# 31st.exe



## L1qu1dat0r (10. Dezember 2011)

Hab seit gestern eine Malware auf dem Rechner.

AVG meldet sich immer mal wieder und will die Dateien in Quarantäne verschieben.

Dacht die sache währe nach dem ersten mal erledigt.
Aber weit gefehlt.

Weiß nicht genau wo ich den herhab.AVG hat auch keinen Namen für die Malware.

Das ist das Protokol:




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




Kurz vorher hab ich COD 4 wieder instaliert,Patch 1.6 +1.7 runtergeladen und Punk buster neuste version.

Könnte ja auch ein fehlalarm von AVG sein...hmmm.
Bin ziemlich ratlos. MS-Config mal durchgesehen wegen verdächtiger Progs oder Prozesse.

Da ich vor ca 2 Monaten Formatiert hatte ,bin ich nicht so wild darauf alles neu aufzusetzen.


Für Tip`s währe ich Dankbar.


MFG


----------



## Sanchi (10. Dezember 2011)

Yo Servus KillerPfote!

Leider hab ich keine Lösung für dieses Problem weil ich selbst auch davon betroffen bin!

Das gleiche wie bei dir. gestern hats angefangen und heute gehts munter weiter. Und nicht nur diese 31ST.exe. Bei mir kamen noch ein paar mehr solcher meldungen und jedes mal wars was anderes.
Die 31ST.exe kommt bei mir nur jedes mal wenn der PC neu hochfährt. Bin sogar direkt manuell in den Ordner gegangen wo des ding angeblich sein soll aber der is leer (hab natürlich die aufforderung das teil in Quarantäne zu verschieben abgelehnt weil ich nachschauen wollte)

Hab mir sogar Malwarebytes geladen und meinen PC ma durch laufen lassen. Der Gag is, MWB hat NULL, NADA, NIX gefunden.

Ich schließe mich KillerPfote an und bitte ebenfalls um Hilfe wenn wer ne Lösung hat oder weiß was da sache ist.

MfG, Sanchi


----------



## L1qu1dat0r (10. Dezember 2011)

Wie du am Protokoll sehen kannst hab ich immer zwei verschiedene Malwarnungen.
Die zweite ist :ISDEF.EXE .
Wenn AVG sie in Quarantäne verschiebt muss der Rechner neu gestartet werden.

31ST.EXE gehört eigentlich zum InstallShild,Installationsprogram .
Warscheinlich tarnt sich der Malware so.

Die Ordner sind bei mir auch leer.
hab sie mal gelöscht ,ohne erfolg.

Es gibt nicht viel inm I.-net darüber zu finden.


PS.:Welches Antivierenprogramm benutzt du??

PPS.: das hab ich noch an info gefunden.
http://translate.google.de/translate?hl=de&sl=en&u=http://www.prevx.com/filenames/90298883090678145-X1/31.EXE.html&ei=18jjTpvFGYr1sgbqwfSLCQ&sa=X&oi=translate&ct=result&resnum=2&ved=0CC0Q7gEwAQ&prev=/search%3Fq%3DMalware%2B31ST.EXE%26hl%3Dde%26qscrl%3D1%26nord%3D1%26rlz%3D1T4GGHP_deDE453DE453%26biw%3D1440%26bih%3D744%26site%3Dwebhp%26prmd%3Dimvns

aus dem English übersetzt.
Hab nichts angeklickt,weiß nicht ob das ne abzieherseite ist.


----------



## Sanchi (10. Dezember 2011)

Ja irgendsowas kam bei mir auch mit raus.

Keinen blassen dunst was der scheiß soll. Ich selbst benutz des gleiche wie du, AVG.

Zu dem link den du da gefunden hast, wenn ich du wäre würde ich auf der seite weder was anklicken noch laden noch sonst was.
Hab zwar nur kurz drüber gelesen aber mein magengeschwür sagt mir das des iwi nich ganz sauber is


----------



## L1qu1dat0r (10. Dezember 2011)

Jo seh ich auch so.
Keine Panik.
Bin ansich recht misstrauisch.

Könnte das nicht fehlalarm sein von AVG??

