bla.exe ??? Trojaner??? Hilfe!!!
 

Hallo,
also ich glaube das ich mir einen Trojaner eingefangen habe den ich jetzt nicht mehr loswerde :-(
ich hab auf meiner festplatte eine anwendung bla.exe (c:\bla.exe die datei heist wirklich so). seit gestern abend hat mich meine firewall gefragt ob ich diese datei zulassen will,das hab ich natürlich nicht gemacht und sie in der firewall geblockt. wenn ich die datei lösche kommt sie nach einen neustart wieder. :-( habe schon temponäre internet dateien gelöscht, nortonAV erkennt die nicht.
hab über google mal gesucht aber wegen dem komischen dateinamen wenig infos rausbekommen, nur bei einigen ergebnissen stand was von einen trojaner.
habe auch mal in die regestry nachgeschaut kann da aber nix finden (zumindest weiß ich net was ich suchen soll). über port-scan.de hab ich mal gescant alle ports waren gott sei dank geschlossen.
ich hab die .exe datei auch nicht ausgeführt, nur wie werde ich sie los?? hoffe es kann mir einer von euch mehr dazu sagen was es damit auf sich hat.
gruss bianka

Hallo Bianka,


Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Wenn du nicht den Boot Log Analyzer installiert hast, dürfte es sich wohl leider um eine Gaobot-Variante handeln:

http://securityresponse.symantec.com...gaobot.ae.html

Gibt es diese Dateien bei dir evtl. auch:

Scvhost.exe
WincfgM32.exe
Winhlpp32.exe

Erstelle auf jeden Fall mal ein Log und teste die Datei hier: http://virusscan.jotti.org/de

Die bla.exe hatte ich eben auch, konnt sie aber löschen!
Es ist der "trojan.Downloader". Am besten du löschst die bla.exe, dann die ganzen Internet Cache, Verlauf und Cookies. Und lade das neuste Update für deinen VirenScanner.

Hallo,

hab seit gestern auch diese bla.exe Datei auf meinem Rechner. Nachdem ich die Datei gelöscht habe ist sie nun wieder da. :schrei:

Habe genau das gleiche Problem, Antivir meldet mir nichts aber ich habe die Datei mal bei Kaspersky gegengeprüft....

Kaspersky sagt folgendes:
bla.exe - infected by Trojan-Downloader.Win32.Small.aaq

Folgende Dateien sind nicht vorhanden:
Scvhost.exe
WincfgM32.exe
Winhlpp32.exe

GreetZ Shady

MOMENT !

Ich habe hier einen Testrechner auf dem garantiert keine Mail geöffnet wurde.

Auch hier bla.exe.

Wo kommt das Teil her ?

vwkgspaw.exe in WINNT

KAV nennt das Backdoor.Win32.Agent.ec

Domino

Also, bei mir wurde angezeigt das die bla.exe über das Port 4949 läuft. ich benutze auch AntiVir, wobei das normal immer sehr zuferlässig ist und alles findet bei ständigen Updates. Bei Google lässt sich auch nichts gescheites finden über diese Datei - Scheint aber auch eine Anwendung zu geben mit diesem Namen!?

Richtig.

Aber wie kommt er auf ein voll gepatchtes System ?


Domino

Das frag ich mich auch.

Hallo Leute,

habe genau dasselbe Problem!!!

Auf www.virustotal.com kann man die Datei hochladen. Man bekommt eine Analyse.... diese hat mich aber auch nciht viel weiter gebracht!! Wie wird man den Müll los und vor allem: wo ist die Sicherheitslücke????

Mein Norton AntiVirus erkennt das Teil nicht....toll!

Grüße

Martin

Schau mal hier.



Domino

Das habe ich schon gesehen, bringt mich aber auch nicht weiter!! Warum erkennt Norton AntiVirus 2004 den Virus nicht, obwohl ich aktuelle Virendefinitionen habe? Habe auch in der Registry nachgesehen (wie in der Symantec Anleitung beschrieben) aber dort die entspr. Einträge NICHT gefunden!! :-(

Hab jetzt mal meinen Computer nach bla.exe durchsucht und noch einen Eintrag namens BLA.EXE-06EA102B.pf im Ordner C:\Windows\Prefetch gefunden.

Symantec-Submit: AVSubmit@symantec.com
Bitte auch: partytime-germany.ice@web.de

Danke!

das hat mir einer im giga.de forum als antwort geschrieben,ist das so richtig weiß das einer?

AW: bla.exe ??? Trojaner??? Hilfe!!!

--------------------------------------------------------------------------------

Update dein Norton nochmals vollständig.

Danach die Systemwiederherstellung deaktivieren & dann im abgesicherten Modus den PC neu hochfahren: http://www.systemwiederherstellung-d...indows-xp.html

Einen vollständigen Scan deines System mit Norton machen und dann alles was mit "W32.HLLW.Gaobot.AE." gefunden wird löschen (andere Viren auch!).

Danach gehst du über STart --> Ausführen --> regedit in die Registry, wo du NUR folgendes tust:

Den Schlüssel

>> HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\Curr entVersion\Run <<

(ohne die Pfeile) suchen und im rechten Fenster des Registry-Editors folgenden Wert löschen:

>> "Config Loader"="scvhost.exe" <<

Nun suchst du folgenden Schlüssel:

>> HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\Curr entVersion\
RunServices <<

und im rechten Fenster löschst du folgenden Wert:

>> "Config Loader"="scvhost.exe" <<

Den Registry-Editor wieder schließen und den PC neustarten (im normalen Modus, siehe Anleitung oben.)