BHSV.exe

    Hay,
    bei uns in der Firma war bereits auf 2 Rechner eine recht seltsame Datei: BHSV.exe.
    Bei mir machte sich das dadurch bemerkbar, dass Office keine Datei mehr öffnen konnte ("Keine Rückmeldung", Prog musste abgeschossen werden), dass der Task Manager nicht mehr aufging und mein Server Laufwerk nicht mehr verfügbar war.
    Bei meinem Ausbilder hatte die Netzwerkkarte permanent Daten durchgegeben und die CPU war auf 100 %. Die Datei lässt sich auf der Platte nicht finden, dafür ist sie leicht über Start -> Ausführen -> msconfig -> Reiter Systemstart zu deaktivieren.

    Hat jemand ne Ahnung was das ist? Neuer Virus?

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>

    Nein, keine einzige Fehlermeldung, die Buchstaben sind richtig ja. tipvmz.exe ist auch noch son Ding...

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>

    Den Ordner habe ich nicht... aber hauptsächlich gehts mit um den BHSV Kram.
    Was meintest Du eig mit Diesem Spielen und Server aus Pakistan?

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>

    Ja google hat nichts ergeben...

    Und mit dem Bigfoot Dings... ich hab kP was das auf unseren Systemen macht... Hat da eig nix verlorn

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>

    Natürlich hab ich das so eingestellt, ganz doof bin ich ja nich *g* Aber AdAware, McAfee & Spybot findet auch nichts -.-"

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>

    moin,
    auf der suche nach hilfe, hab ich bei der tipvmz.exe, bei eingabe von vmz.exe diese seite gefunden.
    http://www.sophos.de/virusinfo/analyses/trojtkbota.html

    Unter Erklärung:

    Zitat

    Die Datei vmz.exe, die auch in dem Hauptordner installiert wird, enthält ein selbst entpackendes Archiv, das beim Ausführen den Ordner


    sieh zu, das du den wieder los wirst.

    Acer Aspire Quad Q9300 2,5 GHz
    HDD 750 GB
    Ram 4 GB
    Vista Home Prem. SP2 64-bit

    Wenn du Spybot hast dann schau doch damit mal in den Systemstart. Dort stehen die Pfade zu den Dateien dabei. Damit sollte es dir möglich sein die Datei zu finden. Dann mal umbenennen, neu booten und schauen obs Probleme gibt. Wenn nicht dann löschen. Dasselbe mit der tipvmz.exe.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    hi!
    habe das komische bhsv.exe a auf meinen rechner. ich kann aber alle dateien aufmachen. aber wenn das ding im hintergrund läuft komm ich nicht ins netz. wenn ich das teil dann in der task-steuerung zumache funktioniert wieder alles.
    mein virenscanner stuft das ding ebenfalls nicht als böse ein, aber ich glaube schon das das böse ist.
    das ding muss sich bei mir reingemogelt haben wie ich grad den rechner neu aufgestetzt hab. zumindest bin ich nicht allein auf dieser welt mit dem ding

    In der vergangenen nacht habe ich auf meinem 2. PC (W2K-Prof) einen autosurfer unbeaufsichtigt laufen lassen, und vermutlich ein virus hat ihn vorzeitig gestoppt.

