Was ist die "altfemi.exe"? Virus?

[Roy]

Seit gestern befindet sich im Systemstart (msconfig) ein Eintrag: altfemi.exe, ich habe mit "Security Task Manager" meine Prozesse getestet und da wird "Altfemi" mit 80% ptentiell gefährlich eingestuft. Im C:\Windows\System32-Ordner befindet sich die Altfemi.exe und Altfemi.dat. Das einzigste was ich gestern gemacht habe, ist ein automatische Windows-Update - ich kann mir sonst nicht erklären wo die Dateien herkommen sollen. Spybot, Adaware und Antivir haben keine Fehler gemeldet. Weiß jemand mehr darüber, kann/muss ich die Dateien löschen? Danke.

 

[Ralf B.]

Hast du das Windows-Update von der offiziellen Microssoft Seite gezogen?

 

[Tea&Fruit]

Ich schätze mal, dass wird deshalb zu 80% als Bedrohung eingestuft, weil es im System32-Ordner ist, das ist ja praktisch der Lieblingsort von Viren. Aber wenn du Firewall und Virenscanner laufen hast, würde ich mir nicht unbedingt sorgen machen. Kann ganz einfach ein neuer Windowsdienst etc. sein.

 

[Ralf B.]

lade dir mal den Process Explorer von http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Da kannst du dann leicht herausfinden, um welchen Prozess es sich handelt, und von welchem Ursprung der Prozess ist.

 

[Roy]

Ich habe mit TuneUp 2004 nachgeschaut - da steht als Programm: "JVM0.14" - was immer auch das ist.

 

[Ralf B.]

Na bitte. Schaust du da: http://www.bleepingcomputer.com/startups/[random]-7963.html

EDIT: Auch interessant für dich: http://www.sophos.de/virusinfo/analyses/trojteadoorb.html

 

[Roy]

Ups - ein Trojaner? Warum wird er dann nicht von Adaware, Spybot und Antivir gefunden?

 

[Ralf B.]

Alle von dir erwähnten Programme immer auf dem aktuellsten Stand?
Mal ein anderes Programm benutzen.

 

[Roy]

Ja, alle auf dem neuesten Stand. Ich update ca. jeden 2. Tag - sofern verfügbar.
Was mich jetzt am meisten wundert ist, wie ich die Datei erhalten habe. Ich habe nur da automatische (also nehme ich an von der offiziellen Seite) Windowsupdate gemacht. Die Windowsfirewall ist auch aktiv und hat nichts gemerkt.

 

[NikoNet]

Das muss nicht unbedingt ein Trojaner sein. Kann es eventuell etwas mit Java Virtuel Mashine usw. sein?

 

[Roy]

Java Virtuel Mashine

und wie finde ich das heraus? Hat denn einer von Euch diese Datei auf dem Rechner?

 

[Iboman]

Lass mal einen anderen Virenscanner, wie z.B. eScan (powered by Kaspersky), deinen PC überprüfen:

http://www.trojaner-info.de/hijacker/escan.shtml

Laut dem 2. Link von Ralf B. ist sehr stark davon auszugehen, das es sich um den Trojaner handelt:

"Troj/Teadoor-B kann eine Datei im Windows-Systemordner erstellen, die denselben Namen wie der Trojaner, jedoch mit einer DAT-Erweiterung, hat. Diese Datei ist harmlos."

 

[kisser]

Ich denke auch es ist ein Trojaner, zu altfemi.exe findet google nicht einen einzigen Eintrag, vermutlich generiert der Trojaner diesen Namen zufaelllig.

 

[Roy]

Ich habe sie mittels "security task manager" erstmal in Quarantäne geschickt.

Ich werde auch mal eScan testen.

Danke.

 

[MarcusY2k]

Ja, alle auf dem neuesten Stand. Ich update ca. jeden 2. Tag - sofern verfügbar.
Was mich jetzt am meisten wundert ist, wie ich die Datei erhalten habe. Ich habe nur da automatische (also nehme ich an von der offiziellen Seite) Windowsupdate gemacht. Die Windowsfirewall ist auch aktiv und hat nichts gemerkt.

-> die Windowsfirewall protokolliert nur Datenverkehr auf bestimmeten als "kritisch" eingestuften Ports. Du solltest eine Software Firewall verwenden (z.B. Zone Alarm usw.)

AntiVir hat übrigens bei mehreren Leuten aus meinem Bekanntenkreis schon öfters Bedrohungen übersehen und rate seitdem jedem davon ab!

Deaktiviere die Systemwiederherstellung, starte Deinen PC im abgesicherten Modus und lasse Deinen PC nun im abgesicherten Modus mit Deinem AntiViren Programm scannen.

Mfg,
Marcus