Hallo,
die "Joke Programme dürften auch das kleinste Problem sein....
Das hier habe ich bei F-Secure gefunden
F-Secure Virendefinition: BAT.Ftp
Irrlicht

würde mir die seite gerne anschauen, da ist auch mein altes problem die seite öffnet sich nicht, fehlermeldung...wie bei sovielen seiten.woran liegt das?:

Fehler: Server nicht gefunden
Der Server unter F-Secure.de > F-Secure.de konnte nicht gefunden werden.
* Bitte überprüfen Sie die Adresse auf Tippfehler, wie
ww.beispiel.de statt
www.beispiel.de

* Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung.

* Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher,
dass Firefox auf das Internet zugreifen darf.

Hi,

ich zitiere mal aus der F-Secure Seite:

Zitat:

Der Trojaner Trojan-Downloader BAT.Ftp ist in der Regel ein Batch-Skript, das eine Verbindung zu einer FTP-Site herstellt (es nutzt dazu den Windows-FTP-Client), um eine oder mehrere Dateien herunterzuladen und sie auszuf�hren. Solche Trojaner werden h�ufig von Viren-/Wurmautoren genutzt, um auf bereits infizierten Computern sch�dliche Dateien zu aktualisieren bzw. um zus�tzliche Dateien hinzuzuf�gen.

Die Umlaute sind bei mir falsch angekommen, muss mich wogl mal wieeder mit Zeichencodierung beschäftigen.

Das passt überhaupt nicht zu reboot.exe. Hast Du auf deinem System mal den Smitfraudfix eingesetzt? Der enthält eine reboot.exe die er nach system32 kopiert und die der Escan genau mit der Meldung, die Du bekommen hast, versieht.

Welche Version Zonealarm hast Du auf deinem Rechner? Die aktuelle 7.337? Ich habe in der letzten Zeit diverse Fälle erlebt, in denen deren Deinstallation (die nicht einfach ist, Zonealarm ist extrem klebrig) schwere Probleme beseitigt hat. Dein Windows hat eine Firewall, die sehr gut funktioniert und keine Probleme macht.

nein dieses smithfraud habe ich noch nicht gemacht, hab ich diesen trojaner denn schon länger oder kann man das nicht sagen, was macht der?sich uploaden?ich weiß schon mich ausspionieren oder so? sitzt da einer hinterm rechner und sieht alles was ich tippe?
ich habe im moment die testversion von zonealarm pro, ich glaube das war ein fehler, diese blöde zonealarm ist eh voll der scheiß, kapiert man überhaupt nicht.was mir noch aufällt ist beim benutzerwechsel hat er am ende noch zlclient.exe beendet, was neu ist.

Hallo,
hat was für sich,Karl Karl....
Wird aber die Exe nicht auch im EScan mit Namen benannt ?
Die Fehlversuche F-Secure zu ereichen ?
Irrlicht

Der Name kann natürlich täuschen, aber es schien mir sehr wahrscheinlich, da ich das oft sehe. Dann lass die reboot.exe mal bei VirusTotal oder Jotti scannen und kopiere die Ergebnisse hierher. Wichtig: die zusätzlichen Daten wie Dateigröße, MD5, usw. ebenfalls.

ich habe gesehen ich habe diese datei schon seit 12.2.2005 ist ja voll lang, sollte ich alle passwörter ändern?was macht das ding auf meinem rechner der letzte zugriff war heute.virustotal-auswertung:

Antivirus

Version Update Result
AhnLab-V3 2007.5.10.0 05.11.2007 no virus found
AntiVir 7.4.0.15 05.13.2007 no virus found
Authentium 4.93.8 05.12.2007 no virus found
Avast 4.7.997.0 05.13.2007 no virus found
AVG 7.5.0.467 05.13.2007 no virus found
BitDefender 7.2 05.13.2007 no virus found
CAT-QuickHeal 9.00 05.12.2007 no virus found
ClamAV devel-20070416 05.13.2007 no virus found
DrWeb 4.33 05.13.2007 no virus found
eSafe 7.0.15.0 05.13.2007 no virus found
eTrust-Vet 30.7.3628 05.11.2007 no virus found
Ewido 4.0 05.13.2007 no virus found
FileAdvisor 1 05.13.2007 No threat detected
Fortinet 2.85.0.0 05.13.2007 no virus found
F-Prot 4.3.2.48 05.12.2007 no virus found
F-Secure 6.70.13030.0 05.11.2007 no virus found
Ikarus T3.1.1.7 05.13.2007 no virus found
Kaspersky 4.0.2.24 05.13.2007 no virus found
McAfee 5029 05.11.2007 no virus found
Microsoft 1.2503 05.13.2007 no virus found
NOD32v2 2262 05.12.2007 no virus found
Norman 5.80.02 05.11.2007 no virus found
Panda 9.0.0.4 05.13.2007 no virus found
Prevx1 V2 05.13.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.13.2007 no virus found
TheHacker 6.1.6.114 05.12.2007 no virus found
VBA32 3.12.0 05.13.2007 no virus found
VirusBuster 4.3.7:9 05.13.2007 no virus found
Webwasher-Gateway 6.0.1 05.13.2007 no virus found

Aditional Information
File size: 4405 bytes
MD5: 79eb06b91657a30fa4f21944ccad90d8
SHA1: 64b67908a1287fba34d363981d07a49b4db18647
Bit9 info: Bit9 FileAdvisor - Search Results

was sollte ich denn jetzt weiterhin machen?

