Archief - De topics van lang geleden

services.exe probeert informatie naar een adres te sturen

24-01-2006, 20:22 door Anoniem, 18 reacties
Beste security.nl,
misschien dat iemand mij kan helpen met dit probleem.
Sinds dat ik per ongeluk een virus heb opgelopen, doet
services.exe vreemd. Ik gebruik ms antispyware, norton sw&av
(uptodate), sygate pfw en ik test met ad-aware 6.0 en alles
is uptodate.
Virussen worden niet meer gevonden, maar zodra ik
services.exe unblock in mijn firewall, dan krijg een melding
(NT authority system --code 1073741674 --
sys32/services.exe) en wil mijn computer na 60 sec
restarten. (dit onderbreek ik, maar explorer loopt dan vast).
Als ik met cmd netstat bekijk, dan zie ik een verbinding met
het ip 64.71.167.118 (hierop heb ik een whois gedaan, maar
het komt absoluut niet bekend voor)

Wie o wie weet waarom services.exe zo vreemd doet? Scanners
van symantec voor sober, netsky en blaster vinden niks op
mijn computer.
hieronder maar een hijackthis log weergegeven, misschien kan
iemand daar wijs uit worden.

Logfile of HijackThis v1.99.1
Scan saved at 20:22:47, on 24-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSSYSTEM32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesSymantecLiveUpdateALUSchedulerSvc.exe
C:Program FilesNorton SystemWorksNorton
AntiVirusnavapsvc.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:Program FilesCommon FilesSymantec SharedSecurity
CenterSymWSC.exe
C:WINDOWSSystem32wbemwmiprvse.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32LVCOMSX.EXE
C:Program FilesLogitechVideoLogiTray.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesNVIDIA CorporationNvMixerNVMixerTray.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesVolumousevolumouse.exe
C:Program FilesLogitechVideoFxSvr2.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSexplorer.exe
C:Program FilesAdobeAcrobat 7.0ReaderAcroRd32Info.exe
C:Program FilesLogitechVideoAlbumDB2.exe
C:DOCUME~1MarkieLOCALS~1TempTijdelijke map 1 voor
hijackthis.zipHijackThis.exe

O2 - BHO: NAV Helper -
{BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus -
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSSystem32LVCOMSX.EXE
O4 - HKLM..Run: [LogitechVideoRepair] C:Program
FilesLogitechVideoISStart.exe
O4 - HKLM..Run: [LogitechVideoTray] C:Program
FilesLogitechVideoLogiTray.exe
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [NVMixerTray] "C:Program FilesNVIDIA
CorporationNvMixerNVMixerTray.exe"
O4 - HKLM..Run: [SmcService]
C:PROGRA~1SygateSPFsmc.exe -startgui
O4 - HKLM..Run: [ccApp] C:Program FilesCommon
FilesSymantec SharedccApp.exe
O4 - HKLM..Run: [ccRegVfy] C:Program FilesCommon
FilesSymantec SharedccRegVfy.exe
O4 - HKLM..Run: [Symantec NetDriver Monitor]
C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [SSC_UserPrompt] C:Program FilesCommon
FilesSymantec SharedSecurity CenterUsrPrmpt.exe
O4 - HKCU..Run: [$Volumouse$] "C:Program
FilesVolumousevolumouse.exe" /nodlg
O8 - Extra context menu item: E&xporteren naar Microsoft
Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O23 - Service: Automatic LiveUpdate Scheduler - Symantec
Corporation - C:Program
FilesSymantecLiveUpdateALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec
Corporation - C:Program FilesCommon FilesSymantec
SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service
(ccPwdSvc) - Symantec Corporation - C:Program FilesCommon
FilesSymantec SharedccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -
Macrovision Corporation - C:Program FilesCommon
FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation -
C:PROGRA~1SymantecLIVEUP~1LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto Protect Service
(navapsvc) - Symantec Corporation - C:Program FilesNorton
SystemWorksNorton AntiVirusnavapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) -
NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec
Corporation - C:PROGRA~1COMMON~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) -
Sygate Technologies, Inc. - C:Program FilesSygateSPFsmc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) -
Symantec Corporation - C:Program FilesCommon
FilesSymantec SharedSNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec
Corporation - C:Program FilesCommon FilesSymantec
SharedSecurity CenterSymWSC.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner -
C:Program FilesTomcat 5.0bintomcat5.exe" //RS//Tomcat5
(file missing)
Reacties (18)
31-01-2006, 01:05 door Rene V
Je vertrouwt te veel op Norton. Als Norton echt goed was dan
had je in eerste instantie nooit een virus mogen
binnenkrijgen die je systeem zodanig verneukt dat je er
zelfs nog last van hebt nadat het virus is verwijderd (is
het dan wel echt verwijderd vraag ik mij af). Norton was
ooit eens een goede AV oplossing. Helaas is dat niet meer
het geval.. hoe graag mensen die NAV gebruiken dit ook
willen blijven geloven.
31-01-2006, 02:13 door billie_Veiligheid
Nieuwe bestanden van buiten eerst scannen.
Hoe heb je dat virus dan binnen gekregen?
01-02-2006, 00:48 door Anoniem
ach waarschijnlijk zit er alleen maar een rootkit aanvast
gehaakt die mogelijk verbinding maakt met een irc server van
een botnet .... het zou kunnen !
11-03-2006, 19:36 door Anoniem
Door René V
Je vertrouwt te veel op Norton. Als Norton echt goed was dan
had je in eerste instantie nooit een virus mogen
binnenkrijgen die je systeem zodanig verneukt dat je er
zelfs nog last van hebt nadat het virus is verwijderd (is
het dan wel echt verwijderd vraag ik mij af). Norton was
ooit eens een goede AV oplossing. Helaas is dat niet meer
het geval.. hoe graag mensen die NAV gebruiken dit ook
willen blijven geloven.

