| |
| Was bringt der 3D-Druck in der Elektronik?, eine Pressemitteilung
|
Autor
|
Thema: Update.exe - Wer steckt dahinter? (14988 mal gelesen)
|
Doc Snyder Ehrenmitglied V.I.P. h.c. Dr.-Ing. Maschinenbau, Entwicklung & Konstruktion von Spezialmaschinen
Beiträge: 13408 Registriert: 02.04.2004 Inventor
|
erstellt am: 01. Aug. 2006 21:46 <-- editieren / zitieren --> Unities abgeben:
Moin! Ich bekomme seit etwa einer Woche täglich mindestens einmal die Meldung wie gezeigt, was vorher nie vorkam. Ich lehne diese Anfrage dann ab. Ich habe daher gleich einen Komplettscan laufen lassen, wobei zwei Dateien namens recife.exe mit dem Trojan-Dropper.Win32.VB.nn Virus gefunden und gelöscht worden sind. Die Meldungen wie abgebildet treten aber weiter auf. Leider habe ich noch nicht herausfinden können, ob und inwiefern das miteinander zu tun haben kann, und was da überhaupt los ist. Einerseits finde ich Texte, in denen update.exe als regulärer Windows-Bestandteil beschrieben wird, andererseits soll es aber auch einen Wurm geben, der so auftritt. Die dazu als Indiz genannten Dateien und Regeinträge habe ich jedoch noch nicht gefunden, was aber nichts heißt, denn so genau kenn ich mich da auch nicht aus. Kennt sich da jemand besser aus und kann mir bitte helfen? Gruß Roland ------------------ www.Das-Entwicklungsbuero.de Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
ralfm Ehrenmitglied V.I.P. h.c. Elektrozeichner
Beiträge: 5603 Registriert: 21.08.2003
|
erstellt am: 01. Aug. 2006 22:08 <-- editieren / zitieren --> Unities abgeben: Nur für Doc Snyder
Hallo, mein f-secure meldet beim Rechnerstart alle Verbindungsversuche an und ich kann sie dann zulassen oder nicht. Zumindest wird angezeigt, welches Programm die Verbindung starten will. Bekommst Du mehr infos, wenn Du auf Details gehst? ------------------ Grüße Ralf Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Langenhorst Mitglied Konstrukteur/Bauzeichner
Beiträge: 307 Registriert: 21.02.2003 CAD-Programme: Autodesk ACA2011 Revit Architecture Suite 2011 Strakon/S 2009
|
erstellt am: 01. Aug. 2006 22:08 <-- editieren / zitieren --> Unities abgeben: Nur für Doc Snyder
Moin Roland, besser kenne ich mich mit diesem Trojaner auch nicht aus. Was bekommst du denn angezeigt, wenn du bei dem F-Secure-Meldungsfenster auf "Details" klickst? Kannst du dadurch heraus finden, von welchem Programm aus die Update.exe gestartet werden soll? Um die lästigen Abfragen zu umgehen, solltest du die Update.exe in F-Secure auf die Blockierliste setzen. Wenn dieses nämlich ohne erkennbaren Zusammenhang mit einem anderen Programm gestartet wird, würde ich auf jeden Fall mal auf einen Virus tippen. Am besten wäre es natürlich, wenn du dein System mal von einer CD bootest und deine Festplatte dann noch einmal scannen lässt - notfalls mit einem anderen Antivirenprogramm. Falls sich etwas in dein Windows eingeschlichen hat, kannst du dieses unter Umständen nicht desinfizieren, weil ggfs. die betroffenen Dateien nach dem Booten von der Festplatte in Benutzung sind. Viel Erfolg und schöne Grüße, Michael ------------------ Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Doc Snyder Ehrenmitglied V.I.P. h.c. Dr.-Ing. Maschinenbau, Entwicklung & Konstruktion von Spezialmaschinen
Beiträge: 13408 Registriert: 02.04.2004
|
erstellt am: 01. Aug. 2006 22:14 <-- editieren / zitieren --> Unities abgeben:
|
Doc Snyder Ehrenmitglied V.I.P. h.c. Dr.-Ing. Maschinenbau, Entwicklung & Konstruktion von Spezialmaschinen
Beiträge: 13408 Registriert: 02.04.2004 Inventor
|
erstellt am: 02. Aug. 2006 01:04 <-- editieren / zitieren --> Unities abgeben:
Da, da wars wieder. Es scheint 1x pro Rechnerstart und dann mit einer Verzögerung von etwa einer Stunde zu kommen. Also hier ein Bild mit den Details. Was haltet Ihr davon? [Weitere Forschung meinerseits: Dieser genannte Ordner, in dem sich ansonsten nur noch die Datei services.dll befindet (beide Dateien vom 5.7.2006), wurde am 25.7.2006 1:11 angelegt bzw. geändert. 10 Minuten vorher habe ich mich in einem Forum von so Mobiltelefonfreaks angemeldet. Diesem Forum ( http://www.usp-forum.de/community/board/index.php?showtopic=10711 ) misstraue ich etwas, denn da kommen mit IE immer so eigenartige Fehlermeldungen (Laufzeitfehler ... jpg). Die kommen mit Firefox nicht , aber Fehlermeldung ist Fehlermeldung. So ganz sauber kann das also nicht sein. Aber es kann natürlich auch Zufall sein. Möglicherweise ist es auch falscher Alarm, denn ich habe weiter auf Symptome aus der Symatec Beschreibung zum Thema geprüft und nicht eins davon vorgefunden. Aber das sonderbare Zeugs aus den Details sieht irgendwie gar nicht seriös aus. ] ------------------ www.Das-Entwicklungsbuero.de [Diese Nachricht wurde von Doc Snyder am 02. Aug. 2006 editiert.] Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