    Hab dann den rechner mit dem frisch aktualisierten AVG getestet, hat Trojan Horse IRC/BackDoor SdBot.MYS C:\WINNT\System32\FireWall-Update1.exe gefunden und beseitigt (hab keine FW, auch kein netzwerk). Der rechner lief aber weiterhin lahm, dazu bekam ich ständig irgendwelche MSN-meldungen über fehlerhafte registry und dass ich mir irgendwo ne SW zum reparieren runterladen und installieren soll (Regclean hat keinen fehler gefunden). Also nochmals getestet, während dessen Notepad geöffnet und da kam AVG-alarm "Virus Detected - While opening file C:\WINNT\System32\NeroFilterCheck.EXE" - erfolgreich geheilt und kurz darauf fand der test Trojan Horse IRC/BackDoor SdBot.MYS C:\WINNT\System32\Syshost.exe. Doch der rechner lief immer noch wie auf der flucht im bösen traum, so updatete ich mir noch das Ad-Aware und machte auch diesen scan (off-line, telefonkabel ausgezogen) - fand ein paar Alexa-Dataminer in den registern und einige MRU-listen, also nichts gravierendes, trotzdem hatte ich das gelöscht, was freilich ziemlich erwartungsgemäss nicht zum erfolg führte. Danach sicherheitseinstellungen überprüft - war O.K., zumindest gleich wie beim anderen rechner (W98), wo ich ca. 12 std./tag im netz bin und keine solchen probs, dann noch das allerletzte AVG-update geholt, AVG-test anstatt "scan all infectable files" auf "scan all files" und den kompletten test gemacht (immer noch off-line), diesmal wurde er sauber gemeldet.

    Doch schneller ist er nicht geworden, der schon zuvor als die bremse identifizierte prozess BHSV.EXE war immer noch da (inzwischen habe ich immer wieder rebootet, wurde ihn dadurch aber nicht los). Es steht bei ihm der CPU-wert zwischen 80 und 90, die CPU selbst läuft auf 100%. Der BHSV bleibt bei diesem wert immer kaum länger als 5 s, dann geht er auf 0, aber gleichzeitig öffnet er sich mitm anderen PID-wert (was ist das eigentlich?) mit seinen 80 bis 90%, manchmal teilen sich diese 2 auch den CPU-wert und es sind nie mehr als 2 offen. Seine priorität ist auf "normal" gesetzt.

    Google: "BHSV" findet hunderte von solchen abkürzungen aller denkbaren bedeutungen, unter den ersten 10 ist aber ausser dem Bigfoot nichts annähernd relevantes, und mit dem kann ich im diesem zusammenhang nichts anfangen. "BHSV.exe" führt einzig auf umwegen zu diesem thread.

    Die datei selbst habe ich problemlos in C:\WINNT\System32\ gefunden, ihr datum/zeit entspricht fast genau dem moment, als der erwähnte autosurfer stehen geblieben sein muss. Der tip "umbenennen, neu starten und falls keine probs löschen" ist einleuchtend, das einzige problem ist, dass die datei als system-datei bezeichnet ist, ergo theoretisch könnten die folgen einer umbenennung unberechenbar sein, also dass man beim start u.u. gar nicht soweit kommt, um sie zurück umzubenennen. Falls das jemand schon probiert hat, würden sich wahrscheinlich alle betroffenen über das resultat des versuchs freuen. Das stoppen des prozesses ist wegen seinem doppelten auftreten erschwert - man muss ziemlich schnell sein - aber hilft für den moment.

    Ich fürchte, dass es sich hier um einen neuen trojaner handelt, der aus irgendeinem grund von den schädlingsbekämpfungs-SW-herstellern noch nicht wahrgenommen wurde. Wieso aber, da kann man nur darüber spekulieren, ob er vlt. eine ganz neue technologie benützt?

    Zitat von mik14

    Der tip "umbenennen, neu starten und falls keine probs löschen" ist einleuchtend, das einzige problem ist, dass die datei als system-datei bezeichnet ist, ergo theoretisch könnten die folgen einer umbenennung unberechenbar sein, also dass man beim start u.u. gar nicht soweit kommt, um sie zurück umzubenennen.


