BHSV.exe

Zitat von mik14

Sehe also 2 möglichkeiten: Entweder war er im letzten AVG-update, das ich heute vormitag gemacht habe, drin (finde eher weniger wahrscheinlich) oder aber versteht er sich unter seinem ursprünglichen namen vor einem antivirus-scanner zu tarnen.

Ich sehe eine dritte Möglichkeit - das die Signaturen von AVG so schlecht sind das sie anhand eines Namens gemacht werden.
Allgemeine Infos zum SDbot: http://www.virenschutz.info/antivirus-SDBot+Gen-152.html
Wie man sieht ein ziemlich bösartiger Zeitgenosse, die Warscheinlichkeit das du deinen Rechner ohne formatieren zuverlässig säubern kannst ist gleich 0. Wie man sieht wirst du auch immer wieder infiziert.
Was deine Sicherheitsstrategie angeht kann ich dazu schlecht was sagen, du hältst dich da auch recht bedeckt. Was deine Referenz mit Win98 angeht - viele Schädlinge sind für Win2000/XP geschrieben und laufen nicht zwangsläufig auch unter Win98. Kannst ja mal ein paar Infos zu deiner Sicherheitsstrategie geben. In meiner Signatur findest du auch einen Link zur "allgemeinen Systemsicherheit" mit diversen Infos und Links. Eventuell schleppst du dir den Schädling auch über den Autosurfer ein, kann aber dazu nix weiter sagen, kenne das Programm nicht.

hyrican

Zitat von Enemy

Vorhin hat jemand geschrieben man soll ich im Autostart nachschauen da würde der Pfad dabeistehen; Das war auch mein erster Gedanke, dummerweise steht da aber nur "BHSV.exe" und kein Pfad.

Deshalb hab ich auch geschrieben man soll mit Spybot nachschauen( in Spybot gibts einen Punkt namens Werkzeuge mit Unterpunkt Systemstart). Dort stehen die Pfade dabei.

hyrican

Zitat von hyrican

Ich sehe eine dritte Möglichkeit - das die Signaturen von AVG so schlecht sind das sie anhand eines Namens gemacht werden.

Das dünkt mir weniger wahrscheinlich. Wieso würde ihn dann AVG unter seinem originalnamen nicht erkennen und unter meinem phantasienamen dann doch? Und immerhin reihen diverse tests AVG unter die elite der besten antivirenprogramme der welt ein.

Meine sicherheitsstrategie - was ich dazu noch sagen könnte? Das wichtigste habe ich geschrieben, wie ich nach dem formatieren vorgegangen war. Das ganze ist eine ziemlich komplexe sache, entspricht den allgemeinen empfehlungen.
Hab ein eigenes system für passwärter, ein kompromis zwischen 100% sicherheit (die es ohnehin nicht gibt) und möglichkeit das ganze einigermassen übersichtlich zu managen, setzte die passwärter je nach dem ein, wie risikoreich jeweils ist, was ich betrete.
Benütze weder Office noch Outlook oder einen enderen e-mail-klienten, grundsätzlich nur webmail bei zuverlässigen portalen, spams erkenne ich auf den ersten blick problemlos (sofern sie nicht schon vom portaleigenen spamfilter eliminiert worden sind) und öffne sie grundsätzlich nicht.
Erzähle keine details über mein konzept, was sein knacken erleichtern könnte, selbst dem besten freund gebe ich höchstens allgemeine sicherheitstips, persönliche, bei mir bewährte spezifika überlasse ich ihm, ob er sie für sich vlt. auch so herausfindet oder das anders macht.
Arbeite allein auf meinem rechner, resp. DSL-anschluss, habe kein netzwerk.
Eine firewall habe ich nicht, weil ich schon vor langem und sehr bald nach meinem ersten versuch damit zu derselben feststellung gekommen war wie du es sagst, wenn man nicht ein wirklich versierter fachmann ist, bringt sie eher mehr schaden als nutzen. Ausserdem kann ich mir auch nicht gut vorstellen, wie ich damit einen einzelnen rechner, ohne netzwerk, mit enem einzigen benutzer, wo es keine userhierarchie gibt, noch zusätzlich schützen könnte. Alles machbare sollten in einem solchen fall meiner meinung nach die richtigen sicherheitseinstellungen des systems für Internet erledigen (und selbstverständlich systemupdates) + ein guter antivirus.
Deine allgemeinen tips (pkt. 7) sind für mich selbstverständlich, tauschbörsen besuche ich nicht.