Hast du Punkbuster drauf??


----------



## turbosnake (10. Dezember 2011)

Laut WOT alles iO mit der Startseite der verlinkten HP komplett grün, die HP gibt es seit 2003.
Quelle:prevx.com Prevx - Customer and Network Security and Breach Management
Scheint eine Firma zu sein die Antimalware produkte anbietet:Prevx - Download - CHIP Online


----------



## Sanchi (10. Dezember 2011)

Punkbuster habsch net drauf. bzw des sagt mir gar nix o_O

@ turbosnake, dein link gesehn, die bewertung bzw beschreibung gesehn..... ich weß net, vor allem kanns net sein das die was ham was MWB net findet bzw killt.
und desweiteren hoff ich drauf das es hier eventuell jemanden gibt der iwi was weiß was des gemeinsame prob von KillerPfote und mir is.


----------



## L1qu1dat0r (11. Dezember 2011)

Punk Buster ist ein Anticheattool.Das muss man bei manchen onlinegames instaliert haben.
Vermute halt,das AVG irgenteine anwendung falsch als Maleware identifiziert.
Schonmal öfter so Programmunverträglichkeiten erlebt.

Ist auch merkwürdig, das wir beiden die einzigsten sind ,die sich die Malware gefangen haben soll^^.
Mein Problem besteht weiterhin,vorallem nach dem ersten hochfahren.


----------



## AlphaStrike (11. Dezember 2011)

Ihr seit nicht die Einzigen. Hab seit ein paar Tagen genau das selbe  Problem aber leider auch keine Lösung. Erst fing es mit der 31ST.exe an  und dann kam noch diese die ISDEF.EXE dazu. Merkwürdiger Weise hatte ich  grad mal 2 Tage vorher Windows neu aufgesetzt und bin mal wieder von  Antivir auf AVG umgestiegen aber hab weder Punkbuster noch irgendein  Spiel installiert. Nur die paar Standard Programme die man so braucht.  Adobe,Winrar,VLC,Nero etc. Da wird wohl irgendwo was dabei gewesen  sein.Leider sind wir jetzt immer noch nicht schlauer. Zum kotzen diese  Zeit die man dafür verschwendet.


----------



## Petich (11. Dezember 2011)

Hallo Zusammen, 

selbst eine Neuaufspielung von AVG bringt nichts, somit muss bei denen was in der Datenbank fest hängen.... Was ich als verdacht habe ( habe im übrigen Haar genau das selbe Desaster) ist Origin, habt Ihr Origin? -> Battlefield 3 -> Das Problem kam nach dem letzten Patch von BF... jedoch 4 Tage zu spät... 

@Alphastrike: Es liegt mit Sicherheit nicht an deinen neu aufgesetzten sachen... Mein System läuft knapp nen Jahr (Win7 64b) und die Nervensägenmeldung erst seit einigen wenigen Tagen. 

Ach noch was, das ganze lamed Mozilla Programme und VLC. Seiten im Mozilla brauchen bis zu 3 Min bis sie laden, habt ihr das auch?


----------



## L1qu1dat0r (11. Dezember 2011)

Hab orgin nicht drauf(kein BF3).Scheidet aus.
Gestern war der IE(glaube 9) etwas langsamer,aber schwankt ja sowiso je nach Netzauslastung.
Hab auch VLC,Adobe Reader ,Flash Player,X-Fire .........................
Finde im I-Net nichts weiter über 31ST.EXE


----------



## Sanchi (11. Dezember 2011)

Nya also ich hab weder punkbuster noch sonstiges in der richtung was ihr da habt. Mozilla läuft bei mir wie geschmiert. Hab weder Windoof neu draufgehauen, geschweige denn AVG neud rauf gemacht.
Als ich das letzte mal Windoof neu drauf gespielt hab .... boah wann warn des..... ka, glaub so vor 7- 8 Monaten?!