    Das wird durch deinen Text schon widerlegt. Du schreibst das Erstellungsdatum entspricht der Zeit als dein Autosurfer stehengeblieben ist. Mir ist kein Fall bekannt das sich Systemdateien grundlos und beliebig aus dem Internet nachladen. Auch über Windowsupdate wird keine bhsv.exe geladen sonst hätte ich sie auch auf dem Rechner. Also hemmungslos ausprobieren, die Meldung ist halt die Standard-Windowsmeldung beim Löschversuch von Dateien die sich in geschützten Windowsordnern befinden. Empfehle aber dringend die Datei mindestens zu kopieren und an diverse Hersteller von Antivirensoftware und Antispyware zu senden damit die sich damit beschäftigen können und wenigstens nachfolgende Betroffene geschützt werden können.
    Dir empfehle ich sowieso zu formatieren weil du verschiedene Schädlinge u.a. einen Backdoor auf dem Rechner hattest und niemand sicher sagen kann ob nicht tatsächlich Systemdateien so manipuliert wurden das immer noch Fremdzugriff besteht ohne das du etwas davon merkst.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Es ist ganz seltsam. Ich habe das mit dem umbenennen nicht ganz absichtlich gemacht (umbenannt und dann habe ich das vergessen und abgestellt) und anscheinend hat das nicht geschadet. Doch als ich wieder einen AVG-scan gemacht habe, wurde die umbenannte datei eindeutig als Trojan Horse IRC/BackDoor SdBot.OBD identifiziert. Sehe also 2 möglichkeiten: Entweder war er im letzten AVG-update, das ich heute vormitag gemacht habe, drin (finde eher weniger wahrscheinlich) oder aber versteht er sich unter seinem ursprünglichen namen vor einem antivirus-scanner zu tarnen. (N.b.: Ebenfalls habe ich alle einträge mit BHSV aus den registern gelöscht.)

    Zusätzlich sind aber andere dinge passiert. Ich habe gleich wie gestern den autosurfer laufen lassen, hat nach ungefähr der gleichen zeit gestoppt und das NeroFilterCheck.EXE war wieder drin. Wieder von AVG problemlos erkannt und "gheilt" - diese datei gelöscht, was er aber sonst unter dieser heilung versteht, ist mir schleierhaft, weil ganz neben daran im verzeichnis ist die datei nerofil.exe mit genau der gleichen zeitangabe, an der findet AVG aber nichts schlimmes und auch von hand kann daran nichts verändert werden, weil si vom system beansprucht wird. Weiter habe ich in den registern etwas vom nero40.exe gefunden und auch wieder das stichwort firewall (soviel ich weiss, W2K hat keine eigene und ich habe nie eine installiert, nur eben gestern war der virus mit FireWall-Update1.exe da. So weiss ich nicht, was ich da alles ruhig elliminieren darf, sofern das überhaupt geht und was bringt).

    Bezüglich neuformatierung habe ich grosse bedenken, weil ich das vor nicht allzulanger zeit gemacht habe und vom anfang an habe ich auf die sicherheit penibel geachtet - alle sicherheitseinstellungen von hand so restriktiv, dass man nur noch arbeiten kann, gesetzt, cookies individuell nur nach meiner weissen liste erlaubt, AVG mit letztem update am anderen sauberen PC auf CD gebrannt und off-line installiert, erst dann habe ich mich ins netz gewagt (AVG-resident shield selbstverständlich aktiviert), um als das erste alle Windows-updates runterzuladen und installieren. So ist mir völlig rätselhaft, wie die dinge in den rechner überhaupt gelangt sind.

    Zitat von hyrican

    Mir ist kein Fall bekannt das sich Systemdateien grundlos und beliebig aus dem Internet nachladen.

    Schon klar. Nur wenn sich ein virus ins system einbindet, weiss ich nicht, welche alle funktionen er dort übernimmt, und somit sich unentbehrlich macht. (Diesmal hat sich zwar gezeigt, dass es nicht der fall war, nur um meinen gedankenprozess zu erklären.)

    Naja, eigene beitrage editieren kann man in diesem forum nicht, so muss ich einen neuen post machen :?

    Zu meinem vorletzten beitrag noch: Am anderen PC handhabe ich die sicherheit genau gleich, der einzige unterschied ist, läuft unter W98, und dort funzt alles tadellos.