Und wie gesagt diese maschine ist mein 2. rechner, den ich seit der installation nur wenig gebraucht habe und wenn, dann nur aus diesen gründen: Beim 1. rechner habe ich nen 15" TFT monitor, bei diesem 17" CRT, also wenn ich unbedingt die auflösung 1280x1024 brauche, was aber normalerweise nur off-line anwendungen sind. Der 2. grund: der 1. rechner steht neben meinem bett, so dass ich nicht schlafen kann, wenn er läuft. Darum habe ich jetzt diesen im anderen raum benützt, als ich eine anwendung hatte, die theoretisch keine aufsicht benötigt und ca. 2 bis 3 stunden braucht, bis sie fertig ist. Es ist eine anwendung, die nicht ganz frei von möglichkeit ist, dass angriffsversuche von viren stattfinden würden, aber da verlasse ih mich eben auf das uptodate gehaltene AVG. Bei meinem ersten rechner, wo ich das normalerweise und unter aufsicht laufen lasse, registriere ich solche angriffsversuche nur sehr selten, dass AVG alarm schlägt, und auch im diskussionsforum über diese applikation sind einschlägige beschwergen eine wirkliche seltenheit.

Ich frage mich nur, was macht AVG, wenns ein virus-alarm ausgibt, wo man ihm das weitere vorgehen mitteilen soll und keine reaktion kommt, wobei eine der optionen das ignorieren ist? Es wäre ganz schlimm, falls er automatisch diese option wählt; eine solche dummheit kann ich mir aber bei einem qualitativ so hochstehenden produkt nicht gut vorstellen.

Und sollte ich tatsächlich neu formatieren, dann macht es nur sinn, wenn ich weiss, wie ich zu diesem jetzt gekommen war, denn sonst ist die gefahr gross, dass ich bald danach gleich weit bin, wie jetzt und die ganze arbeit war für die katze. Ich hatte nämlich schon früher auf diesem rechner ein ähnliches problem, als ich mir noch mit einer anderen HD W98 installiert habe. Ich bin ungeschützt ins netz gegangen, nur um mir das AVG zu holen und prompt habe ich mir einen virus geschnappt, dank dem ich mehr als 12 stunden gabraucht habe, um das AVG runterzuladen. Dabei weiss ich, dass es viele leute gibt, die die ansicht vertreten, wenn ich vorsichtig bin und keine porno- und ähnliche seiten besuche, nur bekannte e-mails öffne, brauche ich gar kein antivirus und tatsächlich allen, die ich kenne und dies sagen, geht diese rechnung mehr oder weniger auf, sonst hätten sie sich schon längst eins besorgt; wenigstens macht sich bei ihnen kein unerklärter hintergrundbetrieb bemerkbar. Findest du als denkbar, dass bei mir die wurzel des übels im BIOS sitzen könnte? Ich weiss nur, dass es BIOS-viren gibt, aber keine ahnung, ob sie sich auf solche art bemerkbar machen. (Den rechner habe ich geschenkt bekommen, sein lebenslauf vorher liegt für mich voll im dunklen.)

Zitat von Enemy

Desweiteren muss es ja wohl was bösartiges sein, da waren ja vorhin noch Zweifel, denn ich denke, keine "normale" Datei lässt sich unter "Suchen" nicht finden.

Eben, musste den ersten absatz in meinem beitrag vom 06.11.2005, 15:57 Uhr lesen, dann weiste, wer das ist.

