Ist diese Datei gefährlich?

bezelbube

Lieutenant
Dabei seit
Sep. 2010
Beiträge
540
Ein Eintrag ist schon einer zuviel.Mach die Kiste Flach oder setz dich Stundenlang
hin und versuch den Mist loszuwerden,mit der Ungewissheit,das es sich noch
irgendwo anders eingenistet hat.
 

askling

Lieutenant
Dabei seit
Dez. 2014
Beiträge
731
interessant wäre auch woher du das hast. vielleicht mal das erstellungsdatum usw. angucken und überlegen was in dem zeitraum los war?

ich würde die datei auch ruhig erneut bei VT hochladen, vielleicht wird sie mittlerweile erkannt...

du könntest auf VT auch mal in den Tab "verhaltens informationen" gucken, bin gespannt.
 
Zuletzt bearbeitet:

SenfRakete

Ensign
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
136
C

carom

Gast
Die Checksumme vom geposteten Virustotal-Link entspricht der Summe von 'RegSvcs.exe', was laut dieser Seite hier Teil von Windows sein soll. Dem muss man ja keinen Glauben schenken (kann besagte Datei nicht finden), aber wer legt .NET-basierende malware (seltsam) völlig unverschleiert mit offensichtlichem Namen nahezu direct in C: ab (nochmal seltsam), wobei die Metadaten der .exe penibel mit den Angaben von MS übereinstimmen? Laut hier gibt es diese Datei seit mindestens September '14 und sie wird trotzdem nicht erkannt?

Du könntest die Datei mal packen und mir schicken wenn du Lust hast, werde dann in einer isolierten Linux-VM ein Auge drauf werfen die nächsten Tage. Würde mal behaupten, dass die Anwendung selbst harmlos ist (möglicherweise wirklich von MS), aber entsprechend parametrisiert eben Programme wie Malware laden/installieren kann... sagt ja der Name 'RegSvcs' schon.
 
Zuletzt bearbeitet:

SenfRakete

Ensign
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
136
Die Sache wird immer komischer...
Die Datei habe ich schon aus dem Autorun entfernt, bis jetzt wäre mir noch nichts aufgefallen. Wieder erstellt hat sich das ganze auch nicht.
 
Zuletzt bearbeitet:
C

carom

Gast
Mach bitte ein PW auf die Zip und schick mir das per PM.

e: also möchte mich nicht zuweit aus dem Fenster lehnen, aber die Datei für sich betrachtet ist mit ziemlicher Sicherheit ungefährlich und von MS selbst. Dort sind viele Funktionalitäten aus dem System.EnterpriseServices Namespace definiert, welche auch auf MSDN dokumentiert sind.

Das Teil kann aber Assemblies installieren und ist über die Konsole parametrisierbar. Gut möglich, dass es benutzt worden ist, um die Malware selbst einzuschleusen. Die Datei hat in dem genannten Verzeichnis auch nichts verloren.

Im Endeffekt kann ich dir nur sagen, dass nach wie vor nicht klar ist, was mit deinem System los ist. Die server.exe ist aber zumindest nicht der RAT server. Wenn weiterhin keine Scanner anschlagen, dann wäre mir wohl nicht mehr wohl mit der Installation (im anderen Fall eigentlich auch nicht..).
 
Zuletzt bearbeitet:
Top