Virus in "ch32.exe"?
 

Hi,

Ich hab hier einen PC mit WindowsXP SP2.

Norton 9.05.15 findet in unreglmäßigen abständen (aber täglich) eine ch32.exe in C:\Dokumente und Einstellungen/%Username%/ und darin einen "Trojan.Dropper".
Dies passiert wie gesagt unregelmäßig...wahrscheinlich muss man aber im Internet sein (freenet) damit es "klappt".
Leider ist nicht herauszufinden wann genau die Datei von wem erstellt wird.
Auf dem restlichen PC ist kein Virus zu finden.

Event. könnte es mit "Home Cash Light" zusammenhängen.... könnte wohlgemerkt :)

ansonsten gibt es relativ wenig anhaltspunkte.
es gab auch mal folgende fehlermeldung bei der benutzung von home cash light:

Hat vielleicht irgendjemand einen anhaltspunkt was da los sein könnte?

Re: Virus in "ch32.exe"?
 

Ein Dropper hängt ja eine Datei an eine andere an. Vermutlich wird der sogenante Stub temporär im von dir genannten Verzeichniss gespeichert und "Home Cash Light" könnte mit dem eigentlichen Virus verseucht sein.

Re: Virus in "ch32.exe"?
 

Bei meiner Mom ist och sowas ähnliches ... in unregelmäßigen Abständen meint die FireWall daß da ein Prozess auf das INet zugreifen will, und unterbindet das ... keine 10 Sekunden später meint die FireWall, daß der erstellte Eintrag (für das Sperren dieses Zugriffs) gelöscht wird, weil die Datei nicht mehr da sei. (nett ist daran, daß daher die FW jedesmal nachfragt, was sie machen soll, weil der Einrag ja jedesmal gemlöscht wird) ... ich hab leider nur vergessen wie diese Datei heißt -.-''

Re: Virus in "ch32.exe"?
 

Schlecht ist jedoch, dass ihr immernoch infiziert seid und überhaupt nicht wisst was es macht und ob dieser Virus es nicht doch schafft ins Internet zu verbinden.

http://www.microsoft.com/technet/com...mt/sm0504.mspx

Re: Virus in "ch32.exe"?
 

Also daß er es nicht schaft weiß ich (spätestens der Router macht dicht und laut dessen Übertragungsstats geht da nichts rein/raus) ... hatte es aber auch nur ein/zwei mal selbst erlebt
und ich glaub der Dateiname klang wie eine der Windowsdateien (was ja nicht gestört hätte, aber daß die danach immer gleich wieder verschwindet? und diese FreeWareFireWall zeigt auch nur den Dateinamen an, jedenfalls in den Popups und der Liste bin ich halt nicht schnell genug drin, bevor der Eintrag wieder weg ist)

Und der VierenScanner (AntiVir) hat nichts gefunden.

Re: Virus in "ch32.exe"?
 

Das sagt so gut wie überhaupt nichts.
Nächstesmal Dateinamen merken und danach googlen. Und auf weitere Symptome und Merkwürdigkeiten achten -> Dann selber abwägen, ob man lieber kein Risiko eingehen möchte und formatiert oder ob es einem relativ egal ist.(keine wichtigen Daten auf dem Rechner)

Man sollte sich glücklich schätzen, dass die meiste Malware und die meisten Viren sich durch schludriges Programmieren noch zu erkennen gibt.

Warum die meisten Virenscannern nichts entdecken? Programmiert mit Delphi mal ein Prog, dass im Hintergrund läuft und keystrokes aufnimmt oder mal hier mal da was löscht, programme beendent...Wird nicht erkannt...
So gut wie JEDER schafft soetwas zu programmieren und kann sie auch verbreiten (Email, P2P)

Die Techniken damit so eine Malware unentdeckt bleibt kann man sich hier ganz einfach auf dem Board ersuchen. JA, man kann sich hier ohne viel Delphi-Wissen allein durch Code-Schnippsel, die es hier so gibt, etwas basteln.

Re: Virus in "ch32.exe"?
 

Und warum wird dann mein Keyboard-Hook von meinem LuckieSpy von jedem Virenscanner erkannt?

Re: Virus in "ch32.exe"?
 

Also das ist ja alles sehr schön und lehrreich was ihr da schreibt...

hat denn einer eine idee wie ich in diesem konkreten fall den evtl. vorhanden virus finden und entfernen könnte?

Re: Virus in "ch32.exe"?
 

System neu aufsetzen oder sauberes Image zurückspielen.

Re: Virus in "ch32.exe"?
 

sorry luckie, aber da ist mir tatsächlich ein *LOL* rausgerutscht^^

das is der PC von meinem Opa...da gibts kein Image ;)

neu aufsetzen wäre echt ne idee...aber der hat da sonst wieviele programme drauf...bildbearbeitung und spiele....ka ob ich die jemals wieder zusammenkrieg...weil einfach wieder draufkopieren wäre ja eher suboptimal :)