seit kurzem hab ich eine exe-datei mit namen "cr-xjc01.exe" auf meinem desktop. ka woher, ka wieso. jedenfalls sieht die ziemlich verdächtig aus, geht aber nicht löschen, auch nicht im abgesicherten modus von windows. norton anti virus, hijackthis, adaware, registry mechanic und spybot haben nix gefunden. trotzdem macht mir diese datei einiges unbehagen. außerdem nervts.

Hallo,

versuch die Datei mal umzubennen, und werte sie mal hier aus --> Virustotal

Ansonsten trotzdem mal ein HijackLog posten, nur auf garkeinen Fall öffnen, sofern du das nicht schon getan hast.

Gruß
Daniel

hab ich natürlich NICHT geöffnet. wäre ja

hier das logfile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:25:29, on 26.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1145988827531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1145996940139
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C813A36-F435-4ECE-AE6A-9906A22DE75B}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

umbenennen geht auch nicht. selbe meldung: wird noch von einem programm verwendet etc.

die url geht leider nicht!

Zitat:

Zitat von pelagiad

die url geht leider nicht!

Jetzt sollte sie funktionieren, werte die Datei (sofern möglich!) aus, und poste das Ergebnis!

EDIT: Kommst du aus Wien bzw. dein ISP ??

Lösche die Datei mit Killbox, Option Delete on reboot. Nach dem Windows-Reboot sollte die Datei nicht mehr aufm Desktop sein sondern sich im Ordner C:\!killbox befinden. Werte diese Datei dann aus bei Virustotal (der Link funktioniert übrigens bei mir).

Zitat:

Zitat von pelagiad

umbenennen geht auch nicht. selbe meldung: wird noch von einem programm verwendet etc.

Starte im abgesicherten Modus, such die Datei und benenn sie um. Dann im normalen Modus scannen lassen.

edit: Oder den Vorschlag von cosinus befolgen.

Evtl. erkennt auch http://www.kaspersky.com/scanforvirus etwas, dort ginge es schneller als bei Virustotal.

Gruß
Yopie

@[Gc]Sunny: stimmt, url geht jetzt. bin aus niederösterreich / AonSpeed

@cosinus: die killbox-idee probier ich gleich mal aus.

@Yopie: löschen oder umbenennen geht auch im abges. modus nicht.
was den kaspersky scanner betrifft bekomm ich nur folgende meldung:
Please insert a file name for scanning and try again.

edit: der virustotal-scanner hat nix gefunden. [>]

Jepp, die Datei wird von einem (wohl unbekannten) Prozeß gelockt:

Zitat:

File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Probier das mal mit Killbox aus.

killbox hats wirklich gebracht. die datei ist im !killbox-verzeichnis. dann konnt ich sie einfach löschen.

vielen dank, jungs! ging richtig schnell! :aplaus:

hast du sie denn nicht auswerten lassen?? Wäre interessant gewesen

Jetzt kann keiner mehr nachvollziehen, um welche Malware es sich da gehandelt hat.
Mach bitte noch einen Check mit eScan und Blacklight und poste die Logs.

Zitat:

Zitat von pelagiad

killbox hats wirklich gebracht. die datei ist im !killbox-verzeichnis. dann konnt ich sie einfach löschen.

In den Papierkorb, oder ist die Datei jetzt weg?

(Großes Tennis mal wieder.... Ist es so schwer, diese drei Sätze zu befolgen? "Lösche die Datei mit Killbox, Option Delete on reboot. Nach dem Windows-Reboot sollte die Datei nicht mehr aufm Desktop sein sondern sich im Ordner C:\!killbox befinden. Werte diese Datei dann aus bei Virustotal (der Link funktioniert übrigens bei mir)."



Wenn die wirklich weg ist: Rechner neu aufsetzen! Nur so kannst du sicher sein, dass der Rechner nicht mit einem Backdoor befallen ist. Anleitung in der Signatur dringend und genau beachten!

Gruß
Yopie