In plaats van alles af te breken zou je beter een oplossing geven.
12-03-2006, 20:25 door G-Force
Volgens de literatuur ben je mogelijk besmet geweest met W32.Randex.H
en met de Sober.P worm. Wat ik wel vreemd vind is het feit dat Randex uit
2003 komt, terwijl je zegt geïnfecteerd te zijn in 2006. Normaal moet de
virusscanner dit detecteren. Het kan ook zijn dat niet alles is opgeruimd.
Services.exe is ook een legitiem programma dat niet zomaar getermineerd
mag worden. De Randex.H worm weet zich in de %systemroot%system32
directory te nestelen. Hieronder vind je een tekst die ik van het internet
heb opgehaald.
===================================
services - services.exe - Process Information
Process File: services or services.exe
Process Name: Windows Service Controller

Description:
services.exe is a part of the Microsoft Windows Operating System and
manages the operation of starting and stopping services. This process
also deals with the automatic starting of services during the computers
boot-up and the stopping of servicse during shut-down. This program is
important for the stable and secure running of your computer and should
not be terminated.

Note: services.exe is also a process which is registered as the
W32.Randex.R (stored in %systemroot%system32 directory) and Sober.P
(stored in %systemroot%Connection WizardStatus directory) and
Sober.S/V (Executed from the %Windir%
ConnectionStatusMicrosoftservices.exe directory) Trojans. These Trojans
allow attackers to access your computer, stealing passwords and
personal data. It is a registered security risk and should be removed
immediately.

Determining whether this process is a virus or a Windows process
depends on the directory location it executes or runs from in WinTasks.
For More Information About services.exe - Get WinTasks 5 Pro Now!

Recommendation for services.exe:
Should not be disabled, required for essential applications to work
properly.
========================================
Indien je Sober hebt binnengehad, download dan even een removal-tool
Link: http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html

Microsoft heeft een removal-tool voor de Randex worm uitgebracht (malicious software removal tool). Deze tool is hier te downloaden.
Link: http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=nl

Voer beiden tools uit en laat me even weten of het verwijderen gelukt is.
Succes.
13-03-2006, 07:42 door Rene V
Door Anoniem

In plaats van alles af te breken zou je beter een oplossing
geven.

Hmm.. ik zie je het tegendeel van wat ik zeg niet bewijzen
anoniempje. En ik zie jou ook niet met een oplossing komen.

Oplossing: Betere virusscanner installeren. Blij nu?
10-05-2007, 19:13 door Anoniem
Ik heb precies hetzelfde probleem met services.exe maar als ik de
virusscan er door heen haal vindt ie iets met Trojan en voordat ik dat kan
verwijderen sluit mijn PC af. Wat moet ik doen????????
11-05-2007, 11:10 door SirDice
Opstarten in Veilige modus (safe mode) en dan scannen. En
zet je firewall aan (die van XP voldoet).
11-05-2007, 14:56 door K800i
Als het advies van SirDice niet helpt zou je een probeer versie van
Kaspersky Anti-Virus 6.0 kunnen downloaden :
http://www.kaspersky.nl/productupdates
Grote kans dat die het virus wel vind en verwijderd.
29-07-2007, 16:40 door Anoniem
Ik heb precies hetzelfde probleem met services.exe.
Wanneer mijn pc is opgestart krijg ik de melding:
Services.exe heeft een ongeldige bewerking uitgevoerd. En
dan moet ik kiezen of ik een foutenrapport wil verzenden of
niet.
Dan na een minuutje, of als ik geluk heb een paar minuten,
komt er een venstertje dat zegt dat mijn pc binnen de minuut
wordt uitgeschakeld omdat services.exe onverwacht is gestopt
met de code .... (identiek aan wat de topic-starter schreef).
Ik heb al vanalles geprobeerd, maar het lukt me niet de fout
uit m'n pc te halen...
Kan iemand me nog helpen?