Was für ein Computer ist das denn? ein Acer Notebook? Anhand der Daten des Onlinescans konnte ich orten, dass diese Datei Teil eines Acer Softwarepaketes "aac_support/server/diags/m5diag.exe" ist.

Wenn Du der Sache immer noch nicht traust:

Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus, schreibe als Titel "for karl". Kopiere auch eventuell schon vorhandene Scanresultate für die folgenden Dateien. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.

• C:\WINDOWS\system32\reboot.exe

Danach klicke auf "Post". Die hochgeladenen Dateien wirst Du dort nachher nicht sehen können, da nur Benutzer mit einer besonderen Erlaubnis sie sehen und runterladen können.

Die Datei ist sehr klein, sollte kein Problem sein, schnell zu ermitteln, was sie tut. Ich gehe stark davon aus, dass sie den Rechner neu startet

Noch eins: Nicht auch noch andere Foren damit beschäftigen. Das führt zur Vervielfachung der Arbeit für Freiwillige.

ja okay, alles klar, habs verstanden.
danke für die hilfe, die gut war, bis hierhin.

Ist wirklich ein Reboot Programm. Allerdings nicht das aus dem Smitfraudfix, sondern ein richtig antikes: Msdos 16 Bit Real Modus. Ich hab es ausprobiert: unter Windows überhaupt nicht lauffähig (da man dort nicht mehr direkt auf den Speicher zugreifen kann). Beim Anblick dieses Codes kamen richtig nostalgische Gefühle auf, mit Turbo C habe ich einst auch programmiert.

Die Escan Meldungen mit "offending" basieren auf dem Namen einer Datei oder eines Ordners. Da kommen mehr Fehlalarme bei raus als wirkliche Erkennungen.

Probleme wie Du sie mit dem Internet hast, habe ich in der letzten Zeit mehrfach erlebt. In einigen dieser Fälle hat sich Zonealarm als Ursache des Problems herausgestellt. Welche Version hast Du drauf?

ich habe zonealarm pro version 6.1.744.001, will es eh runtertun, wenn das so einfach wäre, wie ich hier schon lesen konnte.
ist die anleitung diesselbe wie bei zonealarmpro 3?(anleitung steht nämlich im forum)
was macht dieses reboot.exe, oder hat es mal was gemacht, wenn du sagst es ist sehr alt.?!

Code: Alles auswählenAufklappen

ATTFilter

; int __cdecl main(int argc,const char **argv,const char *envp)
_main proc near

var_8= dword ptr -8
var_4= dword ptr -4
argc= word ptr  4
argv= dword ptr  6
envp= dword ptr  0Ah

push    bp
mov     bp, sp
sub     sp, 8
mov     word ptr [bp+var_4+2], 0
mov     word ptr [bp+var_4], 472h
les     bx, [bp+var_4]
mov     word ptr es:[bx], 1234h
mov     word ptr [bp+var_8+2], 0FFFFh
mov     word ptr [bp+var_8], 0
call    [bp+var_8]
mov     sp, bp
pop     bp
retn
_main endp
         

Es schreibt erstmal den Wert 1234h in den Datenspeicher des Bios nach 0040:0072 (real mode Adresse). Dann startet es den Rechner neu durch direkten Aufruf des Bios in FFFF:0000. Das funktioniert unter Windows nicht mehr.

Da hast Du noch eine etwas ältere Version Zonealarm. Die mir bekannten Probleme beziehen sich auf die aktuelle 7.337. In diesem Fall solltest Du dich erstmal durch die Konfiguration der Firewall hindurcharbeiten ob da was verstellt ist. Nicht updaten, sogar die Gurus im Zonealarm Forum raten davon ab.

Die Anleitung kann ich nicht überprüfen. Ich hatte mal vor Jahren eine 5er Version. Als ich dann bemerkte, dass die andauernd verschlüsselte Daten von meinem Computer zu ihrem Hersteller übertrug war das loswerden etwas schwierig, habe sie von Hand aus dem Dateisystem und der Registry entfernt, da die normale Deinstallation dazu führte, dass danach mein Browser gehijackt wurde von einer Zonealarm-Seite mit weiteren Hinweisen deren Abarbeitung aber nichts mehr änderte. Formatieren und neu installieren wäre schneller gewesen

Okay, soll ich die Datei reboot.exe dann einfach löschen?
Ich hoffe das ist überhaupt möglich.Also ich hatte mal eine Zeit, ist schon über 1Jahr her, da hat sich mein Rechner immer einfach so gestartet, hatte dann auch ein Virus, den mir aber ein Bekannter gelöscht hat, das fällt mir beim Stichwort, einfach booten ein.Also einfach löschen und ignorieren???
Und sonst sieht mein Rechner soweit "sauber" aus?

Die reboot.exe ist sowieso nicht lauffähig, sie startet zwar, kann aber ihre vorgesehene Aufgabe nicht ausführen, jedenfalls nicht unter Windows, sonst hätte mein Rechner heute schon einige Neustarts gehabt. Also werden die Neustarts damals einen anderen Grund gehabt haben, da wurde ja bereits was unternommen.

Bei dem, was ich hier von deinem Rechner sehe, sehe ich keine Hinweise auf aktive Malware. Allerdings besteht eine gewisse Möglichkeit, dass da was sein könnte, was in den bisherigen Untersuchungen nicht sichtbar wird. 100% kann man nie garantieren bei so einer Onlineuntersuchung. Ich weiß noch nicht einmal ob das zu schaffen ist, wenn man den Computer vor sich stehen hat.

Ich hab hier noch zwei Links die neulich schon jemand anders geholfen haben, Zonealarm loszuwerden.
Link
Link