Guten Morgen,
bin nicht ganz sicher ob mein Problem wirklich ein Virus ist, allerdings meldet Antivir in letzter Zeit häufig funde (immer die selben) und seitdem läufts net mehr so gut.
Nun bekomme ich diese Fehlermeldung:
dllhst3g.exe konnte nicht geladen werden. Was verbirgt sich dahinter?
Habe Vista x64
Grüße und vielen Dank vorab
Rabauke
allerdings meldet Antivir
Was genau (Wortlaut) meldet Antivir?
Gruß
Hallo,
also hab mal die Ereignisse durchgeschaut, diese beiden kommen immer wieder!!! :
In der Datei ‚C:\Users\Stefan\AppData\Roaming\rsvp.exe‘
wurde ein Virus oder unerwünschtes Programm ‚TR/Proxy.Horst.Gen‘ [trojan] gefunden.
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Users\Stefan\AppData\Roaming\rsvp.exe
Fehlercode: [0x00000005 - Zugriff verweigert].
Grüße
Kannst du diese Datei
‚C:\Users\Stefan\AppData\Roaming\rsvp.exe‘
bei http://virustotal.com hochladen und die Ergebnisse überprüfen bzw. die Ergebnisliste kopieren und hier posten.
Gruß
Also momentan existiert da keine Datei mit diesem Namen (überjaupt keine exe Datei ist dort). Ich muss sicherlich warten, bis dieser Fund wieder erscheint und es dann machen. Habe die Date ja in Quarantäne gesteckt, aber die kommt immer wieder, mehrmals täglich.
Ich poste das Ergebnis dann.
Danke schonmal
Also momentan existiert da keine Datei mit diesem Namen
(überjaupt keine exe Datei ist dort). Ich muss sicherlich
warten, bis dieser Fund wieder erscheint und es dann machen.
Habe die Date ja in Quarantäne gesteckt, aber die kommt immer
wieder, mehrmals täglich.
In AntiVir kannst du unter „Ansicht -> Verwaltung -> Quarantäne“ die bisherigen Funde sehen und die Dateien wiederherstellen. Beim Hochladen wird AntiVir natürlich dann ebenfalls meckern, das musst du dann natürlich ignorieren. Sicherheitshalber kannst du die Datei ja auch umbenennen in .virus oder so, damit sie nicht mehr per Doppelklick ausführbar ist.
Guten Morgen,
habe das nun mit Virustotl gemacht. Ich denke das ist ein dicker Fund 
Nun müsste ich mal den Ursprung finden *omg* Und mein Problem mit dllhst3g.exe ist immernoch da, kannst du mir sagen, was das für ein Programm sein soll???
Hier das Protokol: Hab mir das Protokol auch als PDF gespeichert, könnte ich die auch per eMail senden, falls du es etwas anschaulicher haben willst. Danke Dir vorab!!!
