kostenloser Webspace werbefrei: lima-city


winsfdx.exe Virus?

lima-cityForumHeim-PCSoftware

  1. Autor dieses Themas

    ploco

    Kostenloser Webspace von ploco

    ploco hat kostenlosen Webspace.

    Hallo LCs,
    ich war gerade dabei meine Autostarteinträge (mit Ashampoo WinOptimizer 5) zu überprüfen, als ich diesen Eintrag gefunden habe:
    Windfx                                  c:\windows\system32\winsfdx.exe

    Er war unter der Kategorie "Registrierdatenbank -> Aktueller Benutzer, Sektion "Run"" vorzufinden.
    Sieben Hinweise machten mich nun darauf aufmerksam, dass es sich bei diesem Programm um Mal- bzw. Spyware handeln könnte:
    1. Im Gegensatz zu allen anderen Einträgen wird der Pfad klein geschrieben; alle anderen sind groß geschrieben.
    2. Die Datei ist mit dem normalen Explorer nicht aufzufinden.
    3. Der Ordner ("Windfx") unterscheidet sich im Namen von der "winsfdx.exe".
    4. Es ist weder eine Beschreibung, noch eine Version oder Copyright angegeben.
    5. Nach einem Klick auf "Eigenschaften" kommt folgende Meldung:
    "C:\WINDOWS\STSTEM32\WINSFDX.EXE" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang.

    6. Beim Zocken kam es öfters vor, dass sich das Spiel ohne einen Hinweis einfach minimiert hat und mich auf den Desktop "zurückgeworfen" hat. Dies wurde in anderen Foren öfters als Hinweis für Malware gedeutet. Dieser Fehler trat zuerst vor einigen Tagen auf.
    7. Diese Meldung gab mir dann zu verstehen, dass es sich um einen Keylogger handeln soll.

    Nun ist es aber so, dass im Internet auch oft sehr viel Mist steht und ich mich nochmal versichern wollte, ob man diese Malware, wenn sie auffindbar sein sollte (ggf. mit Linux), ohne Probleme entfernen und aus dem Autostart nehmen kann?
    Ich bin für jede Hilfe dankbar.
    Grüße Ploco:nosmile:
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. r***e

    Ist die Datei vielleicht versteckt?
    Die Datei ist für diese Zock-Minimation verantwortlich. Die muss weg.
    Hetz dein Anti-Vir mal auf die Datei.
  4. Autor dieses Themas

    ploco

    Kostenloser Webspace von ploco

    ploco hat kostenlosen Webspace.

    Hallo ratle,
    ich habe die Funktion "Alle Dateien und Ordner anzeigen" standardmäßig aktiviert und die Datei war leider nicht auffindbar.
    Schön das du auch der Meinung bist, dass die Datei weg muss :wink:, jedoch kann ich die Datei nicht scannen oder shreddern bzw. vernichten, da ich sie nicht sehe. Ich lass nochmal alle meine Scanner drüber laufen.

    Grüße Ploco:nosmile:

    Beitrag zuletzt geändert: 10.4.2010 16:46:06 von ploco
  5. Versuche mal die Datei Manuell aufzuspüren. Alle Ordner und Systemdateien sichtbar machen und ab zu dem Pfad in der die Datei zu finden sein soll. Dann die datei mal bei Virustotal hochladen und hier das ergebnis posten. Ansonten empfehle ich dir als Privatanwender Avira Free Anti Virus, bisher die beste und kostenloseste Anwendung im Netz.

    Lg
    EpSys
  6. r***e

    epsys schrieb:
    Versuche mal die Datei Manuell aufzuspüren. Alle Ordner und Systemdateien sichtbar machen und ab zu dem Pfad in der die Datei zu finden sein soll. Dann die datei mal bei Virustotal hochladen und hier das ergebnis posten. Ansonten empfehle ich dir als Privatanwender Avira Free Anti Virus, bisher die beste und kostenloseste Anwendung im Netz.

