services.exe - troian?

Alberello69 · 22-09-2004, 15:34

ho lanciato un eseguibile scaricato da internet che si è cancellato dopo che è comparsa una finiestra dos. subito dopo il firewall mi chiede una connessione in uscita per l'applicazione services.exe sulla porta 6667 all'indirizzo irc.efnet.net ... sicuramente è un troian ma il norton 2005 aggiornato non rileva nulla nel sistema.
l'applicazione è ancora sul pc ma non posso cancellarla dato che altri file che usa win hanno lo stesso nome. che faccio?
grazie

nV 25 · 22-09-2004, 15:45

credo che il processo " services.exe " sia legittimo...vedi infatti qua ...cmq,l'ho anche io in esecuzione e occupa 1512 Kb....
diverso sarebbe se mancasse la lettera "S" finale....vedi qui ...

Alberello69 · 22-09-2004, 16:01

ok, ottimo lavoro.
ho il servizio service.exe attivo che ho appena terminato. adesso come rimuovo il virus? possibile che il norton non da' protezione da un virus conosciuto?

Alberello69 · 22-09-2004, 16:17

ho cancellato service.exe dalla caetella windows\system32 , adesso ho una richiesta di accesso a efnet.xs4all.nl da parte di services.exe che sono due processi di win che non possono essere terminati rispettivamente di 4.024 KB e 3.212 KB

nV 25 · 22-09-2004, 16:19

descrizione rapida del virus in questione qui
Rimozione: Qui
in sostanza :

Obtain the Microsoft HotFix to correct the DCOM RPC vulnerability.
Disable System Restore (Windows Me/XP).
Update the virus definitions.
Disconnect from any networks, including the internet. Run a full system scan and delete all the files detected as W32.HLLW.Raleka.

se non riesci a fare qualche passo,leggi attentamente la pagina che ti ho linkato per 2° dove trovi istruzioni al riguardo....

Alberello69 · 22-09-2004, 20:36

sto leggendo ma non riesco a venirne a capo: ho service pack 2 per winxp quindi ho la patch; ho il norton antivirus aggiornato quindi dovrebbe vederlo... c'è qualcosa che non va!! cosa devo fare?

nV 25 · 22-09-2004, 21:16

ti suggerisco di provare questi tool di scansione on line:

1 [Trend]

2 [Panda]

Se neppure cosi' vieni a capo, chiedi aiuto ad altri utenti,tipo Bilancino,Eraser, che mi sembrano essere particolarmente ferrati...

Alberello69 · 22-09-2004, 21:38

fatto con trend...non trova nulla, provo panda

Alberello69 · 22-09-2004, 22:01

panda LO HA TROVATO e sta continuando la scansione!!!!!!!!
ma roba da pazzi!!!!!!!!
buttate tutti i vostri norton vari e Trend micro.....

Alberello69 · 22-09-2004, 22:36

ecco il report:

Incident Status Location

Virus:Bck/mIRCBased.F Disinfected C:\WINDOWS\system32\msthost.exe
Virus:Bck/IRCFlood.I Disinfected C:\WINDOWS\system32\setuphl.cmd

Alberello69 · 22-09-2004, 23:13

anda Titanium Antivirus 2004 incident report

EVENT DATE RESULTS ADDITIONAL INFORMATION
-------------------------------------------------------------------------------------------------------------------------------------------------------------
Scan completed 09/22/04 23:09:16 Scan: Pop-up menu
Hacking tool detected: Application/Serv-U- 09/22/04 23:09:15 Eliminated Location: c:\windows\system32\dllcache\win32\csrss.exe
Hacking tool detected: Application/Iroffer 09/22/04 23:09:13 Eliminated Location: c:\windows\system32\dllcache\win32\services.exe
Hacking tool detected: Application/Serv-U- 09/22/04 23:09:12 Eliminated Location: C:\WINDOWS\system32\lssas.exe
Scan started 09/22/04 23:09:06 Scan: Pop-up menu

Alberello69 · 22-09-2004, 23:37

adesso voglio vedere chi mi spiega perchè il Norton 2005 e Il Trend Micro non hanno nemmeno visto un virus conosciuto.

cherokee · 28-10-2004, 00:21

Stò cercando anche io il tool di scansione on line del PAnda...vado nella pagina di Panda ...ma non riesco a trovarlo...

Mi date una dritta ?

Grazie

Alberello69 · 28-10-2004, 17:37

sulla pagina principale c'è un'icona gigante sulla sinistra: Panda Active Scan, poi clicca su Scan your PC....

