Supportnet / Forum / WindowsME
welche funktion hat datei mprexe.exe für internetanbindung?
Frage
Halo Supportnetgemeinde,
habe im Rahmen offensichtlicher Trojanerprobleme (Twin.reg und OpaSof waren laut diversen Scannern entfernt, aber offensichtlich doch nicht) nun sporadisch Zugriffsversuch über C:\windows\system\MPREXE.exe (Microsoft Network Interface Service Service) und Winfaxfunktion WFXMSRVR.exe, obwohl ich für diese Dateien den Zugriff blockeirt habe.
Welche Funktion hat MPREXE.exe (Microsoft Network Interface Service) in Windows? Was bedeutet Microsoft Network Interface Service?Datei lässt sich nicht löschen - weil angeblich von Windows benutzt.
Danke für konstruktive threads.
spet
Antwort 1 von Mickey
Die MPREXE.exe File kannst du auch nicht löschen da sie ein aktiver, von Windows geladener Prozess ist.
Checke bei der Gelegenheit auch mal deine Datei-und Druckerfreigabe und die Bindung des Dienstes an das TCP/IP-Protokoll, wenn der noch angehakt ist dann nimm da mal den Haken raus.
Du musst zwischen der obigen Windows-Systemdatei MPREXE.exe und
und einer typischen Trojanerdatei wie folgt unterscheiden:
Es gibt Trojaner ( z.B.IE0199 ) die die MPREXE.dll ins Sytem registrieren und bei jedem Neutsart Online gehen wollen.
Je nach WindowsVersion hängt er sich in die Registry oder die SYSTEM.ini - "drivers=".
MPREXE.dll wird automatisch ausgeführt und erzeugt ( oder führt aus ) wiederrum die SNDVOL.exe. Dannach ist die MPREXE.dll nicht mehr aktiv.
Die SNDVOL.exe wiederrum ist die Datei, die ab jetzt automatisch und sporadisch einen Zugang zu Bulgarischen Servern sucht. Ansonsten passiert damit wenig.
Nachdem du dir momentan unsicher bist ob du alles losgeworden bist kannst du die Seite mal durchgehen - hier wird weiter unten dann auch genau auf diesen Fall eingegangen:
Trojan-Remove
Gruss,
Mic
Zitat:
MPREXE.EXE is a Microsoft file that allows Windows 9x to have more than one client and protocol. MPR stands for Multi Provider Router. Its primary function is to route incoming and outgoing packet between the adapter and different clients.
MPREXE.EXE is a Microsoft file that allows Windows 9x to have more than one client and protocol. MPR stands for Multi Provider Router. Its primary function is to route incoming and outgoing packet between the adapter and different clients.
Checke bei der Gelegenheit auch mal deine Datei-und Druckerfreigabe und die Bindung des Dienstes an das TCP/IP-Protokoll, wenn der noch angehakt ist dann nimm da mal den Haken raus.
Du musst zwischen der obigen Windows-Systemdatei MPREXE.exe und
und einer typischen Trojanerdatei wie folgt unterscheiden:
Es gibt Trojaner ( z.B.IE0199 ) die die MPREXE.dll ins Sytem registrieren und bei jedem Neutsart Online gehen wollen.
Je nach WindowsVersion hängt er sich in die Registry oder die SYSTEM.ini - "drivers=".
MPREXE.dll wird automatisch ausgeführt und erzeugt ( oder führt aus ) wiederrum die SNDVOL.exe. Dannach ist die MPREXE.dll nicht mehr aktiv.
Die SNDVOL.exe wiederrum ist die Datei, die ab jetzt automatisch und sporadisch einen Zugang zu Bulgarischen Servern sucht. Ansonsten passiert damit wenig.
Nachdem du dir momentan unsicher bist ob du alles losgeworden bist kannst du die Seite mal durchgehen - hier wird weiter unten dann auch genau auf diesen Fall eingegangen:
Trojan-Remove
Gruss,
Mic
Antwort 2 von spet
Danke Mic!
1. Trojan-remove habe ich ausgedruckt .... Abendlektüre!
2.
>Checke ... auch mal deine Datei-und Druckerfreigabe und die Bindung des Dienstes an das TCP/IP-Protokoll
Sorry - wo kann ich das prüfen. Durcker habe ich für mein internes Netzwerk mit Notebook freigegeben (eigenschaften> Freigabe), da steht aber nix von TCP/ICP. Dateifreigabe ....?
3.
Du musst... MPREXE.exe und....Trojanerdatei wie folgt unterscheiden:
......die die MPREXE.dll ins Sytem registrieren und ...Online gehen wollen.
....hängt er sich in die Registry oder die SYSTEM.ini - "drivers=". MPREXE.dll wird automatisch ausgeführt und erzeugt ( oder führt aus wiederrum die SNDVOL.exe. Dannach ist die MPREXE.dll nicht mehr aktiv.
> Überblicke Konsequenz momentan nicht. Erst ´Trojan Remove-Skript' durchackern oder.... kann ich schon direkt nach den o.g. *.exe-Dateien suchen. Was sit in SYSTEM.ini hinter "drivers=" eingetragen ?
Gruss
spet
stay tuned ...
1. Trojan-remove habe ich ausgedruckt .... Abendlektüre!
2.
>Checke ... auch mal deine Datei-und Druckerfreigabe und die Bindung des Dienstes an das TCP/IP-Protokoll
Sorry - wo kann ich das prüfen. Durcker habe ich für mein internes Netzwerk mit Notebook freigegeben (eigenschaften> Freigabe), da steht aber nix von TCP/ICP. Dateifreigabe ....?
