2k mit neustem ServicePack, Windows Update habe ich auch gemacht Datum der Datei ist Juni 2003 (seltsam! habe das System erst vor ca. 3 Monaten neu aufgesetzt). Gruß, Matzzze |
wenn dein virenscanner das ding kennt, dann scan im abgesicherten modus! tony |
</font><blockquote>Zitat:</font><hr />Original erstellt von matzzze: Datum der Datei ist Juni 2003 (seltsam! habe das System erst vor ca. 3 Monaten neu aufgesetzt). </font>[/QUOTE]Erstens: Auch ein datum liesse sich fälschen Zweitens: Wenn ein Datei kopiert wird, wird ihr ERSTELL-Datum beibehalten. Bedeutet also nur, der Ersteller der Datei hatte beim Erstellen das Datum xx.Juni 2003 auf seinem Computer eingestellt oder später das Datum der Datei verändert (gibt Tools dafür) |
Das ist einer dieser "Kategorie": http://securityresponse.symantec.com...n.httpdos.html Beende den laufenden Prozess der besagten Datei, entferne sie aus dem System, lösche den auf sie verweisenden Registry-Eintrag und deaktiviere die Systemwiederherstellung unter Win XP, starte den PC dann neu. |
Schick doch aber bitte vorher mal die Datei an virus@rokop-security.de ;) |
Oh man ich werd verrückt, jetzt hab ich den zwar manuell entfernen können aber als ich jetzt die neueste FreeAV Signatur installiert habe meldet er einen Trojaner "TSK" in der services.exe Das gibt`s doch nicht [img]graemlins/heulen.gif[/img] Die Services.exe kann er nicht reparieren, nur löschen. Aber ich denke die gehört zu Win2k demnach lösche ich sie wohl besser nicht sondern brenn alles wichtige auf CD und setz (mal wieder *seufz*) das System neu auf, oder? Danke übrigens für eure zahlreichen Antworten [img]graemlins/daumenhoch.gif[/img] |
Moin matzzze, was 'sagt' den http://www.kaspersky.com/de/remoteviruschk.html zu der Datei services.exe ?? Nur, um einen Fehlalarm auszuschließen... tschööö, DerBilk |
Wo liegt diese exe-Datei? Erstelle ggf. ein Logfile: http://www.trojaner-board.de/51130-a...ijackthis.html Poste es hier. Neuaufsetzen ist jedoch auchgrund der Kompromittierung des Systems eh nicht zu vermeiden. Sicher ist sicher. |
</font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk: was 'sagt' den http://www.kaspersky.com/de/remoteviruschk.html zu der Datei services.exe ?? Nur, um einen Fehlalarm auszuschließen...</font>[/QUOTE]ACK, das sollte noch einmal geprüft werden. Guter Einwand. Dabei aber bitte den genauen Pfad beachten! |
Services.exe im Systemverzeichnis/System32 mit Datum 19.06.2003 11:05 ist ORIGINAL M$ aus SP4 (Jetzt verstehst Du auch meine Frage nach dem Datum ;) ) Ach ja: Größe 88 kb Original W2K ist vom 04.10.2000 13:00 44 KB [ 20. Februar 2004, 23:34: Beitrag editiert von: Shadow ] |
\system32\services.exe 19.06.2003 20:05 Leider geht die Kaspersky Seite momentan bei mir nicht mehr auf, ich versuche es nachher nochmal sobald ich alle wichtigen Arbeitsdateien gebrannt habe. @Christian: "leider" habe ich das checkout File nicht mehr. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board