"DpRn" / "gyToN" / "QBtB" / "FRFYCS.exe" / "0.8413002255531274.exe" / - WTF???

ruyven_macaran

ruyven_macaran

Trockeneisprofi (m/w)
Moin.
Sagen irgendjemandem obige Zeichenkombinationen etwas?
Mir ist eben gerade mir nichts dir nichts beim Surfen im Forum ein Fenster aufgegangen mit dem Titel
"DpRn"
und der Meldung
"Finished" (+OK-Button)

Nur hab ich da nie einen Auftrag gegeben und wüsste auch nicht, wo das Ding herkommen sollte...
Der zum Fenster gehörende Prozess basiert auf einer nur wenige Minuten alten "0.8413002255531274.exe" (253 kib) im TMP-Ordner. In deren Details steht
Produktname: gyToN
Produktversion: 5.08.0009
Sprache: Englisch (USA)
Marken: QBtB
Originaldateiname FRYCS.exe

Abgesehen von Opera sind keine Programme oder Tools mit Internetverbindung aktiv. (Programme sonst überhaupt nur noch Word und Excel)
 
Also zumindest die Datei klingt für mich nach einem Trojaner - habe schon einige dieser .exe Files gesehen - und der Temporäre Ordner in dem die .exe liegt ist auch äußerst verdächtig - kannst ihn ja mal auf www.virustotal.com checken.
 
Jop, ist aufjedenfall ein Trojaner - Das dumme ist das in Windows der Temp Ordner ohne große Rechte zugänglich ist und sich der Trojaner da schnell reinnistet. Virenscanner helfen da oft nicht da viele Trojaner mittlerweile einen komplett neuen HashWert erzeugen wenn sie aufs System kommen. Somit kann die Datenbank des Virenprogramms nicht schützen.

Vielleicht warst du auf einer Website unterwegs die halt eben nicht vertrauenswürdig ist - Der Server auf dem die Website liegt muss nur ein paar Pakete schnürren und zack hast du die Malware/den Trojaner im Temp Ordner.
Meine empfehlung ist ein "Ram-Drive" ( Laufwerk im Ram ) auf welches man sich den Temp Ordner legt - dadurch wird der Temp Ordner gelöscht bei jedem Neustart - da der Ram ja ein flüchtiger Speicher ist. :daumen:

Edit:
Evtl. hat sich die exe schon in den Autostart eingetragen - check das am besten mit dem Tool "Autoruns" - die Datei kannst du normalerweise recht einfach löschen im Temp Ordner (C/windows/temp).
 
Hab die Meldung auch grad bekommen und bin hier drauf gestoßen. Bei mir handelt es sich um die 0.9945255155363868.exe die läuft. Avira ist nicht angesprungen mehr weis ich immo noch nicht....

Edit: Muss aber heut beim surfen passiert sein da gestern noch nichts kam. Meine angesteuerten Seiten waren:

http://www.pcgameshardware.de/
http://www.computerbase.de/
http://www.gamestar.de/
http://www.gamepro.de/
http://www.play3.de/
http://www.mmo-champion.com/content/
http://winfuture.de/
http://www.faz.net/

Und was mir auch noch auffällt das Java nu im Hintergrund läuft...
 
Zuletzt bearbeitet von einem Moderator:
Avira und viele Anti-Viren Programme sind Unsinn meiner Meinung nach - ich bin Azubi in der IT und habe selbst noch nicht mal nen Antiviren-Programm installiert und hatte noch nie einen Virus innerhalb von 7 Monaten die mein Windows jetzt schon auf der SSD gleitet. Ich finde es sinnvoller vllt jede Woche mal nen Virenscann mit einem "Live-medium" zu machen. Die Kaspersky Rescue Disk ist sehr zu empfehlen - die findet wirklich viel!

Check die Datei einfach mit VirusTotal Spaiki
 
ATi-Maniac93 schrieb:
Avira und viele Anti-Viren Programme sind Unsinn meiner Meinung nach - ich bin Azubi in der IT und habe selbst noch nicht mal nen Antiviren-Programm installiert und hatte noch nie einen Virus innerhalb von 7 Monaten die mein Windows jetzt schon auf der SSD gleitet. Ich finde es sinnvoller vllt jede Woche mal nen Virenscann mit einem "Live-medium" zu machen. Die Kaspersky Rescue Disk ist sehr zu empfehlen - die findet wirklich viel!

Check die Datei einfach mit VirusTotal Spaiki
Zum Vergrößern anklicken....

6 von 42 melden einen Trojaner...
 
