Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Regeintrag
Rokop Security > Security > Dialer, Spam, Spyware und Phonehome
ZZbaronZZ
Wer könnte mir bitte sagen was ein Windows (Dienst) Service L.exe sein soll und was hat Zepter Software damit zu tun ?
Ich hab zwar schon gegoogelt aber da gibt es zu viel Info.

Danke smile.gif

edit.

Fehler behoben nie wieder test ich solch Demo Software von slysaft... produkten.
HKEY_CURRENT_USER\Software\Zepter Software

Es ist eben nicht "nur" ein Registry-Eintrag. Es ist ein absichtlich fehlerhafter, über Windows32-API nicht einsehbarer Registry-Eintrag (mit NULL-Bytes), damit sein Inhalt für den normalen Nutzer und gängige Sicherheitssoftware unsichtbar bleibt. Der normale Nutzer kann den Schlüssel mit Bordmitteln weder einsehen, noch editieren, noch löschen. (Dafür benötigt man beispielweise Rootkit-Removal-Software). -editiert- nutzt absichtlich hier keine Standard-NT-Zugriffsrechte sondern Maßnahmen, wie sie üblicherweise nur von Malware verwendet werden. Dass dieser Eintrag dann auch noch unter falscher Flagge geschieht (Zepter Software) damit man ihm dem Urheber schwerer zuordnen kann ist das kleinste Problem.

Service L.exe konnte ich leider nicht lösen. Macht der Rootkit Revealer einen Windows Service L.exe ?
Lucky
http://www.auditmypc.com/process/l.asp

Es sieht so aus als wenn du dir da einen Trojaner eingefangen hast.

Lucky
ZZbaronZZ
ZITAT(Lucky @ 17.10.2006, 06:19) [snapback]170795[/snapback]

http://www.auditmypc.com/process/l.asp

Es sieht so aus als wenn du dir da einen Trojaner eingefangen hast.

Lucky



Hallo Lucky

Einen Trojaner hab ich nicht. Ich hab gestern mein Laptop mit neuer Image gestartet.
Wieder das gleich Spiel. Im Ordner Temp war das L.exe
IPB Bild

Es ist gekommen wo ich RootkitRevealer gestartet hatte. Nur was ist L.exe ?


dragonmale
ZITAT(ZZbaronZZ @ 18.10.2006, 00:17) [snapback]170922[/snapback]

Es ist gekommen wo ich RootkitRevealer gestartet hatte. Nur was ist L.exe ?

Deine Frage hast du dir doch schon fast selbst beantwortet wink.gif
Wenn man RootkitRevealer startet, wird für den Scan ein Dienst installiert und die dazugehörige Executable wird in den Temp-Ordner gepackt. Allerdings hat diese Datei jedesmal einen anderen Namen (also nicht nur L.exe).
Das Icon deiner L.exe, ist jedenfalls auch schon mal das Icon von RootkitRevealer. Ansonsten einfach mal diese Datei rechts anklicken und die Eigenschaften anschauen, denn dort steht dann u.a. so etwas wie "Firma - Sysinternals - www.sysinternals.com" und "Rootkit detection utility" ... wenn allerdings diese L.exe bei dir immer noch im Temp-Ordner ist und der Dienst sogar noch installiert ist, obwohl du das Tool geschlossen hast, dann läuft etwas anderes bei dir schief ...


Ach übrigens, wenn du schon andere User wortwörtlich wiedergibst, wie in diesem Fall
ZITAT(ZZbaronZZ @ 17.10.2006, 00:28) [snapback]170787[/snapback]

