Hallo, Gast! Registrieren

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
mspatchsec.exe ???
#1
Neulich hat meine Firewall gemeldet, das ein Progy Names "mspatchsec.exe" ins Netz will.

Hab keine Ahnung was das fuer´n Progy ist und woher es stammt. Kann auch sonst keine Infos dazu finden...hat jemand ne Idee???

Das Teil ist auch in der Reg im Schluessel Run eingetragen Huh
[Heute 14:12] Wizz21 : Aus meinem Mund wird über den Hopp nie wieder etwas schlechtes kommen
[Heute 00:05] Wizz21: np: Joey's Freiheit - Ohne dich (geh kackn!) <- k
Antworten
#2
Also ich hab so 'ne Datei nicht auffer Platte.
Antworten
#3
Ich auch nicht, lass mal Ad-Aware drueberlaufen... Unsure
Antworten
#4
ich hab das teil auch nicht auf der platte

unter welchem namen stehts denn in der registry?
Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren.
Antworten
#5
hmm, nicht mal google findet die datei. ergo: die datei gibts gar nicht Nanu Smile
GIMME FUE GIMME FAH GIMME DABUJABUZA
Antworten
#6
So..hab mal ein wenig getestet...die File wird waehrend der Installation von dem Progy TuneUp Utilities 2004 erstellt Huh

Hier mal meine Firewall Meldung
Module:Firewall
ActionSmilerevented
Application:mspatchsec.exe
Access:Outbound TCP access
Object:1123 -> 194.159.164.195 (efnet.demon.co.uk):6667 (ircu)
Time:05.03.2004 18:33:18

Module:Firewall
ActionSmilerevented
Application:mspatchsec.exe
Access:Outbound TCP access
Object:1760 -> 130.233.48.242 (efnet.tt.hut.fi):6667 (ircu)
Time:05.03.2004 18:38:22
[Heute 14:12] Wizz21 : Aus meinem Mund wird über den Hopp nie wieder etwas schlechtes kommen
[Heute 00:05] Wizz21: np: Joey's Freiheit - Ohne dich (geh kackn!) <- k
Antworten
#7
Also ich kann mir eigentlich nicht vorstellen, dass ein serioeses Programm seine Datei einfach nach irgendwas von MS aussehen laesst.
Antworten
#8
-Slaine+5. Mar. 2004, 18:40 QUOTE (Slaine 4 5. Mar. 2004, 18:40 ) schrieb:Also ich kann mir eigentlich nicht vorstellen, dass ein serioeses Programm seine Datei einfach nach irgendwas von MS aussehen laesst.
Mich wunderts auch, das dies die Demo ist Huh
Habe TuneUp deinstalliert, File nach .org benannt, neu installiert und schon ist se wieder da...also devynitiv von dem Setup erstellt...
[Heute 14:12] Wizz21 : Aus meinem Mund wird über den Hopp nie wieder etwas schlechtes kommen
[Heute 00:05] Wizz21: np: Joey's Freiheit - Ohne dich (geh kackn!) <- k
Antworten
#9
aehm, wenn ich das ding richtig verstehe will sich das prog mit einem IRC channel verbinden (EFnet), das klingt VERDAMMT nach einem trojaner der seinem 'master' bekanntgeben will dass eine hintertuere geoeffnet ist.

ist das tuneup prggy ein serioeses programm, bzw. wo wurde es downgeloadet, koennte es sein dass es von jemandem kompromittiert wurde?
I hate my flesh.
It's dimension poisoned my soul with doubt.
It made me question the essence of the "I".
Antworten
#10
-Azathoth+5. Mar. 2004, 18:43 QUOTE (Azathoth @ 5. Mar. 2004, 18:43 ) schrieb:aehm, wenn ich das ding richtig verstehe will sich das prog mit einem IRC channel verbinden (EFnet), das klingt VERDAMMT nach einem trojaner der seinem 'master' bekanntgeben will dass eine hintertuere geoeffnet ist.

ist das tuneup prggy ein serioeses programm, bzw. wo wurde es downgeloadet, koennte es sein dass es von jemandem kompromittiert wurde?
Yup..gehe der Sache nun auf den Grund Angry
[Heute 14:12] Wizz21 : Aus meinem Mund wird über den Hopp nie wieder etwas schlechtes kommen
[Heute 00:05] Wizz21: np: Joey's Freiheit - Ohne dich (geh kackn!) <- k
Antworten
#11
die tuneup utilities sind schon serioes, benutz ich seit jahren. hab die aktuelle version auch drauf, allerdings nicht die datei da oben. wird wohl kein orginales group release gewesen sein Smile
GIMME FUE GIMME FAH GIMME DABUJABUZA
Antworten
#12
So..hab mal ein wenig getestet, anscheinend wurde da rumgefummelt.

Kann nur empfehlen, das Tools von <a href='http://www.tuneup.de/files/TU2004TrialDE.exe' target='_blank'>http://www.tuneup.de/files/TU2004TrialDE.exe</a>
zu saugen.

Edit:

Die File ist anscheinend ein Trojaner.

Wenn ihr die File
C:WINNTsystem32mspatchsec.exe

und folgenden Reg-Eintrag in der Registry findet:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Microsoft Windows Security Patch"="C:WINNTsystem32mspatchsec.exe"

solltet ihr misstrauisch werden Pfeif
[Heute 14:12] Wizz21 : Aus meinem Mund wird über den Hopp nie wieder etwas schlechtes kommen
[Heute 00:05] Wizz21: np: Joey's Freiheit - Ohne dich (geh kackn!) <- k
Antworten
#13
TuneUp Utilities benutz ich auch schon ewig, sowas hoer ich aber nun zum ersten Mal. Gleich mal nachgeschaut, zum Glueck existiert diese Datei auf meinem Rechner nicht...
Antworten
#14
Mittlerweile erkenne auch McAfee und Norton Antivirus diesen Trojaner...

Ich muss echt einer der 1. "Glueckspilze" gewesen sein Motz
[Heute 14:12] Wizz21 : Aus meinem Mund wird über den Hopp nie wieder etwas schlechtes kommen
[Heute 00:05] Wizz21: np: Joey's Freiheit - Ohne dich (geh kackn!) <- k
Antworten


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 3 Gast/Gäste