Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: secmonitor.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.08.2006, 11:09   #1
flop
 
secmonitor.exe - Standard

secmonitor.exe



Hallo zusammen,
mir ist folgendes aufgefallen:
seit heute meckert beim Windows start die Firewall:
--
Microsoft Windows Operating System is trying to access the Internet.
Application: secmonitor.exe
Destination IP: 0.0.0.0NS
--

Ich werfe einen Blick in den Taskmanager und tatsächlich ist da ein secmonitor.exe prozess.

Genaueres zur Datei:
c:\windows\system32\secmonitor.exe
versteckt, schreibgeschützt
Size: 197 KB (202.240 Bytes)
Verion 6.0.1.2
Copyright: (c) Microsoft Corporation. All rights reserved.

Wenn ich nach secmonitor.exe google, finde ich nichts (!!!).

Jemand ne Idee, was das sein könnte?

EDIT:
Gerade fällt mir noch auf, dass in c:\windows\prefetch noch eine Datei namens SECMONITOR.EXE-19A3FE08.pf liegt.

Danke im Voraus.

Alt 07.08.2006, 11:33   #2
nochdigger
 
secmonitor.exe - Standard

secmonitor.exe



mOIn flop,
lade die Datei doch mal hier
http://virusscan.jotti.org/de/
oder
http://www.virustotal.com/en/indexf.html
hier hoch (kann in beiden Fällen etwas dauern) und poste die Ergebnisse auch wenn "nix" gefunden wurde
MFG
__________________


Alt 07.08.2006, 11:47   #3
flop
 
secmonitor.exe - Standard

secmonitor.exe



Hmm danke, die URLs merk ich mir.

von jotti: (*kommentar von mir*)
--
Treffer:
Datei: 000_secmonitor.exe (*hab die vorsichtshalber umbenannt*)
Auslastung:
0% 100%
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH

AntiVir
Heuristic/Malware.FKM gefunden (mögliche Variante)
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus (*den benutz ich*)
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
probably a variant of IRC/SdBot gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
--



und von virustotal.com:
--
AntiVir 6.35.1.0 08.07.2006 HEUR/Malware.FKM
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 Win32:Small-AUG
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.07.2006 no virus found
CAT-QuickHeal 8.00 08.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.06.2006 no virus found
DrWeb 4.33 08.07.2006 no virus found
eTrust-InoculateIT 23.72.88 08.06.2006 no virus found
eTrust-Vet 12.6.2328 08.07.2006 no virus found
Ewido 4.0 08.07.2006 no virus found
Fortinet 2.77.0.0 08.07.2006 no virus found
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 W32/Backdoor.gen
Ikarus 0.2.65.0 08.07.2006 no virus found
Kaspersky 4.0.2.24 08.07.2006 no virus found
McAfee 4822 08.04.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 probably a variant of IRC/SdBot
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.06.2006 no virus found
Sophos 4.08.0 08.07.2006 no virus found
Symantec 8.0 08.07.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.07.2006 no virus found
VirusBuster 4.3.7:9 08.06.2006 no virus found
--

Alles in allem bin ich doch baff, wie wenige Scanner das ding erkennen.....
Egal, jetzt weis ich bescheid
__________________

Alt 09.08.2006, 10:47   #4
Chixx
 
secmonitor.exe - Standard

secmonitor.exe



Hi,

bei mir ist dieser Prozess auch schon seit ein paar Tagen aktiv ...

Ich hatte bemerkt, dass meine i-net verbindung ungewöhnlich langsam wurde. Grund dafür ist die secmonitor.exe.
Dieses "ding" (?) verursacht bei mir einen permanenten Upload ins nirgendwo ... ( habe momentan keine firewall )


Mein Problem ist jetzt, dass ich es einfach nicht wegbekomme. Wenn ich den Prozess im Taskmanager beende, startet es sich einfach neu und ist innerhalb von sekunden wieder da. Selbst das Löschen der "secmonitor.exe" und der "SECMONITOR.EXE-19A3FE08.pf" haben nicht geholfen. ( die exe ist weg und trozdem wird der Prozess immer wieder ausgeführt )

Weiss jemand ein Programm, mit dem ich das wegbekomme ?

Alt 03.09.2006, 17:22   #5
wolfi
 
secmonitor.exe - Daumen runter

secmonitor.exe



Die Datei stammt von Microsoft.

Bei mir ist sie auch zu fnden.

Dazu noch "Servicemon.exe" und "sv.exe".

Was versteckt sich dahinter ?

Wolf

__________________
Von mir bereut:
http://www.vermessung-schink.de

Alt 03.09.2006, 17:34   #6
Yopie
Moderator, a.D.
 
secmonitor.exe - Standard

secmonitor.exe



Zitat:
Zitat von wolfi
Die Datei stammt von Microsoft.
Vermutung oder Wissen?

Zitat:
Dazu noch "Servicemon.exe" und "sv.exe".
Was versteckt sich dahinter ?
Möglicherweise http://www.sophos.de/security/analys...tilebotgh.html und http://www.sophos.de/security/analys...jhacdefab.html

Wenn es zutrifft: Siehe "Backdoor entfernen" in der Signatur. Das gleiche empfehle ich auch für die secmonitor.exe.

Wenn du es erst noch langwierig verifizieren willst: Siehe Anleitung "escan" in der Signatur.

Gruß
Yopie

Alt 03.09.2006, 20:48   #7
wolfi
 
secmonitor.exe - Standard

secmonitor.exe



Hier ist das Ergebnis eines Virusscan:

Jottis Malwarescan 2.99-TRANSITION_TO_3.00-R1

Datei, die hochgeladen und gescannt werden soll:
Dienst
Datei: secmonitor.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Heuristic/Crypted gefunden (mögliche Variante)
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus IRC/BackDoor.SdBot2.FRD gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.SdBot.qg gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/SDBot.AGVL gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Powered by

Disclaimer
Durch das Hochladen von Dateien auf diesen Server stimmen Sie zu, dass ihre Dateien lokal gespeichert werden.