[...] Es ist eben nicht "nur" ein Registry-Eintrag. Es ist ein absichtlich fehlerhafter, über Windows32-API nicht einsehbarer Registry-Eintrag (mit NULL-Bytes), damit sein Inhalt für den normalen Nutzer und gängige Sicherheitssoftware unsichtbar bleibt. Der normale Nutzer kann den Schlüssel mit Bordmitteln weder einsehen, noch editieren, noch löschen. (Dafür benötigt man beispielweise Rootkit-Removal-Software). -editiert- nutzt absichtlich hier keine Standard-NT-Zugriffsrechte sondern Maßnahmen, wie sie üblicherweise nur von Malware verwendet werden. Dass dieser Eintrag dann auch noch unter falscher Flagge geschieht (Zepter Software) damit man ihm dem Urheber schwerer zuordnen kann ist das kleinste Problem. [...]
dann gib wenigsten deine Quelle an. Zumal es sich in diesem Fall sogar ursprünglich um "Gottes Worte" an den "Jünger" Thorongil handelt wink.gif

ZZbaronZZ
ZITAT(dragonmale @ 18.10.2006, 02:12) [snapback]170926[/snapback]


Ach übrigens, wenn du schon andere User wortwörtlich wiedergibst, wie in diesem Fall
dann gib wenigsten deine Quelle an. Zumal es sich in diesem Fall sogar ursprünglich um "Gottes Worte" an den "Jünger" Thorongil handelt wink.gif



Den Erschaffer vom Text hab ich einige Jahre in instandMess.. Auch er hat den Text nur kopiert. Daher machte ich keine Angaben
dragonmale
ZITAT(ZZbaronZZ @ 19.10.2006, 01:35) [snapback]171070[/snapback]

Den Erschaffer vom Text hab ich einige Jahre in instandMess.. Auch er hat den Text nur kopiert. Daher machte ich keine Angaben

confused.gif
Sorry Zottel, oder ZZbaronZZ ... oder wie auch immer ... hör doch mal auf, ständig so einen Stuß zu verzapfen stirnklatsch.gif Wenn du andere User zitierst, dann mach dies auch entsprechend kenntlich!

- der Erschaffer, wäre der jenige, aus dessen Feder dieser Text stammt und dieser User nennt sich Gott

- abgeschrieben hat dieser hier -> aber allerdings hat er dies, im Gegensatz zu dir, auch angegeben (nur die Quelle nicht)

- ansonsten gibt es diesen Text nur noch in diesem Thread hier whistling.gif
ZZbaronZZ
Was ihr immer mit Zottel habt. Er ist Männlich und 39 Jahre alt und baut gerade eine Eset Hilfeforum auf.
Ist seine private Homepage glaub ich. Er heisst Steffen und wohnt in Schöllkrippen.
Zur Zeit ist da aber nu eine umleitung. [edit link per PM]


Ich Sabine natürlich weiblich und wohne auch in Schöllkrippen aber bin erst 21.



und nun wieder zurück zum thema.

ein Lob an dragonmale hasste fein gegoogelt. Zepter.. ist auch ein guter Suchbegriff
der Text wurde hier erschaffen.
http://overclockers.at/showthread.php?s=&postid=2125585
biggrin.gif
dragonmale
ZITAT(ZZbaronZZ @ 20.10.2006, 00:34) [snapback]171201[/snapback]

Was ihr immer mit Zottel habt.

Tja, gute Frage ... aber egal

Vor ein paar Monaten bin ich mal, durch Zufall (Thema Rootkit), über diese Aussage, vom User Gott, gestolpert und
ZITAT(ZZbaronZZ @ 20.10.2006, 00:34) [snapback]171201[/snapback]

ein Lob an dragonmale hasste fein gegoogelt. Zepter.. ist auch ein guter Suchbegriff

deswegen gab es nicht viel zu suchen, denn diese Passage kam mir einfach zu bekannt vor. Einfach die erste Zeile davon bei Google eingeben und los geht’s ... und dann erscheinen die, schon oben erwähnten, drei Ergebnisse und, wie schon gesagt,
ZITAT(ZZbaronZZ @ 20.10.2006, 00:34) [snapback]171201[/snapback]

wurde der Text eben nicht dort erschaffen. Deine Quelle zitiert nur und, im Gegensatz zu dir, weißt er auch daraufhin wink.gif

In diesem Sinne -> A guds Nächtle






Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2024 Invision Power Services, Inc.