Immerhin sind Killer und ich nimmer die einzigen die dieses prob haben

@ AlphaStrike
Stichwort VLC, ich hab mir gestern oder vorgestern ka wann jetzt genau,  die VLC 1.2 beta geladen.
Und außer dem VLC beta dingens hab ich die tage programm technisch nix runtergeladen. Mal so ne ganz ganz wage und dumme vermutung.... Könnte es an der VLC 1.2 beta liegen? weil halt beta und beta versionen
sind in den eher wenigsten fällen bomben sicher und einwandfrei.

Zumindest aus meiner erfahrung, test berichte etc


----------



## Tyrael (12. Dezember 2011)

Ich kann euch beruhigen, ich habe das gleiche Problem seit ca einer Woche. Habe vor 2 Wochen zwecks Hardware umbau meinen PC komplett neu aufgesetzt mit AVG, Office, VLC usw usw ^^ bei mir fing es auch nur mit der 31st.exe an, mitlerweile ist denn auch die Isdef.exe mit dabei. Hab auch schonmal Spybot drüber laufen lassen der hat nichts gefunden ebenso wenig wie der Stinger von McAfee. bin mitlerweile auch echt ratlos, weil ich auch nicht wirklich was gefunden habe im Netz über die beiden exe Dateien, nur diesen Thread hier. Mir stellt sich noch die Frage welchen Browser ihr nutzt, weil ich hatte das erstemal eine Meldung nachdem ich mir Chrome installiert habe und der telefoniert ja bekannter Weise nach Hause. Ob es vllt mit dem was zu tun haben könnte.
greetz


----------



## onslaught (12. Dezember 2011)

Wie ich das lese benutzen alle mit diesem Prob den AVG-Scanner, schon mal restlos entfernt und probeweise einen anderen Scanner getestet ?


----------



## HHermann (12. Dezember 2011)

Hi
Seit heute habe ich das gleiche problem, nach dem ich ein update vom AdobeReader machte kam diese Meldung von meinem AVG
Ob es vieleicht mit dem update zu tun hat?

Hermann


----------



## Sanchi (12. Dezember 2011)

@onslaught
AVG Internet Security hab ich schon wesentlich länger drauf als wie es bei den anderen ist.
Gescannt hab ich mit MWB und der hat auch nix gefunden. das einzigste Progi wie bereits erwähnt is die VLC 1.2 Beta.
sons hab ich die Tage nix Progi technisch gemacht


----------



## onslaught (12. Dezember 2011)

Könnte ja ein falscher Alarm sein der durch ein Update der Virendatenbank ausgelöst wird.


----------



## Tyrael (12. Dezember 2011)

Ich hatte AVG auch vorher schon ewigkeiten drauf und da hatte ich nie Probleme gehabt erst seitdem ich den PC umgebaut habe und Google Chrome Ich hab VLC 1.1.11 drauf also muss es nicht unbedingt an der 1.2 Beta Version liegen


----------



## BautznerSnef (12. Dezember 2011)

Versuchts mal mit IObit Malware Fighter - Download - CHIP Online

IObit Malware Fighter Free 1.20.16 Test Security-Suite


----------



## AlphaStrike (12. Dezember 2011)

Ja stimmt das Problem mit Mozilla hab ich auch.


----------



## AlphaStrike (12. Dezember 2011)

@Sanchi 

Ne hab auch noch die VLC 1.1.11 drauf


----------



## L1qu1dat0r (12. Dezember 2011)

Hab auch VLC 1.1.11.

Aber wieso erkennt nur AVG die Malware???

Echt die haben bestimmt was versaubeutelt bei irgend einem letzten Update.

Wobei nicht alle zur gleichen Zeit die Malwarewarnung das erste mal zu Gesicht bekahmen^^.Oder??

Sanchi und ich hatten am 9.12 die erste Warnung,ca 5.12 Tyrael,HHerman seit 12.12.

Hat mal einer AVG kontaktiert,vlt wissen die ja mehr.

Hab nur die Freeversion. Schätze da gibt es kein Support.

Dafür,das die Warnungen ein Hausgemachtes Problem von AVG sind, spricht auch,das andere Antivierenprogs nichts finden^^.

Wenn einer ne lösung hat,die nichts mit Neuinstalation zu tun hat,Melden....