Ferner: Dieser Dienst ist keineswegs hundertprozentig sicher. Falls der Scanner ein 'OK' gibt, bedeutet das nicht notwendigerweise, dass die Datei sauber ist. Es könnte ein völlig neuer Virus auf freiem Fuß sein! Verlassen Sie sich niemals auf ein einzelnes Produkt alleine, selbst auf diesen Dienst nicht, obwohl er mehrere Produkte einsetzt. Für Schäden, die durch diesen nichtkommerziellen Online-Dienst verursacht wurden, bin ich daher nicht verantwortlich, noch kann ich dafür verantwortlich gemacht werden.

Ich bin mir auch über die Folgen einer Einrichtung wie dieser im klaren. Ich bin mir sicher, dass diese ganze Geschichte keinesfalls wissenschaftlich korrekt ist, da dies ein vollautomatischer Dienst ist (obwohl eine manuelle Korrektur möglich ist). Ich bin mir zum Beispiel bewußt, dass "False Positives" (ein Fehlalarm, bei dem eine saubere Datei irrtümlich als Virus detektiert wird) auftreten könnten, trotz der Anstrengungen, diesen proaktiv zu begegnen. Ich halte das nicht für eine große Sache, also schicken Sie mir bitte keine Emails über solche Vorkommnisse. Dies ist ein einfacher Onlinescanner, und nicht die Universität von Magdeburg.

Die Virensignaturen werden jede Stunde aktualisiert. Das Dateigrößenlimit beträgt 15 MB pro Datei.
DIE MISSBRÄUCHLICHE NUTZUNG DIESES DIENSTES (EINSCHLIESSLICH DES HOCHLADENS ABSICHTLICH MODIFIZIERTER -GEPACKTER/VERSCHLÜSSELTER/BYTESWAPPED- VERSIONEN DER GLEICHEN DATEI) HAT ZUR FOLGE, DASS IHRE IP GESPERRT WIRD.

Bitte fordern Sie keine dieser Viren an, wenn Sie nicht für Hersteller von Anti-Viren-Software arbeiten. Viren sind nicht zum Tauschen da.

Das Scannen kann eine Weile dauern, da mehrere Scanner benutzt werden. Zudem nutzen einige Scanner eine sehr hohe Heuristikstufe (was zeitaufwendig ist). Die benutzten Scanner sind Linuxversionen, und es können sich (oder auch nicht) Unterschiede zu Windowsscannern ergeben. Noch eine Anmerkung: manche Scanner detektieren nur einen Virus, wenn Archive mit mehreren Malwaredateien gescannt werden.

Gefördert durch Spenden (in willkürlicher Reihenfolge) von: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, und einigen Leuten, die es vorziehen, anonym zu bleiben... Vielen Dank an alle!

Statistik
Zuletzt gefundene Malware war certificado.scr, gefunden von:

Scanner Name der Malware
AntiVir Trojan/Spy.Agent.EM.117
ArcaVir Trojan.Spy.Agent.Em
Avast Win32:Agent-PT
AVG Antivirus PSW.Agent.BRO
BitDefender Trojan.Spy.Agent.EM
ClamAV X
Dr.Web Trojan.DownLoader.6321
F-Prot Antivirus W32/Trojan.GME
Fortinet Spy/Agent!0594
Kaspersky Anti-Virus Trojan-Spy.Win32.Agent.em
NOD32 probably a variant of Win32/Spy.Agent.CH
Norman Virus Control W32/Agent.ADFV
UNA X
VirusBuster X
VBA32 Trojan-Spy.Win32.Agent.em


Es steht Ihnen frei, diese automatisch generierten, ungültigen Statistiken (falsch) zu interpretieren. Für Vergleichstests von Anti-Viren Software, besuchen Sie AV comparatives.



Häufig gestellte Fragen (FAQ) - Feedback/Kommentare/Fragen/Fehlalarme (bitte ausschließlich auf Englisch)




Copyright (C) Jordi Bosveld 2004-2005

Deutsche Übersetzung von
__________________
Von mir bereut:
http://www.vermessung-schink.de

Alt 03.09.2006, 20:53   #8
Yopie
Moderator, a.D.
 
secmonitor.exe - Standard

secmonitor.exe



Du hast unnötigerweise die ganze Website gepostet. Die Ergebnisse hätten völlig gereicht.

Kaspersky Anti-Virus Backdoor.Win32.SdBot.qg gefunden

Backdoor --> siehe meine Signatur (wie schon zuvor angeraten!).

Gruß
Yopie

Alt 03.09.2006, 21:11   #9
wolfi
 
secmonitor.exe - Standard

secmonitor.exe



Sorry !

Kommt nicht wieder vor.
__________________
Von mir bereut:
http://www.vermessung-schink.de

Antwort

Themen zu secmonitor.exe
0 bytes, access, blick, bytes, datei, firewall, folge, folgendes, google, hallo zusammen, heute, inter, interne, meckert, namens, nichts, opera, prefetch, start, system, system32, taskma, taskmanager, windows, windows start, zusammen




Zum Thema secmonitor.exe - Hallo zusammen, mir ist folgendes aufgefallen: seit heute meckert beim Windows start die Firewall: -- Microsoft Windows Operating System is trying to access the Internet. Application: secmonitor.exe Destination IP: 0.0.0.0 - secmonitor.exe...
Archiv
Du betrachtest: secmonitor.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.