Datei rsvp.exe empfangen 2009.06.30 07:48:39 (UTC)
Status: Laden … Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/41 (29.27%)
Laden der Serverinformationen…
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf „Anfragen“, damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.30 Trojan.Zaplo!IK
AhnLab-V3 5.0.0.2 2009.06.30 -
AntiVir 7.9.0.199 2009.06.29 TR/Proxy.Horst.Gen
Antiy-AVL 2.0.3.1 2009.06.30 -
Authentium 5.1.2.4 2009.06.29 -
Avast 4.8.1335.0 2009.06.29 -
AVG 8.5.0.339 2009.06.29 -
BitDefender 7.2 2009.06.30 Trojan.Generic.CJ.AGM
CAT-QuickHeal 10.00 2009.06.29 -
ClamAV 0.94.1 2009.06.30 -
Comodo 1501 2009.06.30 -
DrWeb 5.0.0.12182 2009.06.30 -
eSafe 7.0.17.0 2009.06.29 -
eTrust-Vet 31.6.6589 2009.06.29 -
F-Prot 4.4.4.56 2009.06.29 -
F-Secure 8.0.14470.0 2009.06.30 -
Fortinet 3.117.0.0 2009.06.29 -
GData 19 2009.06.30 Trojan.Generic.CJ.AGM
Ikarus T3.1.1.64.0 2009.06.30 Trojan.Zaplo
Jiangmin 11.0.706 2009.06.30 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.30 -
McAfee 5661 2009.06.29 -
McAfee+Artemis 5661 2009.06.29 -
McAfee-GW-Edition 6.7.6 2009.06.29 Trojan.Proxy.Horst.Gen
Microsoft 1.4803 2009.06.30 -
NOD32 4198 2009.06.30 probably a variant of Win32/Genetik
Norman 6.01.09 2009.06.29 -
nProtect 2009.1.8.0 2009.06.30 -
Panda 10.0.0.14 2009.06.29 Suspicious file
PCTools 4.4.2.0 2009.06.28 -
Prevx 3.0 2009.06.30 High Risk Fraudulent Security Program
Rising 21.36.11.00 2009.06.30 -
Sophos 4.43.0 2009.06.30 Mal/Horst
Sunbelt 3.2.1858.2 2009.06.29 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.06.30 -
TheHacker 6.3.4.3.356 2009.06.27 -
TrendMicro 8.950.0.1094 2009.06.30 -
VBA32 3.12.10.7 2009.06.30 suspected of Win32.Trojan.Downloader (http://…)
ViRobot 2009.6.30.1811 2009.06.30 -
VirusBuster 4.6.5.0 2009.06.29 -
weitere Informationen
File size: 61440 bytes
MD5…: 8281ba933f703c1572bae0242f5dc9eb
SHA1…: a95e8474a83cd99b551d29d88763b11194c49d98
SHA256: 6035989f0219e78807856d0db130ec867d2b885dab23da6b25dd727b6806aae5
ssdeep: 1536:+P/UHMDU3n9cnLf3SDrFF1HLXtwXUaaXRt:+P/wMDwYLmrFHL4aht
PEiD…: -
TrID…: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x59fa
timedatestamp…: 0x4a0c5050 (Thu May 14 17:09:36 2009)
machinetype…: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa2ba 0xb000 6.26 23634114b766b1f44a64b01072d52147
.rdata 0xc000 0x1d8a 0x2000 5.01 9b08e62154ea4a0589432b6788e1477f
.data 0xe000 0x7db8 0x1000 1.35 354e9a6a2b7061e551182b6fa086dd19
( 7 imports )
> USER32.dll: GetDoubleClickTime
> ADVAPI32.dll: RegEnumValueA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken, RegCloseKey, RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA
> PSAPI.DLL: GetModuleInformation
> WS2_32.dll: -, -
> WININET.dll: HttpQueryInfoA, InternetCloseHandle, InternetOpenA, InternetReadFile, InternetOpenUrlA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: GetDriveTypeA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, VirtualAlloc, IsBadCodePtr, GetVersion, GetTickCount, GetCommandLineA, GetCurrentProcess, CloseHandle, SetErrorMode, Sleep, WriteFile, CreateFileA, ExitProcess, CreateMutexA, OpenMutexA, CreateProcessA, GetEnvironmentVariableA, GetShortPathNameA, MultiByteToWideChar, GetModuleFileNameA, SetEnvironmentVariableA, CopyFileA, SetFileAttributesA, GetLastError, CreateDirectoryA, CreateThread, GetLocalTime, GetVolumeInformationA, GetLogicalDriveStringsA, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, RtlUnwind, GetStartupInfoA, GetVersionExA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, HeapFree, HeapAlloc, HeapReAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, SetFilePointer, LoadLibraryA, InterlockedExchange, VirtualQuery, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6AF2F…
habe das nun mit Virustotl gemacht. Ich denke das ist ein
dicker Fund
Jo, kann man so sagen. Dazu, was dieser Trojaner so treibt, ist im Internet wenig bis nichts zu finden. Aber man kann sich ja anschauen, welche Systemeinstiegspunkte er nutzt, und da sieht’s nicht nett aus: Es werden Registryschlüssel gesetzt und umgebogen, Internetzugriffe finden statt, es werden Dateien aus dem Internet nachgeladen und auf der Festplatte gespeichert…
Gut, das tut auch so manches legitime Programm. Ursprünglich hatte ich den Verdacht, es könne sich bei der rsvp.exe um eine legitime Systemdatei und bei der Meldung um einen Fehlalarm handeln. Allerdings gibt es unter Vista im Gegensatz zu XP m. W. keine Systemdatei dieses Namens (zumindest nicht unter Vista 32-bit), auch wäre der Speicherort zumindest sehr ungewöhnlich. Die Original-rsvp.exe aus XP sieht auch deutlich anders aus.