----------



## TheNic (12. Dezember 2011)

Hallo Jungs!
Bin gerade auf den Thread gestoßen da ich das gleiche Problem habe!
Habe vorgestern meine Hardware neu aufgesetzt und prompt kam die Fehlermeldung! 
Ne Woche vorher war noch alles in Ordnung!
Ich kapiers nich....


----------



## L1qu1dat0r (12. Dezember 2011)

Hab gerade mal AVG angeschrieben

AVG - Bericht einer Fehl-Erkennung

mal kucken was bei rauskommt.


----------



## IRA (12. Dezember 2011)

Hi, 
ich hab seit heute das selbe Problem, das Antivir erkannt hat. 
VirusTotal meldet, dass 7 Antivirenprogramme 31st.exe als Malware erkennen (weiter geholfen hat mir das aber auch nicht...):

https://www.virustotal.com/file-sca...b44878c34320f8ef8e56588f4f1028f64c-1323720348

Die einzige Parallele ist, dass ich mein System auch vor einer Woche neu aufgesetzt habe. 
Ich hab heute zuerst Internet Explorer 7, dann 8 installiert, und dann kam das Problem (Zufall?) 

Normalerweise nutze ich Firefox, der hatte dann heute auch so seine Probleme...


----------



## Sanchi (12. Dezember 2011)

Boah alter IST DAS ÄTZEND! An alle die hier mit schreiben:

Ich würde vorschlagen das ALLE die AVG benutzen mal an den supp schreiben so wie KillerPfote!
Der Rest an ihre jeweiligen anti Viren Progi Betreiber!

Wenn ich hier mal alles zusammen fasse und einfach mal frei ausm Bauch heraus entscheide, liegt die Schuld wohl doch an AVG weil diese dapperten hobelschlunzeln wohl tatsächlich was in deren ihrer datenbank vergeigt haben.

Meine Email Schick ich morgen, geh jetzt pennen. Moin früh wieder arbeiten muss.


----------



## hhh46 (12. Dezember 2011)

Bei mir das gleiche Problem. Aber nicht von AVG erkannt, sondern von MSSE.
Ich denke, daß es eher kein Fehlalarm ist.

Mit HijackThis habe ich nichts Verdächtiges gefunden.
Hat schon mal jemand in Richtung Rootkit gedacht?
Ich werde wohl mal RootkitHookAnalyzer versuchen.

Könnte man vielleicht mit Filemon rausbekommen, wie 
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\f******.tmp\31st.exe
immer wieder neu ersteht?

Jemand eine Idee?


----------



## Tyrael (13. Dezember 2011)

wenn ihr ne Antwort vom Support habt, macht mal bitte Meldung.


----------



## jiggi (13. Dezember 2011)

Hi,
ich habe selbes Problem mit 31st.exe und isdef.exe 
ich benutze avast und der erkennt es nicht. 
Doch meine Firewall comodo meldet es mir als unbekannte anwendung und das eine "update.exe" immer versucht mir in den Windows/temp Ordner einen neuen Ordner mit der isdef.exe anzulegen.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



so hab mir das ganze jetzt nochmal näher angeschaut und in meinem Windows/temp/... ordner finden sich etliche ordner mit diesen namen ic86ea oder ic889e ect... halt immer ic**** und darin natürlich auch die isdef.exe 

jedesmal ca 2 min nach neustart bekomm ich die FW meldung das diese update.exe systemdatein verändern will und zugriffsrechte will und wenn ich sie blocke bleiben diese neu angelegten order leer. ich hab noch ein screenshot gemacht indem man die datei signaturen sieht von der isdef.exe und der 31st.exe. 
Ich versuche noch rauszufinden was dahinter steckt. 




