bla.exe

hallo,
als ich heute im internet war, meldet meine firewall, das die bla.exe ins netz will. da ich diese anwendung nicht kenne habe ich sie blockiert. ich habe nichts runtergeladen oder installiert. norton hat nichts gefunden. adware und spybot haben auch nichts gefunden. kann mir jemand helfen ?? bisher habe ich keine fehlfunktionen festgestellt.

mfg

matrixug

//edit: im taskmanager ist sie nicht zufinden bzw. wird nicht ausgeführt.

verschoben von Windows XP

Und nach der Datei hast du nicht gesucht?
Wo liegt sie, was steht in den Eigenschaften?

ich habe nichts runtergeladen oder installiert.

Zum Vergrößern anklicken....

Auch kein mailanhang geöffnet?

http://www.google.de/search?hl=de&q=bla.exe

Link ist jetzt klickbar und ohne Zusätze

aahhh sorry sie liegt in c:\ ist eine prefetch datei, sagt zumindesten der compi.

cya

// edit @trispac thx für den link aber schlauer bin ich jetzt auch nicht !!

auf schw.sites gesurft , kleines ferk... ;D

schau mal nach, ob sie nicht doch da ist.
C, lokale einstellungen

oder start, suchen

nee auf sowas serve ich nicht...

nee auch keinen mailanhang geöffnet !!

Benenn die Datei einfach um in bla1.exe und starte den Rechner neu.
Es müsste eigentlich dann eine Fehlermeldung erscheinen weil ein Regeintrag versucht die Datei bei jedem Start zu laden.

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ae.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html

Könnte ein Schädling sein - hier beschreibung und Removal Tool von Symantec........

die bla.exe einfach löschen.
und fertig

mmh einfach löschen ohne zuwissen was sie macht ??? also ich bin immer noch genauso schlau wie vorher

cya und ein schönes we

ein freund hat sie auch gelöscht.
hat vorher auch noch einen systemwiederherstellungspunkt
erstellt.

nix passiert.

die bla. exe war weg.

MatrixUG schrieb:

aahhh sorry sie liegt in c:\ ist eine prefetch datei, sagt zumindesten der compi.

Zum Vergrößern anklicken....

ich glaub nicht, das eine exe Datei im Prefetch Ordner was verloren hat, da liegen nur pf Dateien, um Anwendungen zu beschleunigen.
http://www.wintotal.de/Tipps/Eintrag.php?TID=753

MatrixUG schrieb:

mmh einfach löschen ohne zuwissen was sie macht ??? also ich bin immer noch genauso schlau wie vorher

Zum Vergrößern anklicken....

kannst du getrost löschen, lies die Links von Symantec durch, in Antwort #7

pan_fee

Also ich hab das Ding gestern auch gehabt. Es hat sich nach C:\ kopiert. Die Desktop-Firewall (Kerio 2) hat den Zugriffsversuch ins Internet geblockt.
Ich kann jedem nur raten im IE ActiveX komplett zu deaktivieren. Darüber schlüpft die bla.exe in den Rechner. Wenn man die von bla.exe angesteuerte Seite im Browser aufruft, kommt ein Login-Formular.
Mehr habe ich auch noch nicht herausgefunden.

Installiert wurde die bla.exe bei mir durch bloßes Aufrufen der Seite http: [doppelslash]cps2shock.retrogames.com (mit aktiviertem ActiveX).
Browser ist IE6.0 SP1, OS ist Win2k SP4, Sicherheitsupdates sind alle installiert (aktueller Stand).
Mein System ist hinter einem fli4l-Router mit Portfilter (137-139, 445 usw. sind blockiert).

Edit: Weder AntiVir noch Spybot erkennen die Datei als Schädling. Ich habe dem AntiVir-Hersteller eine Kopie als verdächtige Datei geschickt.

Edit2: Hängt vielleicht hiermit zusammen? http://www.wintotal-forum.de/?board=35;action=display;threadid=56180
Demnach könnte auch ein Werbe-Popup der Übeltäter sein. Auf der o.g. Seite gibt es welche.

IrksEye schrieb:

Edit2: Hängt vielleicht hiermit zusammen? http://www.wintotal-forum.de/?board=35;action=display;threadid=56180
Demnach könnte auch ein Werbe-Popup der Übeltäter sein. Auf der o.g. Seite gibt es welche.

Zum Vergrößern anklicken....

Nein, das ist kein AktiveX problem sonder betrifft alle IE anwender ohne XP SP2.
Wenn du schon auf AktiveX verzichtest (was zum besuchen von Windows Update benötigt wird!) kannst du auch gleich einen anderen Browser benutzen.

Egal welchen du nimmst (solange er den IE nicht verwendet) bist du das Sicherheits und das Hijackerproblem auf jeden Fall los.

Hier noch ein paar nützliche Links:
http://www.wintotal-forum.de/?board=35;action=display;threadid=36533

Mit der aktuellen VDF-Datei erkennt Antivir den Schädling nun.
Er hat den Namen TR/Dldr.Small.aaq erhalten.

Hi ich hab die besagte exe auch auf dem rechner. Durch normales löschen konnte ich sie nicht vernichten. Nach einem systemneustart ist sie wieder da. In reg-dateien ist sie nicht enthalten, mein virenscanner (norton) springt trotz aktueller virendatei nicht an. Wenn die exe automatisch starten sollte so muss sie sich in einem andern prozess tarnen, denn ich finde keine mir unbekannte laufende prozesse.
Bei mir wurde auch keine homepage automatisch geladen oder versucht zu laden, auf den oben angedeuteten pages bin ich auch nicht unterwegs.

schon mal versucht, die bla.exe im abgesicherten modus zu löschen.

Nachdem meine Firewall zuerst bla.exe geblockt hatte, und mein AntiVir nach Update sowohl
C:\
bla.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.aaq
WURDE GELÖSCHT!
als auch
C:\Dokumente und Einstellungen\MK\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file
my.class-204956be-3d91a904.class
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.aaq
WURDE GELÖSCHT!
gemeldet hat, kann ich die besagten Dateien auch nach Neustart nicht mehr auf meinem Rechner finden. Auch nach nunmehr ca. 3 Stunden Surfen ist bla.exe etc nicht wieder aufgetaucht.

Kann ich davon ausgehen, dass ich nochmal davongekommen bin? Ich bin etwas misstrauisch, da ich im Verzeichnis C:\Prefetch\ eine Datei mit dem Namen BLA.EXE-06EA102B.pf habe, die aber vom Virenscanner nicht als bedrohlich erkannt wird.
Ist sie bedrohlich? Soll ich sie löschen? Kann ich sie löschen ohne dass etwas kapputt geht?

Gruß,
Klaus

Klaus schrieb:

Ich bin etwas misstrauisch, da ich im Verzeichnis C:\Prefetch\ eine Datei mit dem Namen BLA.EXE-06EA102B.pf habe, die aber vom Virenscanner nicht als bedrohlich erkannt wird.
Ist sie bedrohlich?

Zum Vergrößern anklicken....

Nein.

Soll ich sie löschen? Kann ich sie löschen ohne dass etwas kapputt geht?

Zum Vergrößern anklicken....

Ja.

Bye,
Freudi

Danke @Freudi! Ist diese Prefetch-Datei denn auch vom Trojaner erstellt bzw. gehört dazu? Oder ist das eine zufällige Namensgleichheit? Was tut die und wenn sie zum Trojaner gehört, warum wird sie nicht gemeldet?

Ebenso in meinem javapi-Verzeichnis: Die my.class-204956be-3d91a904.class wurde von AntiVir entfern aber es gibt noch eine my.class-204956be-3d91a904.idx... hat die evtl auch was damit zu tun?

Zum Thema wie eingefangen: ich gehöre auch zu denen, die definitiv keinen potenziell gefährlichen Mail-Anhang geöffnet haben. Kann man sich das Vieh auch normal beim surfen einfangen? Er ist nämlich 2x genau dann gemeldet worden, als ich auf der Website des Online-Games ogame war. Ich hatte schon die Vermutung, dass die verseuchte Werbung haben oder sowas.

In welcher Form gelang das Ding auf den Rechner? Ist das die bla.exe oder ist es eine andere Datei, die dann die bla.exe erstellt?

Und zuletzt: wie kann ich mich am besten vor dem Ding schützen? Firewall und Virenscanner melden sich ja nur, wenn es schon auf meinem Rechner ist. Wie verhindere ich, dass es drauf kommt (mal abgesehen von Ratschlägen wie nicht alle Mailanhänge öffnen und nachdenken beim surfen... da bin ich eh schon recht paranoid)?

Danke!
Gruß, Klaus