Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: fag.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.02.2004, 10:59   #1
mayaria
 
fag.exe - Frage

fag.exe



hallo zusammen,

seit 2 tagen habe ich die datei fag.exe auf dem rechner, habe das daran gemerkt, dass meine firewall mich fragte, ob fag.exe eine verbindung zum internet herstellen darf.
ich habe im netz bereits gesucht und auf der seite von sophos und einer anderen seite einige infos zu diesem trojaner gefunden. allerdings scheitern alle versuche, dieses mistteil loszuwerden [img]graemlins/schrei.gif[/img]
habe jetzt zahlreiche virenscans durchgeführt, aber selbst das hochgelobte sophos erkennt den nicht.

hat hier jemand einen tipp?? so weit verbreitet scheint das teil nicht zu sein, da die infos im
netz doch recht spährlich sind ...

für tipps bin ich dankbar, zumal ich auch nicht weiß, was dieser trojaner auf meinem pc so anstellt.

liebe grüße [img]smile.gif[/img]
maya

Alt 07.02.2004, 11:25   #2
cron
 
fag.exe - Beitrag

fag.exe



Hast Du deine Festplatte auch mit einem Anti-Trojaner Programm gescannt?
__________________


Alt 07.02.2004, 11:27   #3
mmk
 
fag.exe - Frage

fag.exe



Du kannst die Datei hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Wird nichts Verdächtiges gemeldet, sende mir die fragliche Datei einmal zur Prüfung zu.

Frage: Wo genau liegt diese Datei?
__________________
__________________

Alt 07.02.2004, 12:24   #4
mayaria
 
fag.exe - Beitrag

fag.exe



Hi Markus,

die Datei liegt in dem Verzeichnis:
C:\WINXP\system32\f~q\fag.exe. Diesen Pfad zeigt mit jedenfalls die Firewall an. Seltsam ist nur, dass ich weder den Ordner noch die Datei im Windows Explorer finden kann und demnach die Datei auch nicht online checken kann, weil ich wie gesagt den vermeintlichen Ordner nicht öffnen kann . Sowas hab ich ja noch nie erlebt. Seltsam, woran kann das liegen?

Liebe Grüße
Maya

Alt 07.02.2004, 12:36   #5
Shadow
/// Mr. Schatten
 
fag.exe - Beitrag

fag.exe



@Maya: Du musst mal in den Explorer-Einstellungen (Extras=>Ordneroptionen=>Ansicht) folgendes machen:
=> Alle Ordner und Dateien anzeigen aktivieren (unter "versteckte Ordner und Dateien")
Ich würde auch das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden" rausnehmen.

Dann suche mal manuell im Ordner "C:\WINXP\system32\" nach allen Unterordnern beginnend mit "F"

__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 07.02.2004, 12:54   #6
mayaria
 
fag.exe - Beitrag

fag.exe



hi shadow,

auf die idee war ich schon gekommen und hatte die Einstellung im WE bereits geändert, leider brachte das nichts, der ordner ist nicht zu finden man das macht mich bekloppt
[img]graemlins/schrei.gif[/img]

Alt 07.02.2004, 13:05   #7
Shadow
/// Mr. Schatten
 
fag.exe - Beitrag

fag.exe



Zeigt die Firewall das immernoch an, oder ZEIGTE (vergangenheit) sie dies blos an?
Möglicherweise hat dann nämlich einer der Virenscanner (von Dir nicht bemerkt) dies gelöscht oder unter "Quarantäne" gestellt. Schau mal in den Logs der Scanner nach.

Vielleicht legt die Malware nur zum Zeitpunkt des Verbindungsversuches diesen Ordner mit Datei temporär an und löscht dies danach sofort wieder. Wäre (leicht) möglich und denkbar.

Wie gut bist Du mit REGEDIT vertraut? Sonst suche mal manuell nach "verräterischen" Einträgen (wie z.B. bei Sophos beschrieben).

Muss ja auch nicht DIESER Wurm sein, auf "FAQ.EXE" leigt kein Copyright

Suche auch mal im Systemordner nach "WIN32.EXE"

[ 07. Februar 2004, 14:19: Beitrag editiert von: Shadow ]
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 07.02.2004, 16:14   #8
*Christian*
Gast
 
fag.exe - Beitrag

fag.exe



HijackThis wird Unklarheiten beseitigen: http://www.chip.de/downloads/c_downloads_11353576.html

Bitte anschl. dein Logfile posten.