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



isdef.exe <----> taylorMed AG und 31st.exe <----> Conpavi AG


----------



## mdisrupt (13. Dezember 2011)

hi
danke für das letzte posting';hatte das selbe problem und eben die berechtigungen für die cmd.exe geändert,indem ich alles auf verweigern des "trusted install" benutzers gestellt habe und bei meinem benutzernamen alles auf zugriff;den benutzer trusted install löschen hatte zuerst nicht funktioniert,obwohl mir das lieber gewsen wäre .seit einer stunde kam kein avg popup und hat scheinbar deswegen geklappt,aber mal abwarten obs 2-3 stunden so bleibt.mal hoffen das jmnd den benutzer gelöscht kriegt


----------



## cabdriver (14. Dezember 2011)

Moin,

ich habe auch das Problem mit 31st.exe. Ich habe aber keinen AVG sondern Microsoft Security Essentials.
MSE meldet sich alle paar Stunden mit der Meldung:

"TrojanerDropper: Win32/Srvdrop.A" und entfernt dann eine Datei 31.exe aus einem
Pfad z.B. c\windows\TEMP\fl12.tmp\31.exe

Bisher habe ich folgendes probiert:

- Scan mit Dr. Web cureit
- Scan mit MSE
- Scan mit malwarebytes

Bringt leider alles nichts.

Hat jemand mittlerweile eine Lösung?


----------



## waldkautz (14. Dezember 2011)

hallo allerseits...
habe seit 10.12.11 das gleiche problem, 3x meldete mir panda internet security das er die 31st.exe in quarantäne geschoben hat. habe die datei zu panda labs geschickt, mal sehen was sie meinen. arbeite selbst xp, firefox usw. und habe eigendlich nichts neues installiert 

vieleicht findet sich bald eine lösung, scheint ja was neueres zu sein wenn ich die daten der forumeinträge lese.

mfg


----------



## Sven_Karsten (15. Dezember 2011)

hallo miteinander

habe dasselbe Problem. Als Zwischenhilfe habe ich ein Script programmiert, der nach 31st.exe, isdef.exe und update_.exe jede 2 Sekunden sucht und beim Fund löscht. Link zum Herunterladen: http://www.felsenstein.org/zip/Del31st.zip (open source)

Ohne Parameter gestartet - überwacht der Ordner c:\windows\temp
Mit Parameter - überwacht beliebiger Ordner, zB.: c:\programme\del31st\del31st.exe "C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp"

Gruß


----------



## waldkautz (15. Dezember 2011)

nochmal hallo...

hat jemand eine ahnung, woher sich die datei verbreitet? womit holt man sich den müll auf den rechner? konnte noch nichts konkretes ausmachen. ist jemanden was aufgefallen?

panda hat sich auch noch nicht gemeldet 

mfg


----------



## L1qu1dat0r (15. Dezember 2011)

Hi 
bin weiter Ratlos.
AVG hat sich auch noch nicht gemeldet.
Hab gestern PCGH Marco einen Pinwandeintrag hinterlassen,da sein Fachbereich auch Sicherheitssoftware ist.
Nichts neues ,ausser das ich mitlerweile glaube ,das es sich um eine echte bedrohung handelt.
Kein Fehlalarm.
Mache mir halt nur gedanken darüber,das so einige hier , die Malware ,nach Neuinstalation eingefangen haben.
Wenn ich Formatiere hab ich den sofort wieder???
Kann ich mir dann also sparen.
Was macht die Malware (wie gefährlich).........hmmm.
Blöd ,das man im mom nur spekulieren kann.


----------



## Haifisch (15. Dezember 2011)

Hallo Sven_Karsten, hallo Hardware-User
 ich habe auch das Problem mit dem 31ST
  habe nicht neu installiert (Win7) ,habe vor etlichen Jahren sowas ähnliches gehabt,
   also die selbe vorgehensweise mit dem Windows\Temp Verzeichnis und diesen Dateinamen aus Zahlen und Buchstaben.
     muß mal sehen ob ich noch was finde.
habe keinen Debugger für deine Del31.exe ,kannst du sie als batchfile speichern ?
  hier mal ein batchfile von mir in den autostart Ordner und zusätzlich auf dem Desktop fürs manuelle starten.

del c:\windows\ServiceProfiles\NetworkService\AppData\local\Temp\*.* /F /S /Q
del C:\windows\Temp\*.* /F /S /Q
Echo Alles erledigt
pause

die pause nur, damit ihr seht was der Rechner gemacht hat. ansonsten bin ich erst mal am suchen, wo das Hauptprog liegt.


