Beste allen,

Ik loop met een Windows (Std edition) server met IIS 6 draaiende tegen een proces inetsrv.exe aan.

Hoe kom ik daar tegen aan? De virusscanner gaf aan dat het bestand inetsrv.dll is besmet met "een variant van Win32/BotSpeedometer trojan".
Toen ben ik gaan kijken en zag ik onder Services ook een serices "Event Log Viewer" welke de executable inetsrv.exe aanroept (dir c:\windows\system32\).


Een Google actie op de naam inetsrv.exe of de beschrijving (Provides event log error messages issued by Windows-based programs and components to be viewed in Event Viewer. This service cannot be stopped.) levert niets zinnigs op. Behalve een andere trojaans paardje welke de startpage zou kunnen wijzigen van Internet Explorer maar register vermeldingen kan ik niet vinden op de server.

Als ik de service wil stoppen bij Services dan krijg ik de melding dat er een flink aantal afhankelijkheden zijn (waaronder IIS), dus stoppen doe ik ook nog niet direct...

Kan iemand van de experts mij vertellen wat het proces inetsrv.exe nou exact doet ? Tnx alvast !


GR. Niels

Toch leuk dat op een installatie van Windows 2003 geen bestanden 'inetsrv.dll en inetsrv.exe' horen te staan in de map 'c:\windows\system32\'. Dit is dus zeker niet goed.

Wanneer je naar deze map gaat en het bestand bekijkt via properties, wat staat er dan onder de map version? Wat is de creation data en modified date? Komt dit overeen met andere bestanden die wel van Microsoft zijn? Het lijkt mij dat dit geen systeem bestand is.

Je kan bij services uitzoeken wat alle dependencies zijn voor deze service. Hierna kun je in het register deze services aan passen om de dependencies te verwijderen.

Een iets snellere oplossing (alleen kan ik niet verzekeren of deze alle dependencies verwijderd) is je Windows CD te mounten (of in het laadje leggen) en het volgende commando in te voeren onder command prompt: sfc /scannow

Arjen,

Tnx voor je antwoord; zal het eens bekijken..

Maar met name de Event Log viewer (de inetsrv.exe) is erg vreemd.. nergens iets over te vinden op internet...

Ik ga je oplossing ff proberen zo.

Dag Niels,

Het is zo vreemd omdat het een niet bestaande service is. Probeer even wat ik net zei en je zult een stuk verder zijn. Het moet er iig niet op.

http://www.file.net/process/inetsrv.exe.html

ik zou zowiezow is ff een virusscanner en spyware scanner over je machine halen, kan nooit kwaad :)

@preserver...

Ja I know, al voor een 3de keer mee bezig :-)

Wanneer SFC /scannow is voltooid zonder melding dat het systeem opnieuw gestart dient te worden, zijn alle Mircrosoft Windows bestanden nog in originele staat. Nu dien je het virus / trojan te verwijderen (als dit niet is verholpen door SFC /scannow.

Eerst moet je weten welke services afhankelijk zijn van de onbekende service:
- Start run: services.msc
- Zoek de onbekende service op en kies properties
- Onder het tabblad 'dependecies' zie je in de onderste kolom welke services afhankelijk zijn van je onbekende service.
- Noteer deze voor de volgende fase

Nu gaan we de afhankelijkheden verwijderen van de services:
- Start run: regedit
- Blader naar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\
- Zoek één van de afhankelijke services en open de map (in regedit dus)
- Hier zie je de multi-string value 'DependsOnService'
- Open deze en kijk of er naast de onbekende service, nog meer services staan
- Wanneer alleen de onbekende service er staat kan je deze regel compleet verwijderen
-- Mochten er andere services bij staan, verwijder dan enkel de onbekende service
- Doe dit bij alle services die je hebt genoteerd

Nu heb je alle afhankelijk heden verwijderd en zal je de onbekende service moeten kunnen stoppen. Krijg je nog steeds de melding dat er afhankeleikheden zijn, restart dan alle services die je net bewerkt hebt en probeer het opnieuw.

Als alles goed is gegaan kun je de onbekende service verwijderen:
- Start run: regedit
- Blader naar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\
- Zoek de onbekende service en verwijder deze

Nu kan je rustig de bestanden die niet op je systeem horen, verwijderen.