Alt 07.02.2004, 16:24   #9
Rene-gad
 
fag.exe - Beitrag

fag.exe



Hallo,
wenn es um diese Datei sich handelt, würde ich TrendmicroHousecall in Anspruch nehmen.

Alt 07.02.2004, 19:28   #10
mayaria
 
fag.exe - Beitrag

fag.exe



hi zusammen,

also trendmicro hatte ich bereits heute morgen ausprobiert. die möglichkeit mit dem task manager ging nicht, weil der die datei nicht in den arbeitenden prozessen angezeigt hat. und über regedit waren keine bösewichter zu finden, die ich hätte killen können.

aber: die datei arbeitet immer noch irgendwie, irgendwo.

und mit HijackThis komme ich überhaupt nicht klar, weiß auch nicht, wie dieses programm da helfen sollte.

weiß nicht jemand noch ne lösung??? auf format c hab ich ehrlich gesagt keine Lust.

Help!

Maya [img]graemlins/headbang.gif[/img]

Alt 07.02.2004, 19:32   #11
mayaria
 
fag.exe - Beitrag

fag.exe



hier der logfile:

Logfile of HijackThis v1.97.7
Scan saved at 20:30:38, on 07.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~2\SERV-U\SERVUD~1.EXE
C:\WINXP\System32\svchost.exe
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINXP\system32\ZONELABS\vsmon.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINXP\System32\ctfmon.exe
C:\WINXP\twain_32\S6U12BX\WATCH.exe
C:\Program Files\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
C:\WINXP\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Medusa\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Mayas%20Startseite.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINXP\Speech\Dragon\web_ie.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winxp\downloaded program files\googletoolbar_de_2.0.106-big.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winxp\downloaded program files\googletoolbar_de_2.0.106-big.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gtwatch] C:\WINXP\gtwatch.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-watch] C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINXP\System32\E_S5A.tmp"
O4 - HKCU\..\Run: [~~g] C:\WINXP\System32\f~q\fag.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINXP\twain_32\S6U12BX\WATCH.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O8 - Extra context menu item: &Google Search - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .MOV: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1104.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/12b050edad1b384...dxIE601_de.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...647.6210416667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bilder.de/service/service/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{597B3A0D-2405-465F-816B-4766B05BA7C7}: NameServer = 217.5.99.9 194.25.2.129

Alt 07.02.2004, 19:58   #12
Shady2k
Gast
 
fag.exe - Beitrag

fag.exe



@mayaria

Hier liegt die Wurzel des übels:

O4 - HKCU\..\Run: [~~g] C:\WINXP\System32\f~q\fag.exe

Vielleicht findeste die Datei ja dort...

@shadow

Die Beschreibung sieht ganz nach dem gesuchten Teil aus...

Alt 07.02.2004, 21:48   #13
mayaria
 
fag.exe - Beitrag

fag.exe



hi,

ja klar, der hat mir das jetzt angezeigt im logfile - hab ich direkt gesehen - aber was nun????

die datei ist nicht zu finden über den explorer und auch das fixieren bringt da nichts, oder mach ich da was verkehrt???

grüßle

Alt 07.02.2004, 21:58   #14
Rene-gad
 
fag.exe - Beitrag

fag.exe



</font><blockquote>Zitat:</font><hr />
ja klar, der hat mir das jetzt angezeigt im logfile - hab ich direkt gesehen - aber was nun????
</font>[/QUOTE]...lösche diesen schlüssel regedit-öffnen -schlüssel finden-löschen -fertig. Worauf wartest du noch?

[ 07. Februar 2004, 23:24: Beitrag editiert von: Rene-gad ]

Alt 08.02.2004, 10:55   #15
*Christian*
Gast
 
fag.exe - Beitrag

fag.exe



Bitte anschließend unbedingt www.windowsupdate.com besuchen und hier die neusten Updates herunterladen.

Sonst wirst du in absehbarer Zeit öfters hier vorbeischauen müssen.

Antwort

Themen zu fag.exe
andere, anderen, datei, durchgeführt, erkennt, firewall, gemerkt, gesuch, gesucht, hallo zusammen, herstellen, infos, interne, internet, meinem, rechner, recht, schei, seite, sophos, tipps, trojaner, verbindung, verbreitet, versuche, zusammen



Zum Thema fag.exe - hallo zusammen, seit 2 tagen habe ich die datei fag.exe auf dem rechner, habe das daran gemerkt, dass meine firewall mich fragte, ob fag.exe eine verbindung zum internet herstellen darf. - fag.exe...
Archiv
Du betrachtest: fag.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.