Und wenn du die anzeige der systemdateien auf sichtbar setzt (unter W98 ist es Explorer-> Extras-> Ordneroptionen-> Ansicht-> Versteckte dateien-> Alle dateien anzeigen setzen) und dann findest du unter WINNT/Sys32 (W2K, weiss nicht obs im XP genau so heisst, aber sicher ähnlich) die datei BHSV.exe.

mik14
Deine Schlußfolgerung bezüglich des Backdoor ist durchaus richtig. Ich erwähnte diese Möglichkeit auch nur um die Möglichkeiten zu ergänzen und weil z.B. Symantec in der Vergangenheit auf diese Art Signaturen hergestellt hat.
Denke nicht das der Backdoor im Bios sitzt sonst würde er beim booten installiert und nicht irgendwann beim surfen. Halte es aber für möglich das dein AVG vom Schädling modifiziert wurde so das z.B. eine bhsv.exe nicht überprüft wird.
Könntest mir die bhsv.exe mal passwortgeschützt zippen und per Mail schicken an trolll@nexgo.de, zum einen interessiert mich ob das AVK was damit anfangen kann und zum zweiten will ich sie an Antivirenprogrammschreiber schicken.
Dein Konzept sieht imho gut aus, daher denke ich tatsächlich das du dir den Schädling über deinen Autosurfer einfängst. Soviel ich durch kurzes Googeln herausfinden konnte surft er diverse Seiten an. Wenn dabei z.B. die Engine des IE genutzt wird könnte sich darüber ein in einer Webseite eingebetteter Schädling installieren.
Wenn ein Antivirusprogramm eine infizierte Datei findet und nachfragt was es machen soll wird im allgemeinen der Dateizugriff bis zur Antwort des Anwenders gesperrt.

hyrican

Versteh schon was du meinst. Im SP2 wurden zwar ein Haufen Lücken gefixt trotzdem gibts noch genügend andere die MS nicht für wichtig hält und die nicht gefixt wurden.
Die sdbot-Familie verbreitet sich im allgemeinen über Netzwerkfreigaben. Da kann man aber nicht pauschal sagen das wäre der einzige Weg denn diverse Varianten erstellen ne Menge Dateien die z.B. per Filesharing weiterverbreitet werden. Und sicher spricht nix dagegen das ein Webseitebetreiber in böswilliger Absicht einen Exploit in seine Site eingebettet hat der ne Lücke im Browser ausnutzt und den Schädling nachlädt. Auf jeden Fall ist auch die sdbot-Familie eine der gefährlichen weil sie meist Remotezugriff ermöglichen und man dann wirklich nicht mehr sagen kann ob nicht schon wer aufm Rechner war und irgendwas verändert hat.

hyrican

Leider kann ich die dir datei nicht schicken, weil ich sie bereits gelöscht habe und selbst restoren lässt sie sich nicht mehr.

Kann der sache nicht soviel zeit widmen, wie ich gern möchte, habe aber trotzdem ein paar interssante feststellungen machen können. Die wichtigste dürfte sein, dass dies allem nach keinen direkten zusammenhang mit dem autosurfer hat. Die viren kommen einfach wenn ich irgendeine site im Net eröffne, manchmal sofort, manchmal erst nach längerer zeit. Der autosurfer wurde offensichtlich nicht durch virus jeweils gestoppt, sondern dass sein server regelmässig um dieser zeit nicht reibungslos laufen will. Ein virus kam selbst als ich xp-tipps-tricks angesteuert habe. Heute habe ich einen ganz fiesen virus gekriegt, die datei heisst rdriv.exe und ist auch ein trojaner, diesmal Generic.GM. Als ich ihn gefunden habe, hat er die zeitangebe gehabt, als so ca. der rechner vom timer abgestellt wurde. Er wird problemlos erkannt, aber kann weder geheilt, noch gelöscht werden. Das löschen wird z.t. verweigert, z.t. wird gelöscht, aber bildet sich grad wieder neu, auch off-line; ich würde sagen, jeweils mit derselben zeit, doch jetzt habe ich das wieder angeschaut und die zeit war etwa die akutuelle. In den registern habe ich 2 arten einträge mit ihm gefunden, in dem 2. wird sein pfad bestimmt und hat einen verweis zum 1., der 2. lässt sich löschen (bringt nichts), der 1. verweigert gelöscht zu werden. Der virus ist von keinem klar sichtbaren offenen prozess begleitet.

Und jetzt grad habe ich gestaunt, plötzlich meldet mir AVG als virus die datei SysClock16.exe, die ich schon seit 5 tagen drin habe. Sie war mir wegen ihrem neuen datum bereits aufgefallen, wegen ihrem namen habe ich aber gemeint, ihr neues datum hat was mit einer anpassung der systemuhr zu tun (modem-logfile im gleichen verzeichnis wird auch dauernd erneuert).