----------



## BautznerSnef (15. Dezember 2011)

Windows 7 31st.exe und ISDF.exe


----------



## L1qu1dat0r (15. Dezember 2011)

Als ich mich gerade im Forum umsah,erschien folgende Meldung:




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Hatte ich noch nie.
Hab natürlich nicht ausgeführt.
VLC gelöscht.
Der stand ja schonmal im verdacht^^.

PS.: Heute hatte ich noch keine Malwarewarnung,gestern kahm auch erst nach dem zweiten Neustart^^.


----------



## ebpy (16. Dezember 2011)

Hallo Leute,
hatte gleiches Problem, wie hier beschrieben und es auch hier gefunden (suchwort "31st.exe") /nachgelesen.
Melde mich aus folgendem Grunde:
Nachdem ich die »Bedrohung« (AVK) "Win32/Heur" gefunden und beseitigt hatte - war auch die Bedrohungsmeldung der beiden lästigen Dateien "31ST.EXE" und "ISDEF.EXE" verschwunden. Seit 2 Tagen keine Meldung mehr!
Zufall oder ein Zusammenhang? - Kann ja sein, dass sie sowieso inzwischen erkannt und beseitigt wurden.

Könnt ihr damit was anfangen? Gruß "ebpy"


----------



## Sven_Karsten (16. Dezember 2011)

Hallo Haifisch,

meinst du - Decompiler? Er ist da: AutoHotkey - Other Downloads
Der Compiler ist ein Teil vom Basic-Installer: AutoHotkey Download
Und - sorry, ich bin nicht so fit in der Batch-Programmierung. Deshalb: Autohotkey
Gruß


----------



## Haifisch (16. Dezember 2011)

hi Sven_Karsten
jo danke, den hatte ich gemeint.
sonst nix neues

bei mir war es ein update bei microsoft (entfernen von schädlicher software usw.)
und gleichzeitig update bei AVG von 2011 auf 2012

und kurz danach hatte ich abwechselnd den 31st.exe und isdef.exe sowie update_.exe als malware
gruß


----------



## L1qu1dat0r (17. Dezember 2011)

Ganz mies.
Der 31ST.EXE war jetzt ca 2 Tage ruhig.
Keine Mailwarewarnung.
Gestern wollte ich nochmal Riddick 2 auf Steam spielen.
Dort muste ich den Key eingeben,weil ich nach dem Formatieren das Game noch nicht wieder gespielt hatte.
AVG meltet sich mit einer Warnung.(16.12.11)



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Jetzt weiß ich wenigstens wie der heißt^^. SHeur4.BUN

Wie mach ich den unschädlich?????


----------



## Gamefruit93 (17. Dezember 2011)

Mach mal einen Scan mit Malwarebytes Anti-Malware und poste uns die Ergebnisse.
Dann noch eine Überprüfung mit HijackThis und die Log-Datei analysieren lassen.


----------



## L1qu1dat0r (17. Dezember 2011)

Hab jetzt Malewarbyts drüberlaufen lassen.
Hat zwei Bedrohungen gefunden.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




LOG:




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




Hab die Bedrohungen von MB entfernen lassen.

PS.: kann ich Malwarebytes wieder deinstalieren,da ich ja AVG als Antiviersoftware laufen hab??


----------



## Haifisch (19. Dezember 2011)

hi , hab mal die virendatei mit dem hexeditor angeschaut.
es werden infos gesammelt. (get befehle)
betroffen:   ws2_32.dll , rpcrt.dll , installerservice.dll
regopen : advapi32.dll , ole32.dll , oleaut32.dll
der ganze quatsch wird mit timestamp (zeitstempel) an
www.globalsign.net/repository/0   und an
www.crl.globalsign.net/timestamping/1  geschickt
alles chinesische seiten (oder taiwan oder so)
einziges lesbare wort ist microsoft
gruß karsten


----------



## IRA (19. Dezember 2011)

Hi, 

im Antivir Forum wurde auch 31st.exe diskutiert. 
Ergebnis: Es ist Malware und die arbeiten grad dran. Empfohlen wurde ein Neuanfang mit Windows (etc.)
Auch wenn das Virenprogramm nichts (mehr) findet, oder 31st.exe nicht mehr da ist, heißt es nicht, dass der Virus weg ist. Es wurden Neuerungen installiert und die 31st.exe dann gelöscht...