Thx!
29-07-2007, 16:43 door Anoniem
Oh ja, en nog iets.
Wanneer ik bv. met Adware SE Personal een spyware scan
uitvoer, dan sluit mijn pc ineens af (zonder dat venstertje
met die aftellende minuut) wanneer de scan ergens achteraan
de C:/Windows/System32 folder zit. Het laatste wat ik zie
staan is C:/windows/system32/wlnotify.dll. Ik zocht op wat
dat was, maar dat blijkt geen schadelijke dll te zijn.
02-08-2007, 17:51 door Damiaen
Wat mij als eerste aan het hijack log opvalt zijn de
wisselende hoofdletters.
Net als in Anoniems laatste post:
C:/Windows/System32 en
C:/windows/system32/

Persoonlijk zou ik niet meer de moeite van het ontluizen
nemen maar een verse install doen. Maar dat wil Anoniem vast
niet horen.
02-08-2007, 18:45 door Anoniem
Door Damiaen
Wat mij als eerste aan het hijack log opvalt zijn de
wisselende hoofdletters.
Net als in Anoniems laatste post:
C:/Windows/System32 en
C:/windows/system32/

Persoonlijk zou ik niet meer de moeite van het ontluizen
nemen maar een verse install doen. Maar dat wil Anoniem vast
niet horen.

De meesten hier willen dat nooit horen, terwijl dat meestal wel de
beste optie is. Dan weet je zeker dat je een schoon systeem hebt al die
andere handige programma's garanderen dat niet.
02-08-2007, 19:04 door Anoniem
Doe een systeemback-up. Zie schoonepc.nl
03-08-2007, 01:07 door SirDice
Wat mij juist opvalt is het verschil in / en

En ik denk dat de OP na 1,5 jaar er wel uit is ;-)
06-08-2007, 07:42 door Anoniem
Ga eens terug naar een eerder herstelpunt van je systeem.
Misschien ben je dan vanalles af.

Start > Programma's > Bureau-assesoires - Systeemwerkset -
Systeemherstel.

Werkt het dan nog niet, dan raadt ik je een format c aan.
Dit gaat veel vlugger dan alles precies uit te pluizen.

Meestal ben je binnen 2 uurtjes klaar met alles, ligt er wel aan hoeveel
je moet back-uppen, en installeren.

Een goed raad voor de volgende keer is :

Installeer niet te veel software [ enkel wat je echt gebruikt ]
Maak meerdere partities, en schrijf ook alles naar bijv. de D schijf weg.
Goede virusscanner : Kaspersky
Als browser Opera of Firefox, of beide.
Laat die spyware progrmma maar weg, stel bijv de browser beter in
en download geen vreemde bijlages, of scan ze eerst via bijv.
http://www.viruschief.com/index.html
http://www.virustotal.com

Nog beter is om eens over te stappen op Linux.
Te denken aan PCLinuxOS.

Geen virussen, geen spyware, geen andere malware infecties.
Is gratis in gebruik, kan veel meer, veel stabieler dan windows, en alle
software aan boord, en simpel te downloaden via een
downloadmanager. Installeren hoef je ook niet meer zelf te doen, want
dit doet de softwaremanager automatisch voor je.

Proberen kan ook eerst met een live-boot cd.

Simpeler kan bijna niet, je moet het alleen eens proberen.
Dit geld ook voor alle andere mensen hier hoor.

Eenmaal PCLinuxOS ge-boot, en je vergeet XP of Vista gauw.
07-08-2007, 02:21 door Anoniem
Door Damiaen
Wat mij als eerste aan het hijack log opvalt zijn de
wisselende hoofdletters.
Net als in Anoniems laatste post:
C:/Windows/System32 en
C:/windows/system32/

Persoonlijk zou ik niet meer de moeite van het ontluizen
nemen maar een verse install doen. Maar dat wil Anoniem vast
niet horen.

Wat mij als eerste aan de OP opvalt is dat het ruim 1 1/2
jaar oud is.
07-08-2007, 13:59 door Damiaen
Door Anoniem

Wat mij als eerste aan de OP opvalt is dat het ruim 1 1/2
jaar oud is.

De topic starter (Anoniem op zondag 29 juli 2007 16:43)
lijkt er toch na anderhalf jaar nog last van te hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure