Entwickler-Ecke

Off Topic - Bedrohungsmeldung von Avast


Slipstream - Fr 05.05.17 02:24
Titel: Bedrohungsmeldung von Avast
Hallo,

seit Tagen erhalte ich vom Avast-Virenwächter Bedrohungsmeldungen folgender Art auf meinen privaten Rechner zu Hause:

Bedrohung blockiert
Objekt: http://47.88.216.688888/test.dat

Die folgenden Meldungen habe ich bereits erhalten:


Quelltext 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
 
30.04.2017  08:58  Objekt: http://047.088.216.068:8888/test.dat
30.04.2017  17:12  Objekt: http://047.088.216.068:8888/test.dat
30.04.2017  17:31  Objekt: http://047.088.216.068:8888/test.dat
30.04.2017  17:33  Objekt: E:\_Down\test.dat.part
01.05.2017  01:35  Objekt: http://047.088.216.068:8888/test.dat
01.05.2017  17:40  Objekt: http://047.088.216.068:8888/test.dat
01.05.2017  20:40  Objekt: http://047.088.216.068:8888/test.dat
01.05.2017  23:40  Objekt: http://047.088.216.068:8888/test.dat
02.05.2017  02:39  Objekt: http://047.088.216.068:8888/test.dat
02.05.2017  14:40  Objekt: http://047.088.216.068:8888/test.dat
02.05.2017  17:41  Objekt: http://047.088.216.068:8888/test.dat
04.05.2017  08:40  Objekt: http://047.088.216.068:8888/test.dat
04.05.2017  17:40  Objekt: http://047.088.216.068:8888/test.dat
04.05.2017  23:40  Objekt: http://047.088.216.068:8888/test.dat


Wenn ich den Internetzugang blockiere, erhalte ich keine Meldungen. Auffallend sind die Zeiten, zu denen diese Meldungen aufpoppen.

Was kann ich hier tun? Ich weiß ja nicht einmal, wo und wie ich die Schadsoftware suchen soll.

Ein Fullscan mit Malwarebytes hat nichts erbracht. Was in der Test.dat drinsteht, weiß ich nicht, vermute aber Windows-Script.

Die IP-Nummer wird von einigen Webseiten in Kanada lokalisiert, einige andere meinen, sie käme aus China. Keine Ahnung, was zutrifft.

Ich vermute, irgend eine Schadsoftware versucht, diese Datei test.dat herunterzuladen und auszuführen. Ergo hätte ich bereits einen Virus auf den Rechner.

Hat hier jemand ähnliche Erfahrungen gemacht?

Gruß aus Dublin

Moderiert von user profile iconChristian S.: Code-Tags hinzugefügt und URL maskiert


jasocul - Fr 05.05.17 07:13
Sieht sehr nach einem Virus/Trojaner aus.
Ich habe einen russischen Beitrag dazu gefunden, allerdings spreche ich kein Russisch. Google-Translater hilft da aber schon ein bisschen weiter.

Scheinbar gibt es im Windows-Verzeichnis ein Programm (ser.exe), dass versucht Schad-Software runterzuladen.

Hier die Links:
Russischer Beitrag [https://forum.drweb.com/index.php?showtopic=327461]
Hinweise zu ser.exe [http://www.2-spyware.com/file-ser-exe.html]

Ich hoffe, dass dir das ein wenig weiter hilft.


Delete - Fr 05.05.17 09:58
- Nachträglich durch die Entwickler-Ecke gelöscht -


Slipstream - Fr 05.05.17 13:51
Hallo Frühlingsrolle, hallo Jasocul,

eine ser.exe konnte ich auf meinem Rechner nirgendwo finden. Es gibt zwar mehrere user.exe, aber aber kein ser.exe.

Was die Links betrifft: Die hab ich nicht eingefügt, die sind beim reinkopieren von selbst entstanden. Danke an Christian S. für "Code-Tags hinzugefügt und URL maskiert".

Dann werd ich mich wohl mal ans Trojanerboard wenden, da sitzen, wie ich glaube, die hilfsbereiten Virus-Fachleute ... Ich melde mich dann wieder, wenn ich was herausgefunden habe. Eigentlich hab ich gar keine Zeit für einen Mist :cry:


Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!