U_Suess Ehrenmitglied V.I.P. h.c. CAD-Admin / manchmal Konstrukteur
Beiträge: 10679 Registriert: 14.11.2001 Pro/E 2001 mit NC WV: 2003441 Windows XP (SP1)
|
erstellt am: 02. Aug. 2006 07:56 <-- editieren / zitieren --> Unities abgeben: Nur für Doc Snyder
|
Doc Snyder Ehrenmitglied V.I.P. h.c. Dr.-Ing. Maschinenbau, Entwicklung & Konstruktion von Spezialmaschinen
Beiträge: 13408 Registriert: 02.04.2004
|
erstellt am: 02. Aug. 2006 08:28 <-- editieren / zitieren --> Unities abgeben:
Hallo Udo, wenig, denn danach gesucht habe ich ja schon, und sehr viel gelesen. Es ist immer noch die Frage, ob sich hier eine gutartige oder eine bösartige Form von update.exe zeigt. Kann natürlich sein, dass die zum gleichen Termin (allerdings etliche Stunden vorher) ebenfalls neu installierte Telefon-Synchronisier-Software auf diesem Weg nach Updates sucht. Aber warum befindet sich das Programm in einem Ordner mit einem dermaßen absonderlichen Namen? Ich finde insgesamt drei ganz verschiedene update.exe auf dem Rechner. Der Virenscanner findet in der verdächtigen Datei "keine Malware". Aber was heißt das schon? Das Programm kann ja von ganz woanders aufgerufen werden und dann werweißwelche Variablen mitbekommen. Die Telefon-Synchronisier-Software steht jedenfalls ganz woanders und ist auch zu einem ganz anderen Zeitpunkt installiert worden. Und zu dem fraglichen Zeitpunkt habe ich nichts willentlich installiert. Ich ändere jetzt einfach mal den Namen der verdächtigten Datei; das sollte dazu führen, dass ein Aufruf einen Fehler nach sich ziehen wird, den ich dann vielleicht gemeldet bekomme. Oder? Ich hoffe sehr auf weiteren fachlichen Beistand, denn mir fehlt das wirkliche Wissen dazu und ich stochere hier bloß im Nebel herum. Gruß Roland ------------------ www.Das-Entwicklungsbuero.de Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
ole Mitglied Schlossherr, sie schrieben's bei der Ausbildung nur ständig verkehrt
Beiträge: 486 Registriert: 02.08.2002 Kein Plan, kein System - trotzdem wichtig: Zum testen mit und für zauberhaft! z-Fanclub
|
erstellt am: 02. Aug. 2006 09:46 <-- editieren / zitieren --> Unities abgeben: Nur für Doc Snyder
|
JPietsch Ehrenmitglied V.I.P. h.c. Administrator PDMLink
Beiträge: 5611 Registriert: 12.09.2002
|
erstellt am: 09. Aug. 2006 12:12 <-- editieren / zitieren --> Unities abgeben: Nur für Doc Snyder
|
Doc Snyder Ehrenmitglied V.I.P. h.c. Dr.-Ing. Maschinenbau, Entwicklung & Konstruktion von Spezialmaschinen
Beiträge: 13408 Registriert: 02.04.2004 Inventor
|
erstellt am: 09. Aug. 2006 19:40 <-- editieren / zitieren --> Unities abgeben:
Hallo J., sicherlich ist das so, aber in der Praxis bleibt mir als Einzelkämpfer keine Zeit für die 100%-Lösung. Ich bin ja schon froh, wenn ich neben dem täglichen Dazulernen (um es mal posvitiv auszudrücken) in Sachen CAD, Betriebssystem und Nutzdatenorganisation überhaupt noch zum Arbeiten komme. So muss ich mit dem Risiko leben. In natura bin ich auch voller Krankheitserreger, aber solange die sich nicht weiter vermehren, fühle ich mich gut dabei. Gruß Roland P.S.: Außerdem ist nicht klar, ob und wie das System tatsächlich kompromittiert war oder ist. Es war nur diese sonderbare Meldung, die übrigens in den letzten Tagen wiederum nicht mehr aufgetaucht ist. ------------------ www.Das-Entwicklungsbuero.de [Diese Nachricht wurde von Doc Snyder am 09. Aug. 2006 editiert.] Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
JPietsch Ehrenmitglied V.I.P. h.c. Administrator PDMLink
Beiträge: 5611 Registriert: 12.09.2002
|
erstellt am: 10. Aug. 2006 05:05 <-- editieren / zitieren --> Unities abgeben: Nur für Doc Snyder
Zitat: Original erstellt von Doc Snyder:
sicherlich ist das so, aber in der Praxis bleibt mir als Einzelkämpfer keine Zeit für die 100%-Lösung.
Das ist Deine Entscheidung. Dir muß klar sein, daß dann auch das folgende Szenario im Bereich des Möglichen liegt: http://oschad.de/wiki/index.php/Virenscanner Zitat:
P.S.: Außerdem ist nicht klar, ob und wie das System tatsächlich kompromittiert war oder ist.
Wenn auf dem System bei einem Virenscann ein eindeutig bekannter Trojaner gefunden wurde, mußt Du davon ausgehen, daß es das ist. Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |