Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   [cr-xjc01.exe] datei kann nicht gelöscht werden (https://www.trojaner-board.de/30199-cr-xjc01-exe-datei-geloescht.html)

pelagiad 26.06.2006 16:21
[cr-xjc01.exe] datei kann nicht gelöscht werden
 
seit kurzem hab ich eine exe-datei mit namen "cr-xjc01.exe" auf meinem desktop. ka woher, ka wieso. jedenfalls sieht die ziemlich verdächtig aus, geht aber nicht löschen, auch nicht im abgesicherten modus von windows. norton anti virus, hijackthis, adaware, registry mechanic und spybot haben nix gefunden. trotzdem macht mir diese datei einiges unbehagen. außerdem nervts.

Sunny 26.06.2006 16:24
Hallo,

versuch die Datei mal umzubennen, und werte sie mal hier aus --> Virustotal

Ansonsten trotzdem mal ein HijackLog posten, nur auf garkeinen Fall öffnen, sofern du das nicht schon getan hast.:daumenhoc

Gruß
Daniel

pelagiad 26.06.2006 16:27
hab ich natürlich NICHT geöffnet. wäre ja :headbang:

hier das logfile:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:25:29, on 26.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1145988827531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1145996940139
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C813A36-F435-4ECE-AE6A-9906A22DE75B}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
umbenennen geht auch nicht. selbe meldung: wird noch von einem programm verwendet etc.

die url geht leider nicht!

Sunny 26.06.2006 16:35
Zitat:
Zitat von pelagiad
die url geht leider nicht!
Jetzt sollte sie funktionieren, werte die Datei (sofern möglich!) aus, und poste das Ergebnis!

EDIT: Kommst du aus Wien bzw. dein ISP ??

cosinus 26.06.2006 16:38
Lösche die Datei mit Killbox, Option Delete on reboot. Nach dem Windows-Reboot sollte die Datei nicht mehr aufm Desktop sein sondern sich im Ordner C:\!killbox befinden. Werte diese Datei dann aus bei Virustotal (der Link funktioniert übrigens bei mir).

Yopie 26.06.2006 16:39
Zitat:
Zitat von pelagiad
umbenennen geht auch nicht. selbe meldung: wird noch von einem programm verwendet etc.
Starte im abgesicherten Modus, such die Datei und benenn sie um. Dann im normalen Modus scannen lassen.

edit: Oder den Vorschlag von cosinus befolgen. ;)

Evtl. erkennt auch http://www.kaspersky.com/scanforvirus etwas, dort ginge es schneller als bei Virustotal.

Gruß :daumenhoc
Yopie

pelagiad 26.06.2006 16:49
@[Gc]Sunny: stimmt, url geht jetzt. bin aus niederösterreich / AonSpeed

@cosinus: die killbox-idee probier ich gleich mal aus.

@Yopie: löschen oder umbenennen geht auch im abges. modus nicht.
was den kaspersky scanner betrifft bekomm ich nur folgende meldung:
Please insert a file name for scanning and try again.

edit: der virustotal-scanner hat nix gefunden. [>]

cosinus 26.06.2006 16:54
Jepp, die Datei wird von einem (wohl unbekannten) Prozeß gelockt:
Zitat:
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
Probier das mal mit Killbox aus.

pelagiad 26.06.2006 17:01
killbox hats wirklich gebracht. die datei ist im !killbox-verzeichnis. dann konnt ich sie einfach löschen.

vielen dank, jungs! ging richtig schnell! :aplaus:

Sunny 26.06.2006 17:02
hast du sie denn nicht auswerten lassen?? Wäre interessant gewesen :schmoll:

cosinus 26.06.2006 17:03
:headbang:
Jetzt kann keiner mehr nachvollziehen, um welche Malware es sich da gehandelt hat.
Mach bitte noch einen Check mit eScan und Blacklight und poste die Logs.

Yopie 26.06.2006 17:11
Zitat:
Zitat von pelagiad
killbox hats wirklich gebracht. die datei ist im !killbox-verzeichnis. dann konnt ich sie einfach löschen.
In den Papierkorb, oder ist die Datei jetzt weg?

(Großes Tennis mal wieder.... Ist es so schwer, diese drei Sätze zu befolgen? "Lösche die Datei mit Killbox, Option Delete on reboot. Nach dem Windows-Reboot sollte die Datei nicht mehr aufm Desktop sein sondern sich im Ordner C:\!killbox befinden. Werte diese Datei dann aus bei Virustotal (der Link funktioniert übrigens bei mir)."

:balla:

Wenn die wirklich weg ist: Rechner neu aufsetzen! Nur so kannst du sicher sein, dass der Rechner nicht mit einem Backdoor befallen ist. Anleitung in der Signatur dringend und genau beachten!

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131