Habe das Ding gelöscht und nach einen Scan (bitdefender - scheint derzeit der einzige erkennende mit kostenlosem live scan zu sein) wurde auch nichts mehr gefunden, autoruns zeigt ebenfalls nichts verdächtiges an.
Aber nach 2 Stunden war es eben wieder da (mit komplett neu Vergebenen Zeichen für die .exe, aber gleichem Fenster).
Webseitenmäßig war ich wiederum nur hier im Forum und auf der Main unterwegs...
 
Kaspersky Rescue Disk hat bisher auch nur die *.exe entdeckt und entfernt...
 
ATi-Maniac93 schrieb:
Avira und viele Anti-Viren Programme sind Unsinn meiner Meinung nach - ich bin Azubi in der IT und habe selbst noch nicht mal nen Antiviren-Programm installiert und hatte noch nie einen Virus innerhalb von 7 Monaten die mein Windows jetzt schon auf der SSD gleitet. Ich finde es sinnvoller vllt jede Woche mal nen Virenscann mit einem "Live-medium" zu machen. Die Kaspersky Rescue Disk ist sehr zu empfehlen - die findet wirklich viel!

Check die Datei einfach mit VirusTotal Spaiki
Zum Vergrößern anklicken....
Dann sollte dir aber zumindest das Stichwort "Verhaltenserkennung" geläufig sein - Windows ganz ohne AV-Programm laufen zu lassen ist gelinde gesagt fahrlässig. Zudem ist es fraglich, ob man dann, nur weil ein Virenscan aus einem Live-System heraus nichts findet, den Schluss ziehen kann, dass das System sauber ist. Von daher sind Aussagen wie "ich hatte noch nie einen Virus" in etwa so viel wert wie wenn ich sage, dass niemand Fremdes Zugriff auf mein Konto hat, nur weil ich bislang keine verdächtigen Transaktionen bemerkt habe.

MfG Jimini
 
Ich hatte doch geschrieben - dass ich es vorziehe immer mit LiveMedien zu scannen - wie z.B der Rescue Disk - also habe ich sehr wohl eine feststellung gemacht, auch ohne AntiVirus-Programm...

Und die Verhaltenserkennung XD
Die ist ein Witz bei vielen Programmen - was will man noch an Verhalten erkennen wenn der Virus schon alles blockiert und Dienste abschießt...
Also aus Erfahrung weiss ich das z.B mein Cousin, der schon eine Vielfalt von Virenscannern hatte - auch mit Heuristikschutz z.B den BKA-Trojaner bekam.
 
Habe die Meldung auch gerade bekommen -.-
Was geht hier denn bitte ab?
Lasse gerade noch F-Secure drüber laufen aber das scheint gerade nichts zu finden? Hat das Problem schon jemand behoben bzw. weiß was der für Auswirkungen hat?

Edit: Muss mich berichtigen. Habe fix manuell ein Update von F-Secure gemacht und noch einmal gescannt, tada Virus gefunden.

"Trojan.Generic.KDV.600260 (Virus)
C:\Users\....0.6689485643900862.exe" --> nun unter Quarantäne.

Ich hoffe mal damit hat es sich erledigt. Vielleicht einmal Virenscanner aktualisieren. ;)
 
Zuletzt bearbeitet:
Ich hab auch diese "DpRn - Finished" Meldung - bereits seit gestern oder vorgestern. Meine Datei sieht so aus DpRn.JPG .

Edit: Hab noch mal geschaut - im bereits bekannten Ordner "c:/benutzer..../temp" doch erst seit heute Nachmittag - hab jetzt schon 3 dieser Dateien im Ordner . :ugly:
Jetzt laß ich mal AVIRA durchlaufen...
 
Zuletzt bearbeitet:
Jimini schrieb:
Dann sollte dir aber zumindest das Stichwort "Verhaltenserkennung" geläufig sein - Windows ganz ohne AV-Programm laufen zu lassen ist gelinde gesagt fahrlässig. Zudem ist es fraglich, ob man dann, nur weil ein Virenscan aus einem Live-System heraus nichts findet, den Schluss ziehen kann, dass das System sauber ist. Von daher sind Aussagen wie "ich hatte noch nie einen Virus" in etwa so viel wert wie wenn ich sage, dass niemand Fremdes Zugriff auf mein Konto hat, nur weil ich bislang keine verdächtigen Transaktionen bemerkt habe.
Zum Vergrößern anklicken....