Gruß, 
IRA


----------



## L1qu1dat0r (20. Dezember 2011)

31ST.EXE war jetzt drei Tage ruhig.
Nach Malewarebyts Scan und bereinigung ,hatte ich schon gehofft,
das er weg ist.^^
Gestern und Heute wieder neue Warnungen und Quarantäne,von AVG!

Solange ich nicht weiß,wo ich den herhab ,hab ich halt angst ,das ich ihn nach Formatieren ,wieder instaliere.
Desweiteren hab ich noch ca.500 Mb Bilder saves usw. die ich noch nicht gespeichert habe.
Wenn ich die Sichere,hab ich bestimmt die Maleware mitgesavet??^^
AVG hat sich nicht gemeldet ^^.
Bin halt kein Zahlender Kunde^^.


----------



## waldkautz (20. Dezember 2011)

habe seit kurioser weise seit dem 14.12. ruhe. meine quarantäne-einträge sind vom 10. , 13. und 14. 12. weiß noch nicht woher und warum z.z. ruhe ist. mal abwarten. panda hat mir nichts mehr gemeldet. 

mat.


----------



## Haifisch (21. Dezember 2011)

hi user
hab gestern von der CD unter Linux das programm bitdefender mit neuester Virendatenbank gestartet.
keine Befunde.
hab dann unter Windows 7 das Programm York (InternetSniffer) laufen,
da werden im verborgenen Seiten aufgerufen (mit TCP Adressen ) die ich nicht identifizieren kann.
ich setz Win 7 erstmal nicht neu auf, weil ich nicht weiß, ob ich das Teil dann wieder hab.
grüße Karsten 

zeile ab ca .12000 nur lesbare Wörter aus der Datei update_.exe hier nur sehr kurzer Ausschnitt im txt Format:

_installerService.dll ServiceMain                                                                                                                                                                                                         abcdefghijklmnopqrstuvwxyz      ABCDEFGHIJKLMNOPQRSTUVWXYZ
AVbad_exception@std  
_error@std    .?AVexception@std .?AVout_of_range@std  
?AVlogic_error@std .?AVlength_error@std  .?AVbad_alloc@std  
.?AVUpdateRegUndoItem   .?AVCreateFileUndoItem     .?AVUndoHistoryItem .?AUBCInstError                          xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
</assembly>Root CA0
090318110000Z
280128120000Z0T1
Timestamping CA1

GlobalSign1#0  GlobalSign Timestamping CA0‚"0
http://www.globalsign.net/repository/03"http://crl.globalsign.net/root.crl

GlobalSign nv-sa1
Root CA1 GlobalSign Root CA0
110413100000Z
190413100000Z0Q1_
----------------------------------------------------

ich selber habe AVG 2012 auf dem Rechner


----------



## L1qu1dat0r (23. Dezember 2011)

Heute erstell der Rechner selbständig nach dem Hochfahren eine neue Netzwerkverbindung ^^.
Der wird mir echt gefährlich langsam .
Sch....... Malware.


----------



## L1qu1dat0r (24. Dezember 2011)

Hi all
Hab Heute Spybot search &Destroy instaliert.
Ich hatte mit dem Prog zwar einmal Probleme mit Punkbuster bekommen,aber lieber so!
Die beta 2 fand bei mir 37 einträge,die ich gefixt habe.
Mal sehen was das bringt.
Für interresierte der link:

Die Seite von Spybot-S&D!

PS.: kann ich Spybot und Microsoft Defender gleichzeitig laufen lassen??
Oder stören die sich gegenseitig??


----------



## Trashman (30. Dezember 2011)

Hallo zusammen,
leider hat mich der isdef.exe auch erwischt... aber den 31st.exe hab ich noch keine Meldung bekommen!?
Leider bin ich nicht der PC Profi, und bring den Sch... nicht weg... hab Win7 und AVG, verschieb den isdef.exe in die Quarantäne, aber nach ein paar Tagen ist er wieder da...

