[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Virus/Trojanisches Pferd/??? -> "PurityScan/Winservs.exe"

Date: Fri, 20 Sep 2002 17:01:32 +0100 (MEZ)
From: lehmann_klaus _at__ t-online.de (Klaus Lehmann)
Subject: Virus/Trojanisches Pferd/??? -> "PurityScan/Winservs.exe"

RE: Virus/Trojanisches Pferd/??? -> "PurityScan/Winservs.exe"
(wird zeitgleich in ForumEOB und Inetbib veröffentlicht)


Liebe Kollegen,


Der PurityScan ist seit Juli2002 bekannt (es gab/gibt mal sogar
eine www-adresse:
www.purityscan.com; seit kurzem WIEDER online!). Er hat bei
einem Win2000-PC
(unter user 'gast' sein Unwesen getrieben;
wäre Herr Rüdiger Pfeil nicht gewesen (Danke!), so hätte er noch
länger auf dem PC verweilt.
Damals (vor ca 8 Wochen), als er mir auffiel, waren überhaupt
keine Infos zu erhalten; neulich
im ForumOEB konnte H. Pfeil die entscheidenden Hinweise geben.

Auch unser aktueller Virenscanner (FP-WIN aus der Schmiedes des
Isländers Frederik Skularrson)
hat nicht reagiert, und kennt ihn auch heute noch(?) nicht.
Deshalb hier eine ausführliche
Fallbeschreibung.


Verhalten beim MSIE V6.x:
=========================
(MSIE=Mictrossoft Internet Explorer)
(nachfolgend unter Win2000 beschrieben)

-Aufgehen von Fenster(n) nach Beenden des MSIE (z.B. als
PurityScan-Fenster=
-andere rätselhafte Verhalten (man hat als admin das gefühl, mit
dem PC stimme
 etwas nicht)
-eine Datei winservs.exe hat sich bei den Desktop-Einstellungen
eingeschlichen; auch
 bei den Administratoren.... ;-(

Ich weiss, diese Beobachtungen/Beschreibungen sind allzu sehr
ungenau; einiges war
auch nicht wiederholbar.

In der Taskliste erscheint winservs.exe als (unauffälliger!)
Prozess. Wer vermutet schon,
daß es sich um KEIN Windows_eigenes_Programm handelt, wer kennt
schon alle Windows-Programmnamen
;-)


Infos:
======
PurityScan ist ERST seit Juli 2002 bekannt. Siehe auch das
Forum
Thiefware.com

http://forums.thiefware.com/cgi-bin/ikonboard.pl?s=3d8af4800b5aff

ff;act=ST;f=11;t=3
Dort wird er als Crookware geführt (was heisst Crook?). Eine
andere Meinung definiert ihn als
trojanisches Pferd.
(tip[p]: bitte mit DIESER URL reingehen; DENN: einfach so auf
forums.thiefware.com und dann suchen,
geht ohne anmelden nicht! mit kenntnis einer genauen url gehts
aber doch rein!)



Abhilfe:
========
Die entscheidenden Tip(p)s kamen aus dem Forum: Thiefware.com.
Hier gibt es übrigens einen
Hinweis auf eine Anti-Trojaner-Software! (diese HÄTTE vor den
beiden geschützt/gewarnt?) Name:
Trojan Hunter (url: http://www.misec.net/trojanhunter.jsp )
Ich fasse die Möglichkeiten kurz zusammen (wer mehr wissen will
und muß, bitte hier darselbst

nachschauen:
url:
http://forums.thiefware.com/cgi-bin/ikonboard.pl?s=3d8af4800b5aff

ff;act=ST;f=11;t=3

a. Taskmanager: Prozesse: winservs.exe löschen
b. mit einer DateiShell (Norton Commander o.ä.):
   Datei winservs.exe (auch purityscan.exe) suchen
   VERSUCHEN zu löschen (muss nicht gelingen!)
c. In der Registry (da sollten nur erfahrene Kollegen REINgehen,

   und auch wieder HEIL herauskommen! ;-)
   nach winservs.exe (und purityscan.exe) suchen
   Einträge entsprechend löschen
   (thiefware.com gibt hier noch GENAUERE angaben!)
d. andere Möglichkeiten 'erdenken'


Resüme:
=======
Nachwievor rätselhaft: bei beiden Programmen reagiert der
Virenscanner nicht.
User Internet (bei unserer Win2000-Maschine hat KEINE Rechte,
Programme zu installieren,
usw (=Gast-Status!).
Wie kommt winservs.exe zum Admin? ANTWORTEN SIE BITTE NICHT:
na, logo, durch den admin....  ;-)
hab' ich auch schon dran gedacht.... ;-(
Dank nochmals (ja, ich weiss: zum dritten Male!) an Rüdiger
Pfeil! ohne ihn wäre
Friedrichshain-Kreuzberg nicht in der Beseitigung (so schnell?)
weitergekommen.

Fragen:
=======
Weiss jemand mehr über die beiden(?) Programme?
Gehören sie zusammen?
Sind es etwa nur 'NAG'-Programme, also keine Viren/Trojaner?
...
Ist jemand außer 'uns' betroffen?



viele Grüße
Ihr
k.l.



-
Klaus Lehmann
eMail: lehmann_klaus _at__ t-online.de
phone: 030-8950 3156; mobil 0171-953 7843
adress: D-10961 Berlin; Schleiermacherstr. 13

Admin Netware/WinNT/VöBB Friedrichshain-Kreuzberg,
Allegro-C-Dienstleistungen (Datenbankbereinigungen,
Safer shells, Fehlerindices, Fremddatenimport/Export);
Novell Netware, WindowsNT-Server,
Batchprogrammierung & andere Automatismen.
*** Our best ideas are born at home (New Freedom Data Center 1995) ***

Prev by Date: Re: Anfragen an AfS: Weiterentwicklung der RAK
Next by Date: TAGUNG: Wissensorganisation 2002, 9.-11.10.02
Previous by thread: Viruskiller
Next by thread: Virus-Warnung "PC Professionell" Heft 11/94
Index(es):
- Date
- Thread

Listeninformationen unter http://www.inetbib.de.