22-09-2004, 15:34	#1
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	services.exe - troian? ho lanciato un eseguibile scaricato da internet che si è cancellato dopo che è comparsa una finiestra dos. subito dopo il firewall mi chiede una connessione in uscita per l'applicazione services.exe sulla porta 6667 all'indirizzo irc.efnet.net ... sicuramente è un troian ma il norton 2005 aggiornato non rileva nulla nel sistema. l'applicazione è ancora sul pc ma non posso cancellarla dato che altri file che usa win hanno lo stesso nome. che faccio? grazie __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 15:45	#2
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	credo che il processo " services.exe " sia legittimo...vedi infatti qua ...cmq,l'ho anche io in esecuzione e occupa 1512 Kb.... diverso sarebbe se mancasse la lettera "S" finale....vedi qui ... Ultima modifica di nV 25 : 22-09-2004 alle 15:48.

22-09-2004, 16:01	#3
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	ok, ottimo lavoro. ho il servizio service.exe attivo che ho appena terminato. adesso come rimuovo il virus? possibile che il norton non da' protezione da un virus conosciuto? __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 16:17	#4
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	ho cancellato service.exe dalla caetella windows\system32 , adesso ho una richiesta di accesso a efnet.xs4all.nl da parte di services.exe che sono due processi di win che non possono essere terminati rispettivamente di 4.024 KB e 3.212 KB __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 20:36	#6
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	sto leggendo ma non riesco a venirne a capo: ho service pack 2 per winxp quindi ho la patch; ho il norton antivirus aggiornato quindi dovrebbe vederlo... c'è qualcosa che non va!! cosa devo fare? __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 16:19	#5
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	descrizione rapida del virus in questione qui Rimozione: Qui in sostanza : Obtain the Microsoft HotFix to correct the DCOM RPC vulnerability. Disable System Restore (Windows Me/XP). Update the virus definitions. Disconnect from any networks, including the internet. Run a full system scan and delete all the files detected as W32.HLLW.Raleka. se non riesci a fare qualche passo,leggi attentamente la pagina che ti ho linkato per 2° dove trovi istruzioni al riguardo....

22-09-2004, 21:16	#7
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	ti suggerisco di provare questi tool di scansione on line: 1 [Trend] 2 [Panda] Se neppure cosi' vieni a capo, chiedi aiuto ad altri utenti,tipo Bilancino,Eraser, che mi sembrano essere particolarmente ferrati...

22-09-2004, 21:38	#8
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	fatto con trend...non trova nulla, provo panda __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 22:01	#9
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	panda LO HA TROVATO e sta continuando la scansione!!!!!!!! ma roba da pazzi!!!!!!!! buttate tutti i vostri norton vari e Trend micro..... __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 22:36	#10
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	ecco il report: Incident Status Location Virus:Bck/mIRCBased.F Disinfected C:\WINDOWS\system32\msthost.exe Virus:Bck/IRCFlood.I Disinfected C:\WINDOWS\system32\setuphl.cmd __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 23:13	#11
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	e ancora... anda Titanium Antivirus 2004 incident report EVENT DATE RESULTS ADDITIONAL INFORMATION ------------------------------------------------------------------------------------------------------------------------------------------------------------- Scan completed 09/22/04 23:09:16 Scan: Pop-up menu Hacking tool detected: Application/Serv-U- 09/22/04 23:09:15 Eliminated Location: c:\windows\system32\dllcache\win32\csrss.exe Hacking tool detected: Application/Iroffer 09/22/04 23:09:13 Eliminated Location: c:\windows\system32\dllcache\win32\services.exe Hacking tool detected: Application/Serv-U- 09/22/04 23:09:12 Eliminated Location: C:\WINDOWS\system32\lssas.exe Scan started 09/22/04 23:09:06 Scan: Pop-up menu __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

22-09-2004, 23:37	#12
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	adesso voglio vedere chi mi spiega perchè il Norton 2005 e Il Trend Micro non hanno nemmeno visto un virus conosciuto. __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

28-10-2004, 00:21	#13
cherokee Senior Member Iscritto dal: Nov 2002 Messaggi: 493	Stò cercando anche io il tool di scansione on line del PAnda...vado nella pagina di Panda ...ma non riesco a trovarlo... Mi date una dritta ? Grazie

28-10-2004, 17:37	#14
Alberello69 Senior Member Iscritto dal: Sep 2003 Città: Barcellona Messaggi: 3550	sulla pagina principale c'è un'icona gigante sulla sinistra: Panda Active Scan, poi clicca su Scan your PC.... __________________ Asus Rog Maximus IX Apex, Intel i7 7700k, 32Gb G.Skill F4-3200C14D-32GVK

Strumenti
Mostra una versione stampabile Invia questa pagina per email