|
Plagegeister aller Art und deren Bekämpfung: secmonitor.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.08.2006, 11:09 | #1 |
| secmonitor.exe Hallo zusammen, mir ist folgendes aufgefallen: seit heute meckert beim Windows start die Firewall: -- Microsoft Windows Operating System is trying to access the Internet. Application: secmonitor.exe Destination IP: 0.0.0.0NS -- Ich werfe einen Blick in den Taskmanager und tatsächlich ist da ein secmonitor.exe prozess. Genaueres zur Datei: c:\windows\system32\secmonitor.exe versteckt, schreibgeschützt Size: 197 KB (202.240 Bytes) Verion 6.0.1.2 Copyright: (c) Microsoft Corporation. All rights reserved. Wenn ich nach secmonitor.exe google, finde ich nichts (!!!). Jemand ne Idee, was das sein könnte? EDIT: Gerade fällt mir noch auf, dass in c:\windows\prefetch noch eine Datei namens SECMONITOR.EXE-19A3FE08.pf liegt. Danke im Voraus. |
07.08.2006, 11:33 | #2 |
| secmonitor.exe mOIn flop,
__________________lade die Datei doch mal hier http://virusscan.jotti.org/de/ oder http://www.virustotal.com/en/indexf.html hier hoch (kann in beiden Fällen etwas dauern) und poste die Ergebnisse auch wenn "nix" gefunden wurde MFG |
07.08.2006, 11:47 | #3 |
| secmonitor.exe Hmm danke, die URLs merk ich mir.
__________________von jotti: (*kommentar von mir*) -- Treffer: Datei: 000_secmonitor.exe (*hab die vorsichtshalber umbenannt*) Auslastung: 0% 100% Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH AntiVir Heuristic/Malware.FKM gefunden (mögliche Variante) ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus (*den benutz ich*) Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 probably a variant of IRC/SdBot gefunden (mögliche Variante) Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden -- und von virustotal.com: -- AntiVir 6.35.1.0 08.07.2006 HEUR/Malware.FKM Authentium 4.93.8 08.06.2006 no virus found Avast 4.7.844.0 08.04.2006 Win32:Small-AUG AVG 386 08.05.2006 no virus found BitDefender 7.2 08.07.2006 no virus found CAT-QuickHeal 8.00 08.07.2006 (Suspicious) - DNAScan ClamAV devel-20060426 08.06.2006 no virus found DrWeb 4.33 08.07.2006 no virus found eTrust-InoculateIT 23.72.88 08.06.2006 no virus found eTrust-Vet 12.6.2328 08.07.2006 no virus found Ewido 4.0 08.07.2006 no virus found Fortinet 2.77.0.0 08.07.2006 no virus found F-Prot 3.16f 08.06.2006 no virus found F-Prot4 4.2.1.29 08.06.2006 W32/Backdoor.gen Ikarus 0.2.65.0 08.07.2006 no virus found Kaspersky 4.0.2.24 08.07.2006 no virus found McAfee 4822 08.04.2006 no virus found Microsoft 1.1508 08.04.2006 no virus found NOD32v2 1.1694 08.05.2006 probably a variant of IRC/SdBot Norman 5.90.23 08.04.2006 no virus found Panda 9.0.0.4 08.06.2006 no virus found Sophos 4.08.0 08.07.2006 no virus found Symantec 8.0 08.07.2006 no virus found TheHacker 5.9.8.187 08.07.2006 no virus found UNA 1.83 08.04.2006 no virus found VBA32 3.11.0 08.07.2006 no virus found VirusBuster 4.3.7:9 08.06.2006 no virus found -- Alles in allem bin ich doch baff, wie wenige Scanner das ding erkennen..... Egal, jetzt weis ich bescheid |
09.08.2006, 10:47 | #4 |
| secmonitor.exe Hi, bei mir ist dieser Prozess auch schon seit ein paar Tagen aktiv ... Ich hatte bemerkt, dass meine i-net verbindung ungewöhnlich langsam wurde. Grund dafür ist die secmonitor.exe. Dieses "ding" (?) verursacht bei mir einen permanenten Upload ins nirgendwo ... ( habe momentan keine firewall ) Mein Problem ist jetzt, dass ich es einfach nicht wegbekomme. Wenn ich den Prozess im Taskmanager beende, startet es sich einfach neu und ist innerhalb von sekunden wieder da. Selbst das Löschen der "secmonitor.exe" und der "SECMONITOR.EXE-19A3FE08.pf" haben nicht geholfen. ( die exe ist weg und trozdem wird der Prozess immer wieder ausgeführt ) Weiss jemand ein Programm, mit dem ich das wegbekomme ? |
03.09.2006, 17:22 | #5 |
| secmonitor.exe Die Datei stammt von Microsoft. Bei mir ist sie auch zu fnden. Dazu noch "Servicemon.exe" und "sv.exe". Was versteckt sich dahinter ? Wolf |
03.09.2006, 17:34 | #6 | ||
Moderator, a.D. | secmonitor.exeZitat:
Zitat:
Wenn es zutrifft: Siehe "Backdoor entfernen" in der Signatur. Das gleiche empfehle ich auch für die secmonitor.exe. Wenn du es erst noch langwierig verifizieren willst: Siehe Anleitung "escan" in der Signatur. Gruß Yopie |
03.09.2006, 20:48 | #7 |