Also ich habe zumindest in den letzten 11 Jahren (davor zähl ich mal mangels Flatrate nicht mit) keine Auswirkungen der Live-Scan-resistenten Viren gefunden. Und gemeldete Infektionen hatte ich in dem gesamten Zeitraum viermal: Einmal über eine ICQ-Übertragung von einer Person, die ich für schlauer gehalten hätte, einmal weil eine Windows-Reperaturinstallation das Betriebssystem auf XP SP1 zurückgesetzt, aber die DFÜ-Verknüpfung im Autostart belassen hat und eben die beiden heute.
Die machen mir aber in der Tat Sorgen, ich dachte bislang eigentlich, es gäbe keine passiven Exploits (also solche, die ohne Aktion des Users gestartet werden können) für Opera. :(


Funkill schrieb:
"Trojan.Generic.KDV.600260 (Virus)
C:\Users\....0.6689485643900862.exe" --> nun unter Quarantäne.

Ich hoffe mal damit hat es sich erledigt. Vielleicht einmal Virenscanner aktualisieren. ;)
Zum Vergrößern anklicken....

Hat mitlerweile schon jemand etwas anderes als die .exe gefunden? Mir kommt es etwas merkwürdig vor, dass das Ding es bei einer .exe im temporären Ordner belässt und auch noch so blöd ist, sich als solche zu melden.



Bezüglich der Quelle:
Scheint tatsächlich die Main zu sein und die Red ist dran. Ursache ist wohl ein Hacker, der dem Wortlaut nach aber noch weit mehr Ziele ins Visier genommen haben soll - also vorsichtig surfen.
 
ruyven_macaran schrieb:
Die machen mir aber in der Tat Sorgen, ich dachte bislang eigentlich, es gäbe keine passiven Exploits (also solche, die ohne Aktion des Users gestartet werden können) für Opera. :(
Zum Vergrößern anklicken....
Japp mit Opera habe ich mich bisher auch immer relativ sicher gefühlt, da alleine der Verbreitungsgrad sehr gering war. (Auch wenn das immer nur indirekt etwas damit zu tun hat)

ruyven_macaran schrieb:
Hat mitlerweile schon jemand etwas anderes als die .exe gefunden? Mir kommt es etwas merkwürdig vor, dass das Ding es bei einer .exe im temporären Ordner belässt und auch noch so blöd ist, sich als solche zu melden.
Zum Vergrößern anklicken....
Also bei mir kam es bis jetzt noch nicht wieder und scheint auch keine weiteren Einflüsse zu haben auf mein System. :huh:

ruyven_macaran schrieb:
Bezüglich der Quelle:
Scheint tatsächlich die Main zu sein und die Red ist dran. Ursache ist wohl ein Hacker, der dem Wortlaut nach aber noch weit mehr Ziele ins Visier genommen haben soll - also vorsichtig surfen.
Zum Vergrößern anklicken....

Vielleicht will der Hacker nur Aufmerksamkeit ohne wirkliche Einflussnahme auf das System? Bei Configer war es doch ähnlich, seine wirklichen Ziele hat er nie richtig offenbahrt.
 
Also ich hab mir das DpRn Dingsi eingefangen, mit Explorer 9. Avira sagt 64 versteckte Objekte und hat sie entfernt. Dann hab ich noch im Windows Temp Ordner die Änderungsdateien von gestern und heute gelöscht. Bin sehr gespannt.

Hab auch meist nur auf PCGH oder den einschlägigen Websites zum Thema Hardware gesurft, bißchen Youtube war auch dabei, das wars.

In so einem Moment freue ich mich immer mein Geld der Sparkasse in den Rachen zu werfen und nicht von onlineBanking abhängig zu sein :)

Edit:

10 Surfstunden später :

Ist weg, ploppt nicht mehr auf.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PrivacyShield
Windows 10 Leistungsoptimierung und Maximaler Datenschutz [GUIDE]
Antworten
0
Aufrufe
4K
PrivacyShield
PrivacyShield
Euda
PPFX Shaderpack für ReShade | Neu: 1.04.02 - Bessere Grafik in jedem Spiel!
Antworten
5
Aufrufe
6K
xNeo92x
xNeo92x
ruyven_macaran
[Problem]mysteriöse Vollauslastung
2
Antworten
22
Aufrufe
2K
Schnitzel
Schnitzel
Braineater
[Review] Roccat Isku FX - vielseitige Gamertastatur mit anpassbarer Beleuchtung
2
Antworten
28
Aufrufe
17K
Performance-Gaming
Performance-Gaming
DarkMo
[Workshop] XVM-Mod
12 13 14
Antworten
270
Aufrufe
138K
DarkMo
DarkMo
Oben Unten
Zurück