Virus in "ch32.exe"?
 

Hi,

Ich hab hier einen PC mit WindowsXP SP2.

Norton 9.05.15 findet in unreglmäßigen abständen (aber täglich) eine ch32.exe in C:\Dokumente und Einstellungen/%Username%/ und darin einen "Trojan.Dropper".
Dies passiert wie gesagt unregelmäßig...wahrscheinlich muss man aber im Internet sein (freenet) damit es "klappt".
Leider ist nicht herauszufinden wann genau die Datei von wem erstellt wird.
Auf dem restlichen PC ist kein Virus zu finden.

Event. könnte es mit "Home Cash Light" zusammenhängen.... könnte wohlgemerkt :)

ansonsten gibt es relativ wenig anhaltspunkte.
es gab auch mal folgende fehlermeldung bei der benutzung von home cash light:

Hat vielleicht irgendjemand einen anhaltspunkt was da los sein könnte?

Re: Virus in "ch32.exe"?
 

Ein Dropper hängt ja eine Datei an eine andere an. Vermutlich wird der sogenante Stub temporär im von dir genannten Verzeichniss gespeichert und "Home Cash Light" könnte mit dem eigentlichen Virus verseucht sein.

Re: Virus in "ch32.exe"?
 

Bei meiner Mom ist och sowas ähnliches ... in unregelmäßigen Abständen meint die FireWall daß da ein Prozess auf das INet zugreifen will, und unterbindet das ... keine 10 Sekunden später meint die FireWall, daß der erstellte Eintrag (für das Sperren dieses Zugriffs) gelöscht wird, weil die Datei nicht mehr da sei. (nett ist daran, daß daher die FW jedesmal nachfragt, was sie machen soll, weil der Einrag ja jedesmal gemlöscht wird) ... ich hab leider nur vergessen wie diese Datei heißt -.-''

Re: Virus in "ch32.exe"?
 

Schlecht ist jedoch, dass ihr immernoch infiziert seid und überhaupt nicht wisst was es macht und ob dieser Virus es nicht doch schafft ins Internet zu verbinden.

http://www.microsoft.com/technet/com...mt/sm0504.mspx

Re: Virus in "ch32.exe"?
 

Also daß er es nicht schaft weiß ich (spätestens der Router macht dicht und laut dessen Übertragungsstats geht da nichts rein/raus) ... hatte es aber auch nur ein/zwei mal selbst erlebt
und ich glaub der Dateiname klang wie eine der Windowsdateien (was ja nicht gestört hätte, aber daß die danach immer gleich wieder verschwindet? und diese FreeWareFireWall zeigt auch nur den Dateinamen an, jedenfalls in den Popups und der Liste bin ich halt nicht schnell genug drin, bevor der Eintrag wieder weg ist)

Und der VierenScanner (AntiVir) hat nichts gefunden.

Re: Virus in "ch32.exe"?
 

Das sagt so gut wie überhaupt nichts.
Nächstesmal Dateinamen merken und danach googlen. Und auf weitere Symptome und Merkwürdigkeiten achten -> Dann selber abwägen, ob man lieber kein Risiko eingehen möchte und formatiert oder ob es einem relativ egal ist.(keine wichtigen Daten auf dem Rechner)

Man sollte sich glücklich schätzen, dass die meiste Malware und die meisten Viren sich durch schludriges Programmieren noch zu erkennen gibt.

Warum die meisten Virenscannern nichts entdecken? Programmiert mit Delphi mal ein Prog, dass im Hintergrund läuft und keystrokes aufnimmt oder mal hier mal da was löscht, programme beendent...Wird nicht erkannt...
So gut wie JEDER schafft soetwas zu programmieren und kann sie auch verbreiten (Email, P2P)

Die Techniken damit so eine Malware unentdeckt bleibt kann man sich hier ganz einfach auf dem Board ersuchen. JA, man kann sich hier ohne viel Delphi-Wissen allein durch Code-Schnippsel, die es hier so gibt, etwas basteln.

Re: Virus in "ch32.exe"?
 

Und warum wird dann mein Keyboard-Hook von meinem LuckieSpy von jedem Virenscanner erkannt?

Re: Virus in "ch32.exe"?
 

Also das ist ja alles sehr schön und lehrreich was ihr da schreibt...

hat denn einer eine idee wie ich in diesem konkreten fall den evtl. vorhanden virus finden und entfernen könnte?