3.
Du musst... MPREXE.exe und....Trojanerdatei wie folgt unterscheiden:
......die die MPREXE.dll ins Sytem registrieren und ...Online gehen wollen.
....hängt er sich in die Registry oder die SYSTEM.ini - "drivers=". MPREXE.dll wird automatisch ausgeführt und erzeugt ( oder führt aus wiederrum die SNDVOL.exe. Dannach ist die MPREXE.dll nicht mehr aktiv.
> Überblicke Konsequenz momentan nicht. Erst ´Trojan Remove-Skript' durchackern oder.... kann ich schon direkt nach den o.g. *.exe-Dateien suchen. Was sit in SYSTEM.ini hinter "drivers=" eingetragen ?
Gruss
spet
stay tuned ...
Antwort 3 von Mickey
1) Arbeitsplatz-Netzwerk und DFÜ-Verbindungen- deine DFÜ-Verbindung-Netzwerk...da den Haken raus
oder hier gucken
http://www.trojaner-info.de/sicherheit/betriebssystem/netzwerk/netz...
http://adsl-support0.de/lan/netbios-tipp.htm<-----sehr gut erklärt!
2) zur System.ini- nachdem du dir unsicher ob deiner Verbindungen bist geht es erstmal ums Prüfen. Mangels ME kann ich es nicht direkt nachvollziehen, daher noch eine gute Seite zum Ausdrucken.
Mittels dem Systemkonfigurations-Editor (sysedit) kannst du die Dateien win.ini, System.ini, config.sys, autoexec.bat und die protocol.ini direkt einsehen. Zum Starten des Systemkonfigurations-Editors unter Start-Ausführen sysedit eingeben und OK klicken.Überprüfe hier ob Freigaben existieren und die Zugriffsrechte auf diese Freigaben. Weiteres im Link.
3) Nachdem du über deine Firewall den Zugriff nach aussen blockiert hast würde ich mir keine zu grossen Sorgen machen. Auch über Anti-Trojan kannst du ( zusätzlich ) soweit ich weiss offene Ports sperren (Optionen-Close a Port-Start Plugin )- solltest du danach am Surfen gehindert werden kannst du entsprechende Einstellungen wieder rückgängig machen.
Gruss,
Mic
oder hier gucken
http://www.trojaner-info.de/sicherheit/betriebssystem/netzwerk/netz...
http://adsl-support0.de/lan/netbios-tipp.htm<-----sehr gut erklärt!
2) zur System.ini- nachdem du dir unsicher ob deiner Verbindungen bist geht es erstmal ums Prüfen. Mangels ME kann ich es nicht direkt nachvollziehen, daher noch eine gute Seite zum Ausdrucken.
Mittels dem Systemkonfigurations-Editor (sysedit) kannst du die Dateien win.ini, System.ini, config.sys, autoexec.bat und die protocol.ini direkt einsehen. Zum Starten des Systemkonfigurations-Editors unter Start-Ausführen sysedit eingeben und OK klicken.Überprüfe hier ob Freigaben existieren und die Zugriffsrechte auf diese Freigaben. Weiteres im Link.
3) Nachdem du über deine Firewall den Zugriff nach aussen blockiert hast würde ich mir keine zu grossen Sorgen machen. Auch über Anti-Trojan kannst du ( zusätzlich ) soweit ich weiss offene Ports sperren (Optionen-Close a Port-Start Plugin )- solltest du danach am Surfen gehindert werden kannst du entsprechende Einstellungen wieder rückgängig machen.
Gruss,
Mic
Antwort 4 von Mickey
Nochmal als Nachtrag:
deine MPREXE.exe (Microsoft Network Interface Service Service) und Winfaxfunktion WFXMSRVR.exe sind normale Windowsystemdateien !
Beide sind ausgelegt zum Zugriff nach aussen- eine Meldung deiner Firewall muss also keinen ungewöhnlichen Hintergrund haben.
Gruss,
Mic
deine MPREXE.exe (Microsoft Network Interface Service Service) und Winfaxfunktion WFXMSRVR.exe sind normale Windowsystemdateien !
Beide sind ausgelegt zum Zugriff nach aussen- eine Meldung deiner Firewall muss also keinen ungewöhnlichen Hintergrund haben.
Gruss,
Mic
Antwort 5 von spet
Danke, Mic!
Also so viel ist jetzt klar:
nach C:\netstat -a zeigt sich folgendes
Ports 1025 oder 1028 auf status Abhören
bei späterem Versuch
Ports 1289,1292.1294,1296,1298,1274
von Remote-Adress 127.0.01:1278
auf Status Abhören
weitere Schritte nach Skript 'des lachenden Banditen' kann ich derzeit nicht nachvollziehen, weil ich irgendwie keinen Zugriff auf Seite: http.\\ start.at\grst kriege, bzw. nirgends die LLVP-Tools WinTop,PrcView oder das TSB-WinRecovery downloaden kann.
spet
Also so viel ist jetzt klar:
nach C:\netstat -a zeigt sich folgendes
Ports 1025 oder 1028 auf status Abhören
bei späterem Versuch
Ports 1289,1292.1294,1296,1298,1274
von Remote-Adress 127.0.01:1278
auf Status Abhören
weitere Schritte nach Skript 'des lachenden Banditen' kann ich derzeit nicht nachvollziehen, weil ich irgendwie keinen Zugriff auf Seite: http.\\ start.at\grst kriege, bzw. nirgends die LLVP-Tools WinTop,PrcView oder das TSB-WinRecovery downloaden kann.
spet