Den Spybot-S&D hab ich auch schon installiert... aber beim scan bringt der Meldungen, die ich nicht checke (auch MS Installationen)... und das System wird auch sehr langsam, hab den deinstalliert...

Nun die Frage: kann mir jemand sagen, wie ich den isdef.exe weg bekomme (da bei euch immer über 31st.exe geredet wird)...

vielen Dank im voraus!

Grüße Trashman


----------



## killbill (30. Dezember 2011)

Hi Trashman,

Ich verfolg das Thema auch schon längere Zeit, da ich auch betroffen bin vom Virus, Malware whatever.
Anscheinend ist bisher die einzige Lösung sein System neu aufzusetzten, 
d.h. in deinem Fall Windows 7 neu zu installieren


----------



## L1qu1dat0r (31. Dezember 2011)

Spybot search and Destroy hab ich auch wieder deinstaliert,da es mir keinen spass mehr machte,
bei jedem Programstart(inkl. IE),eine gefühlte Ewigkeit zu warten.
Aber als ich es ein paar Tage laufen hatte,bekam ich keine Malware warnungen mehr.
Jetzt ist alles beim alten.
Bleibt wohl wirklich nichts anderes übrig als neu zu instalieren .
Aber....was ist mit meinen ungesicherten Dateien(Photos usw.)?
Wenn ich die save ,sichere ich auch die Malware??

Die Welt ist schlecht......^^


----------



## jiggi (1. Januar 2012)

Ich selbst bin das ganze leider auch nur durch Neuaufsetzen los geworden (win7).

Ich hatte jetzt meine Partitionen nicht formatiert sondern nur System neu aufgesetzt. Jetzt, ca. 2 Wochen später, hab ich noch keine neue Meldung bekommen.... bis jetzt xD.

GL für alle die noch kämpfen


----------



## soyus3 (6. Januar 2012)

Hier besteht dasselbe Problem. Seit Anfang Dezember, findet AVG alle paar Tage eine "isdef.exe", anfangs auch eine 31st.exe und seit dem 23.12.2011 die 42st.exe nicht mehr, stattdessen eine xxxxxxxSNKTP.exe. Jeweils in verschiedenen TEMP verzeichnissen. Ein Scan mit der Bootcd "c't Desinfect" (Bitdefender, Kaspersky) brachte nichts zutage.
Die Datei kann man aus der Quarantäne leider nicht wiederherstellen, sonst könnte ich sie bei Virustotal hochladen.
Jedesmal wenn AVG diese isdef.exe findet, dann wurde im Ereignisprotokoll ein Event mit folgendem Inhalt erstellt:
Im System wurde ein Dienst installiert.

Dienstname:  Windows Support
Dienstdateiname:  %SystemRoot%\System32\svchost.exe -k svc5xs8v
Diensttyp:  Benutzermodusdienst
Dienststarttyp:  Manuell starten
Dienstkonto:  LocalSystem

Ereignis-ID: 7045​


----------



## L1qu1dat0r (15. Januar 2012)

Hatte heute max. Terror.
Freitag dem 13 ^^.(bin nicht abergläubig) letzte AVG Warnung.
Heute Surfte meine Frau im I-Net,auf meinem Rechner und fand doch tatsächlich:

Win 7 Internet Security 2012 (ist natürlich fake).
Warscheinlich auch schon bekannt.Gibt es in der 2011 er version auch^^.

Kahm ansich nirgentwo mehr rein ,ohne das das teil sich meldete.
Nach auschalten einiger Prozesse,kam ich wenigstens ins I-Net.

Auf der Seite Remove Win 7 Internet Security 2012 (Uninstall Guide)
bekam ich Hilfe.
(Tip ruhig von Googel übersetzen lassen)

Nu issa weg


----------



## Shynthoras (1. April 2012)

Thread.ist zwar schon alt, 
Aber wenn die.2.dateien als prozess laufen mal vll mjt resourcenmonitor überwachen wohin die telefonieren.
Vielleicht bringt wireshark ja was ums rauszufinden. So hab ich damals eine malware entdeckt die immer nach LA gesendet hat.
Desinfect drüber und sie war weg o.O


----------