| secmonitor.exe Hier ist das Ergebnis eines Virusscan: Jottis Malwarescan 2.99-TRANSITION_TO_3.00-R1 Datei, die hochgeladen und gescannt werden soll: Dienst Datei: secmonitor.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Heuristic/Crypted gefunden (mögliche Variante) ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus IRC/BackDoor.SdBot2.FRD gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Backdoor.Win32.SdBot.qg gefunden NOD32 Keine Viren gefunden Norman Virus Control W32/SDBot.AGVL gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Powered by Disclaimer Durch das Hochladen von Dateien auf diesen Server stimmen Sie zu, dass ihre Dateien lokal gespeichert werden. Ferner: Dieser Dienst ist keineswegs hundertprozentig sicher. Falls der Scanner ein 'OK' gibt, bedeutet das nicht notwendigerweise, dass die Datei sauber ist. Es könnte ein völlig neuer Virus auf freiem Fuß sein! Verlassen Sie sich niemals auf ein einzelnes Produkt alleine, selbst auf diesen Dienst nicht, obwohl er mehrere Produkte einsetzt. Für Schäden, die durch diesen nichtkommerziellen Online-Dienst verursacht wurden, bin ich daher nicht verantwortlich, noch kann ich dafür verantwortlich gemacht werden. Ich bin mir auch über die Folgen einer Einrichtung wie dieser im klaren. Ich bin mir sicher, dass diese ganze Geschichte keinesfalls wissenschaftlich korrekt ist, da dies ein vollautomatischer Dienst ist (obwohl eine manuelle Korrektur möglich ist). Ich bin mir zum Beispiel bewußt, dass "False Positives" (ein Fehlalarm, bei dem eine saubere Datei irrtümlich als Virus detektiert wird) auftreten könnten, trotz der Anstrengungen, diesen proaktiv zu begegnen. Ich halte das nicht für eine große Sache, also schicken Sie mir bitte keine Emails über solche Vorkommnisse. Dies ist ein einfacher Onlinescanner, und nicht die Universität von Magdeburg. Die Virensignaturen werden jede Stunde aktualisiert. Das Dateigrößenlimit beträgt 15 MB pro Datei. DIE MISSBRÄUCHLICHE NUTZUNG DIESES DIENSTES (EINSCHLIESSLICH DES HOCHLADENS ABSICHTLICH MODIFIZIERTER -GEPACKTER/VERSCHLÜSSELTER/BYTESWAPPED- VERSIONEN DER GLEICHEN DATEI) HAT ZUR FOLGE, DASS IHRE IP GESPERRT WIRD. Bitte fordern Sie keine dieser Viren an, wenn Sie nicht für Hersteller von Anti-Viren-Software arbeiten. Viren sind nicht zum Tauschen da. Das Scannen kann eine Weile dauern, da mehrere Scanner benutzt werden. Zudem nutzen einige Scanner eine sehr hohe Heuristikstufe (was zeitaufwendig ist). Die benutzten Scanner sind Linuxversionen, und es können sich (oder auch nicht) Unterschiede zu Windowsscannern ergeben. Noch eine Anmerkung: manche Scanner detektieren nur einen Virus, wenn Archive mit mehreren Malwaredateien gescannt werden. Gefördert durch Spenden (in willkürlicher Reihenfolge) von: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, und einigen Leuten, die es vorziehen, anonym zu bleiben... Vielen Dank an alle! Statistik Zuletzt gefundene Malware war certificado.scr, gefunden von: Scanner Name der Malware AntiVir Trojan/Spy.Agent.EM.117 ArcaVir Trojan.Spy.Agent.Em Avast Win32:Agent-PT AVG Antivirus PSW.Agent.BRO BitDefender Trojan.Spy.Agent.EM ClamAV X Dr.Web Trojan.DownLoader.6321 F-Prot Antivirus W32/Trojan.GME Fortinet Spy/Agent!0594 Kaspersky Anti-Virus Trojan-Spy.Win32.Agent.em NOD32 probably a variant of Win32/Spy.Agent.CH Norman Virus Control W32/Agent.ADFV UNA X VirusBuster X VBA32 Trojan-Spy.Win32.Agent.em Es steht Ihnen frei, diese automatisch generierten, ungültigen Statistiken (falsch) zu interpretieren. Für Vergleichstests von Anti-Viren Software, besuchen Sie AV comparatives. Häufig gestellte Fragen (FAQ) - Feedback/Kommentare/Fragen/Fehlalarme (bitte ausschließlich auf Englisch) Copyright (C) Jordi Bosveld 2004-2005 Deutsche Übersetzung von |
03.09.2006, 20:53 | #8 |
Moderator, a.D. | secmonitor.exe Du hast unnötigerweise die ganze Website gepostet. Die Ergebnisse hätten völlig gereicht. Kaspersky Anti-Virus Backdoor.Win32.SdBot.qg gefunden Backdoor --> siehe meine Signatur (wie schon zuvor angeraten!). Gruß Yopie |
03.09.2006, 21:11 | #9 |
| secmonitor.exe Sorry ! Kommt nicht wieder vor. |
Themen zu secmonitor.exe |
0 bytes, access, blick, bytes, datei, firewall, folge, folgendes, google, hallo zusammen, heute, inter, interne, meckert, namens, nichts, opera, prefetch, start, system, system32, taskma, taskmanager, windows, windows start, zusammen |