Leute, wer mit Windows heute hier im Netz war - sollte mal den Prozessmanager starten und kucken ob da ein Prozess ganz oben steht der mit KHAN anfängt und als ".exe" (ausführbare Datei) gekennzeichnet ist.
Ich war heute nur hier (googlen läuft meisten erst nach Mitternacht) und zwischendurch ist mein Textverarbeitungsprogramm zusammengebrochen - angeblich wegen mangelndem Speicher. Nun bin ich kein "ganz blöder PC-Freak" und hab' mich also auf die Suche gemacht - und bei diesem obskuren "Khan###exe gelandet - zweimal (einmal in einer virtuellen Testumgebung (Sandbox), da hies das Ding KHANDJM.exe und einmal im Hauptrechner (KHANDXX.exe). Von Antivir ist die Sache nicht erkannt worden, auch nicht von F-Secure.
Über Nacht lass' ich mal eine heuristische Suche mit Clam durchlaufen... mal sehen was dabei 'rauskommt. Wenn ihr von einem solchen Phänomen betroffenm seit - sucht den Prozess, deaktiviert ihn von Hand, macht einen Neustart und lasst gleich darauf (noch vor dem ersten Weg in's Internet; notfalls Netzwerkkabel abziehen) den CC-Cleaner inklusive Registrycleaner laufen - und weg ist das Problem.
Der-Einsiedler
Unregistered
Was ist denn der Prozessmanager, wo findet man den?
Gruss
DE
Nachtrag: Ich hab den Prozessmanager gefunden, über TASK-Manager, und dann "Prozesse". Aber der zeigt nur die von heute an. Kann ich das auch nachträglich irgendwo prüfen?
Gruss
DE
Windows hat standardmässig eine Log-Datei, in der Systemaufrufe, Programmaufrufe und Programm abstürze protokolliert sind. Der einfachste Weg die zu finden ist: Internetexplorer starten, auf die Update-Seite von Windows gehen, die neuesete Version von "desktop search" herunterladen, installieren - und dann haste in der Taskleiste ein freies kleines Feld wo grau unterlegt "Desktop durchsuchen" 'drinsteht. Da tippste '.log' (alternativ für Windows 2000/ME/98 '*.log' ein - und Windows sucht die logdateien heraus und zeigt sie in Wordpad oder im Editor an.
Ich habe gestern nacht noch ein paar PC-Freunde kontaktiert - zwei hatten dieses Programm als Malware auf dem Rechner entdeckt und lediglich ein Update von Norton gestartet - und weg war der Sch####. AntiVir hat heute morgen auch erstaunlich viel an Aktualisierung herunter geladen - also die Anti-Virenproghramme haben da wohl schon reagiert. Wenn Dein Update vom Schutzprogramm automatisch läuft - kriegste warscheinlich von der Malware garnix mit. Ich hab's such nur deshalb gemerkt, weil ich per UMTS in's Internet gehe - und da kriegste sofort mit, wenn irgendein Programm Dich ausbremst. Und genau das war ja bei geöffnetem religionsforumsfenster und Start des Textmakers der Fall... Bei DSL-Leitungen ist die Übertragungskapazität so hoch, dass selten Webseitenanforderungen im Speicher zwischengelagert werden.
Der-Einsiedler
Unregistered
Ja, mein Antivir (sogar die gebührenpflichtige Version) ist immer auf dem allerneusten Stand, wird täglich mehrfach aktualisiert, sofern neue Updates vorliegen. Ich suche trotzdem nochmal gezielt.
Schönen Gruss und Danke für die Infos
DE
...ich hab die Freeware und zusätzlich noch das kostenpflichtige Clam.
Die Freewareversion hat gestern noch 900kb Daten 'heruntergeladen und eben nochmals 388 kb - 19 Dateien aktualisiert - normal sind 3 oder 4 aktualisierte Dateien am Tag....
Ich nehme mal an, das betrifft "nur" wieder Windowsrechner?
Gruß
Richtig, ".exe-Programme" laufen unter Linux nicht (es sei denn in der Linuxversion der Sandbox oder im VM - aber da richtet das keinen Schaden an).
....ich sollte vielleicht mal einen neuen Trafo für meinen Linuxrechner kaufen.... dann passiert mir sowas nicht.....:icon_rolleyes:
Nun, es wäre ja denkbar, daß es unter der wine-Emulation aktiv werden könnte, sofern keine weiteren Bibs nötig sind.
Gruß
...ist bei wine, Quemu, VM/VN weniger das Problem. Der Host (Linux) stellt zwar dem Guest (virtuelles Windows) des Netzwerkadapter zur Verfügung, der Kernel filtert aber mit Firewall und Virenschutz die Windowsaufrufe. Trotzdem kann sich ein Schadprogramm einnisten, es kann aber nicht den gesamten Rechner ausspähen und Informationen versenden, sondern lediglich die "Sandbox" bzw. die virtuelle Maschine. Die systemwichtigen Daten sowie die wichtigen persönlichen Daten liegen in der Regel auf dem Linux-Host; ein Schadprogramm kann also allenfalls die Spieledateien auf dem virtuellen Windowsrechner einsehen.
Da die Filterung unter Linux via Kernel in beide Richtungen - raus und rein - funktioniert, ist es ziemlich unwahrscheinlich dass das geschilderte Schadprogramm überhaupt die Barriere passieren kann, zumal - und das vermute ich - meistenteils die Scriptaufrufe des Schadprogramms sich auf die Registry beziehen. Und die gibt's bei Linux nicht: Programm kontaktiert den Linux-Kernel, fragt nach der Registry zwecks Eintragung - die gibt's nicht und das Programm verschwindet im Computer-Nirwana... Anders wäre das bei einem Scriptaufruf unter JS (Java-Script), das sich im Browser festsetzt. Aber heutzutage sind Firefox und IE8/9 so gut, dass da auch wenig Chancen für bestehen.
Die beste Sperre zwischen dem virtuellen Windows und dem Linux-Host - ist immer noch der Linux Kernel...:icon_cheesygrin:
Der-Einsiedler
Unregistered
Also, da wären mir diese Eure Texte auf Latein lieber und verständlicher *griiiins*
...also...."kurz und knapp" geht schon mal gar nicht....:icon_cheesygrin:: ###.linuxland.de..... ###.linuxuser.de....###.easylinux.de.....
Beiträge: 2413
Themen: 35
Registriert seit: Jul 2009
logemann: Auch sie werden alle bekehrt werden ;))
Erst wenn die letzte Datei verseucht, der letzte PC gerootkited ist, werdet ihr merken, das man Windoof nicht verwenden kann ;)
Aut viam inveniam aut faciam
Nochmal zurück zum "KHAN.exe" - es könnte sein, dases sich hier um ein spezielles UMTS-Problem handelt (ich gehe ja mit UMTS in's Netz). Ich bleib' da an der Sache 'dran - und informiere euch, wenn ich was Neues weiss.
Beiträge: 12910
Themen: 297
Registriert seit: Apr 2004
Ich habe nichts dergleichen finden können, halte aber ebenfalls die Augen offen.
Mit freundlichen Grüßen
Ekkard