    Lg
    EpSys

    Das ist nicht nötig: http://forum.holy-war.de/49/wbb/index.php?page=Thread&threadID=18079
  7. Ich bin ich erstaunt! Ich hätte wirklich nicht gedacht dass, das so einfach zu umgehen ist.. Laut Chip Online und der Computer Bild ist Avira das effektivste Programm! Mein Gott.. würde mal zu gerne wissen was solchen Leuten durch den Kopf geht die sich die Arbeit machen. Online Banking funktioniert zumal nur mit Tan Nummern. Naja gut.. Paypal, Moneybookers etc. aber wer lädt da sofort sein ganzes Geld drauf?. Echt der reine wahnsinn.


    Lg
    EpSys
  8. Autor dieses Themas

    ploco

    Kostenloser Webspace von ploco

    ploco hat kostenlosen Webspace.

    epsys schrieb: Versuche mal die Datei Manuell aufzuspüren. Alle Ordner und Systemdateien sichtbar machen und ab zu dem Pfad in der die Datei zu finden sein soll. Dann die datei mal bei Virustotal hochladen und hier das ergebnis posten. Ansonten empfehle ich dir als Privatanwender Avira Free Anti Virus, bisher die beste und kostenloseste Anwendung im Netz.

    Lg
    EpSys

    Wie bereits oben erwähnt, ist die Datei nicht aufzuspüren. Ich persönliche halte Avira Free Antivirus für Schrott und benutze COMODO Internet Security. Dieses Tool hat bei mir wesentlich mehr gefunden als Avira.

    Die Durchsuchung des "Windows" Ordners ergab mit folgenden Tools kein brauchbares Ergebnis:
    - Comodo Internet Security (160089 Dateien geprüft -> nichts gefunden)
    - A-Squared Free (läuft gerade noch -> noch nichts gefunden)
    - Spybot (auch nichts)

    Habe mir mal Hijack This geholt und die Auswertung hat folgendes ergeben:
    O4 - HKCU\..\Run: [Windfx] c:\windows\system32\winsfdx.exe

    Nicht bekanntes Programm.

    Also auch Hijack This weiß nicht, um was es sich bei diesem Programm handelt.:nosmile:

    Wie in diesem Forum beschrieben, werde ich mir mal AVG zulegen und das System reinigen, doch zuvor möchte ich mich versichern, dass das Entfernen der Datei keine Schäden hat; ihr werdet es dann spätestens von mir erfahren, welche Folgen dieses Tool hat:wink:.

    Grüße Ploco:nosmile:
  9. r***e

    Du könntest mal mit Linux booten, und die Datei so löschen.#
    Hier kannst du dir so ein System downloaden.
  10. s*******i

    Du brauchst nicht noch mehr Virenscanner loszujagen. Lad die Datei auf VirusTotal.com/de/ hoch und es passt!:wink: Da wird die Datei von praktisch allen wichtigen Scannern gecheckt.

    Du kannst auch den PC neustarten und dann Threatfire drüberjagen. Das Tool ist soziemlich der beste verhaltensbasierte Scanner. Gut möglich, dass er die Datei im Gegensatz zu den anderen Scannern entdeckt.

    Am sichersten ist es wenn du ein Backup deiner persönlichen Daten erstellst und dann das System neu aufsetzt - das ist zwar umständlich aber dann ist der Virus sicher weg. :wink:
  11. schorschi schrieb:
    Du brauchst nicht noch mehr Virenscanner loszujagen. Lad die Datei auf VirusTotal.com/de/ hoch und es passt!:wink: Da wird die Datei von praktisch allen wichtigen Scannern gecheckt.

    Du kannst auch den PC neustarten und dann Threatfire drüberjagen. Das Tool ist soziemlich der beste verhaltensbasierte Scanner. Gut möglich, dass er die Datei im Gegensatz zu den anderen Scannern entdeckt.

    Am sichersten ist es wenn du ein Backup deiner persönlichen Daten erstellst und dann das System neu aufsetzt - das ist zwar umständlich aber dann ist der Virus sicher weg. :wink:


    wenn du sie nicht finden kannst:

    Such mal mit q-dir(http://www.chip.de/downloads/Q-Dir_38039660.html) und wenn du sie auch dann nicht siest, benutz mal autoruns(http://technet.microsoft.com/de-de/sysinternals/bb963902.aspx) und nimm sie aus dem autostart

    schau dann mal ob sie noch im winexplorer auftaucht, wenn nicht passts wenn schon, dann:
    - daten sichern auf externer platte
    - hdd formatieren
    - win neu installieren
  12. Autor dieses Themas

    ploco

    Kostenloser Webspace von ploco

    ploco hat kostenlosen Webspace.

    Hallo,
    wer sich dafür interessiert, was mit diesem Virus nun los war.
    Der Virus ist keineswegs auffinbar, weder mit einem Scanner, noch über Linux oder sonstige Betriebssysteme. Ich gehe nun davon aus, dass der Autostarteintrag nur noch die "Überreste" des Virus waren, da dieser evtl. bereits von meinem Antivir beseitigt wurde (ohne das ich ewt. davon mitbekommen habe). Eine andere Möglichkei wäre, dass der Virus nicht wirklich in meinem System war, sondern nur den Eintrag angelegt hat und sich dann nicht ausgeführt hat, da es sich vllt. um eine Art "Beta" des Virus gehandelt hat.
    Tatsache ist, dass der Virus keine schädlichen Fehler hinterlassen hat und wahrscheinlich auch keine PWs oder Co. geholt hat, wobei man sich da fast nie sicher sein kann.

    Grüße Ploco:wave:

    P.S.: Problem geklärt; kann geclosed werden.
  13. t********g

    Du glaubst also das dir keine Passwörter etc. mitgeloggt wurden? Kannst du das zu 100% sagen? Ich denk eher nicht.

    Zudem findet man schon in den ersten 5 Suchergebnissen was: ThreatExpert's Statistics for Trojan.Win32.Scar und Gefährlicher Keylogger

    Weiß ja nicht wo du gesucht hast, aber die Aussagen sind eindeutig. Da hilft nur alle Passwörter zu ändern. Aber erst nachdem die Festplatte komplett formatiert und Windows neu aufgespielt wurde, alles andere ist wirkungslos.

    Lesestoff, auch wenn ich ihn schon etliche Male gepostet habe:
    - Erklärungen & How To's, Rund um das Thema Sicherheit
    - Microsoft: Säubern eines gefährdeten Systems
    - Der "Link-Block"
    - CCC Video zu (Un)Sicheres Windows am Heim-PC
    - CCC Video zu Personal Firewalls
  14. Habe das teil selber mal drauf gehabt zum glück nicht mehr.Ich kann tid nur recht geben wirklich sicher sein kann man sich nie.
    Format C hat geholfen.XD

    @tid-gaming
    ist das nun ein Trojaner oder ein Keylogger ?
    habe den link geguckt aber verstehe das nicht so ganz :(
    kannst du mir das erklären plz
    "ThreatExpert's Statistics for Trojan.Win32.Scar"

    dodo strebi
  15. t********g

    @strebi3: Es ist wohl ein Trojaner der Daten mitlogt. Oder einfach gesagt- es ist Malware ;)
  16. blackdrrragon

    Kostenloser Webspace von blackdrrragon

    blackdrrragon hat kostenlosen Webspace.

    Probier es mal so:

    1. Öffne den "Task-Manager"
    2. Suche die Datei heraus
    3. Dann beende den Prozess
    4. Warte kurz ab (Gegebenfalls schließe den "Task-Manager" und öffne ihn wieder)
    5. Schau, ob die Datei zufällig von alleine startete
    6. Wenn ja ist es meist eine Spyware oder ähnliches
  17. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!