Re: Virus in "ch32.exe"?
 

System neu aufsetzen oder sauberes Image zurückspielen.

Re: Virus in "ch32.exe"?
 

sorry luckie, aber da ist mir tatsächlich ein *LOL* rausgerutscht^^

das is der PC von meinem Opa...da gibts kein Image ;)

neu aufsetzen wäre echt ne idee...aber der hat da sonst wieviele programme drauf...bildbearbeitung und spiele....ka ob ich die jemals wieder zusammenkrieg...weil einfach wieder draufkopieren wäre ja eher suboptimal :)

Re: Virus in "ch32.exe"?
 

Und jetzt kennst du den Grund, warum es eins geben sollte, auch wenn es der Rechner von deinem Opa ist.

Re: Virus in "ch32.exe"?
 

moin,

ich habe da schon eine Vorahnung.
Versuch mal mit dem "GData AntiVirenKit" den Bösewicht zu finden, ich habe grade gestern noch eine Setup-Datei gefunden, in denen Ploedware enthalten war.

Am besten, indem du ein neues System auf einer anderen Partition als auf der jetzigen Systempartition aufsetzt, so könntest du vielleicht noch Daten retten.

Direktlink: http://www.gdata.de/trade/productview/542/3/

Re: Virus in "ch32.exe"?
 

Ich gebe zu, es gibt einige AV-Progs mit Heuristiken, die soetwas finden. Die sind mit Phantasie leicht zu umgehen. Dagegen produzieren sie öfters einen Fehlalarm. (Fehler 2.Art (falsche Hypothese wird beibehalten -> Nichtvirus wird als Virus erkannt))

Aber braucht man einen Virenscanner überhaupt, wenn man

...auf dem aktuellen Patchlevel ist?
...seine Dienste nach Bedürfnissen konfiguriert?
...mit eingeschränkten Benutzerrechten arbeitet?
...Software Restriction Poilicies einrichtet?

Hat man durch den Virenscanner nicht den Nachteil, dass sie

...meistens viele Fehler 1. und 2. Art produzieren? (1: Virus wird nicht erkannt, 2: freundliches Programm wird als Virus erkannt)
...Systemressourcen verbrauchen
...Angriffsfläche bieten? (AV-Progs müssten mit LOCAL-SYSTEM-Rechten arbeiten um ihre Arbeit auszuführen. -> z.B.: Shatter Attack)
...dem Nutzer eine falsche Sicherheitvorgaukeln.

Irgendwie glaube ich, dass nur welche, die auf Warez/crack und anderen zwielichtigen Seiten surfen oder kostenlose Progrämmchen und Spielchen aus einem P2P-Netzwerk laden ( :mrgreen: ), einen Virenscanner ZUSÄTZLICH GEBRAUCHEN KÖNNTEN, sich jedoch durch die Umstände auf sehr dünnem Eis bewegen.

Aber ist jedem seine Entscheidung :angel:

Re: Virus in "ch32.exe"?
 

Moin Neotracer,

für unnütz halte ich einen Virenscanner nicht.
Ich lasse den zwar nicht ständig mitlaufen, aber nach einem Download wird geprüft.
Auch einer seriösen Seite kann schliesslich etwas untergeschoben werden.

Um sich über Dateien zu informieren kann man, z.B., http://www.processlibrary.com/ benutzen.
Ch32.exe ist dort allerdings auch nicht bekannt.

Re: Virus in "ch32.exe"?
 

Einverstanden.
Wenn man sich so zusätzlich absichern möchte kann man das gerne tun.
Man sollte allerdings im Hinterkopf behalten, dass nicht alles erkannt werden kann und sich darüber klar sein ob man der Quelle des Downloads vertrauen kann. Die anderen Sicherheitsmaßnamen (s.o) können dadurch natürlich auf keinen Fall ersetzt werden.
Virenscanner sollten auch nicht dazu benutzt werden post infectio den PC von Viren zu säubern. Das geht schief. Schlimmstenfalls beseitigt man nur die Symptome, doch der Virus läuft fröhlich weiter.

Re: Virus in "ch32.exe"?
 

@Neotracer64: http://www.heise.de/security/news/fo...forum_id=98622
Wann hast du das letzte mal etwas von einer vertrauenswürdigen Seite runtergeladen? ;)