Auch wenn die Trefferquote bei Virustotal vergleichsweise niedrig ist, lässt die Summe aller Informationen kaum einen anderen Schluss zu, als dass es sich hier tatsächlich um eine reichlich unangenehme Software handelt.
Nun müsste ich mal den Ursprung finden *omg*
Wäre 'ne interessante forensische Aufgabe. Für dich dürfte allerdings sinnvoller sein, das System neu aufzusetzen. Zumal dieser Trojaner offenbar nicht allein ist, da irgendein anderes Programm ihn nach jeder Entfernung wieder ins System wirft.
Und mein Problem mit dllhst3g.exe ist immernoch da, kannst du
mir sagen, was das für ein Programm sein soll???
Ist ein Windows-Systemprogramm. Nachdem das nicht mehr geladen werden kann, scheint’s dein System langsam aber nachhaltig zu zerreißen. Ein weiterer Grund für eine Neuinstallation.
Gruß
NEEEEEEEEEEEEEEEEEEEEEEEEEIIIIIIIIIIIIIIIINNNNNNNNNNNNNNNNNNN
Nicht schon wieder, dass hatte ich doch erst vor wenigen Wochen 
(((
Das selbe Problem… Auch ein Virus und nun schon wieder!!!
Danke Dir vielmals Herrmann
Grüße
Ein paar goldene Regeln
Nicht schon wieder, dass hatte ich doch erst vor wenigen
WochenDas selbe Problem… Auch ein Virus und nun schon
wieder!!!
Dann machst du irgendwas grundsätzlich falsch. Wenn du dich an elementare Regeln hältst, wie z.B.
Sicherheitsupdates für Betriebssystem und Programme regelmäßig und zeitnah installieren
Fremddaten wie z.B. eMail-Anhängen, Dateien über Chat-Programme, Dateien von fremden USB-Sticks usw usf immer als potentiell gefährlich betrachten und nur öffnen, wenn wirklich klar ist, was da drin ist und ob es wirklich vom Absender stammt. Lieber nochmal zurückfragen, bevor man einen nicht erwarteten Anhang öffnet. Anhänge in Kettenbriefen oder ähnlichen Quatsch grundsätzlich nicht öffnen. Dies gilt auch für Anhänge, Dateien und Mails von Bekannten.
Programme nur aus zuverlässigen Quellen installieren. Programme aus Tauschbörsen, Warez-Seiten usw sind oft mit Viren verseucht. Programme bezieht man daher am besten nur vom Original-Hersteller oder über sichere Portale wie z.B. http://www.heise.de/software/
Hirn einschalten: Nicht auf alles klicken, was nicht bei drei aufm Baum ist. Nicht allem glauben, denn Absender usw von Mails & Co lassen sich problemlos fälschen.
Nicht blind auf sog. „Sicherheits-Tools“ vertrauen: Virenscanner und Firewall sind zwar oft sinnvoll, aber sie sind kein zuverlässiger Schutz. Wer die obigen Regeln nicht beachtet, dem hilft auch kein Virenscanner und keine Firewall. Dann sind Infektionen so oder so nur eine Frage der Zeit.