Beide diese dateien wollte ich versuchen dir zu schicken, doch WinZip meldet einen lesefehler, wenn ich vresuche sie einzupacken. So frage ich mich, ob ich die BHSV-datei einpacken könnte, hätte ich sie noch (das SysClock16 konte ich wenigstens umbenennen und vershieben, das rdriv nicht).

Da kommt mir noch eins in den sinn, von dem ich aber fast nur bahnhof verstehe und das sind die ports. Ich weiss, dass sie ihre nummern haben, es gibt ein offenes port, über alles normale läuft und das auch z.t. vom provider überwacht wird, dann gibt es "anständige" anwendungen, die über andere ports laufen, welche dazu extra geöffnet werden müssen und weiter für den normalen user verbotene ports. Auch weiss ich, dass diverse schädlinge in der lage sind ungenügend geschützte ports zu öffnen, über sie aktiv zu werden und so diverse sicherheitmassnahmen umzugehen (bitte korrigeier mich, falls etwas falsch ist). Ich habe aber keine ahnung, wie ich überprüfen kann, ob hier alles in ordnung ist.

Übrigens noch, ist mir aufgefallen, dass bevor ich ins Internet einsteige, ist der prozess Winlogon dauernd sehr aktiv, um die 70% CPU.

Infos von Symantec zu rdriv.exe: http://securityresponse.symantec.com/avcenter/venc/…spybot.nlx.html , ein Rootkit-Trojaner der läuft unter anderem als Dienst deshalb findest du keinen laufenden Prozess und kannst sie weder umbenennen noch löschen. Eventuell hängt auch die hohe Prozessorlast von Winlogon.exe damit zusammen. Hier ein paar Infos zu Rootkits: http://techtalk.unterwegs-im.net/content/view/62/1/
Zur sysclock.exe hab ich bisher nur einen inet-Wurm gefunden.
Das AVG jetzt erst den Schädling findet erkläre ich mir damit das es ein neuer Schädling ist und AVG heut erst eine Signatur dafür geschieben hat.
Versuch die Dateien mal im abgesicherten Modus zu zippen, vielleicht klappts da. Vermutlich wird sich die rdriv.exe aber auch dort wehren.
Empfehlen könnte ich dir noch die Knoppicillin-CD aus der aktuellen c't( Kaiserfive hat glaub ich ne News dazu geschrieben), mit der kannst du den Rechner überprüfen ohne das Windows geladen wird. Das heißt nichts kann das löschen der Dateien blockieren.
Was die Ports angeht - ja, Anwendungen öffnen Ports um mit Gegenstellen im Internet zu kommunizieren. Damit umgehen sie aber keine Sicherheitsmaßnahmen, dast ganz normal. Umgangen wird zum Beispiel eine Firewall wenn der Trojaner eine Windowsdatei kidnappt die ins Internet darf und über diese seinen Client kontaktiert. Dann wird auch nix ungewöhnliches in ActivePorts angezeigt, Diagnose ist nur über Antivirensoftware möglich..
Welche Ports bei dir offen sind und welche Anwendungen darüber laufen kannst du dir beispielsweise mit ActivePorts( bei uns in den Downloads oder hier http://www.teltarif.de/arch/2003/kw48/x7150.html ) anschauen.
Sinn macht das rumdoktern jetzt allerdings nicht mehr, du wirst da keine Ruhe mehr reinkriegen. Druck dir die Seite zum Dienste konfigurieren aus meinem Link zur Systemsicherheit aus oder hol dir ein Script das das für dich macht( http://dingens.org/ ) und formatiere langsam( also mit überschreiben der ganzen Platte). Dann neu aufsetzen, Dienste konfigurieren( damit werden überflüssige Dienste ausgeschaltet und die Ports die sie benutzen geschlossen), dann online gehen, Windowsupdate und Virenscanner.

hyrican

Hi die gleiche Datei Namens BHSV.exe hatte ich auch auf meinem Rechner.

Habe sie in Der Systemsteuerrung Software problemlos deinstaliert.Habe sie

seitdem nicht mehr auf dem PC.

Gruss
MalleFan :brille: