EXE-Datei unter C:\Dokumente und Einstellungen\User\
 

Hallo!

Ich fürchte ich hab mir einen Trojaner oder ähnliches eingefangen.
Ausschlaggebend ist eine Datei namens: xuinus.exe.
Die Datei hat sich vermutlich über einen USB-Stick der infiziert ist eingeschlichen. Auf diesem USB Stick sind komischerweise eine autorun-Datei sowie Verknüpfungen für "Eigene Bilder", "Eigene Dateien", "Passwörter" und ähnliche...
Sobald ich den USB-Stick eingesteckt hab greift diese xuinus.exe auf ihn zu, so dass ich ihn auch nicht formatieren kann. xuinus.exe lässt sich nicht beenden und auch nicht löschen, selbst per DOS-Eingabe nicht.
xuinus.exe lässt sich komischerweise auch nicht auf virustotal.com hochladen um sie zu prüfen.

Ich habe das Gefühl, dass der Rechner langsamer läuft.

Logfile Hijackthis:
Vielen Dank für eure Hilfe

Hey,
tu bitte mal folgendes:
Bitte wie in der Anleitung ausführen!

- http://www.trojaner-board.de/51464-a...-ccleaner.html
danach
- http://www.trojaner-board.de/51187-a...i-malware.html

Log von Malwarebytes bitte hier einfügen.

Neues HiJackThis-Logfile

Malware-Logfile:
Neues Hijackthis-Log:
Hat sich nichts geändert, xuinus.exe ist nach wie vor aktiv.

Der Prozess läuft aktiv im Hintergrund.

O4 - HKCU\..\Run: [xuinus] C:\Dokumente und Einstellungen\Administrator\xuinus.exe

Wie sieht es im abgesichterten Modus aus? Hast du dort Zugriff?

Hey,
Wenn du versuchst
bei Virustotal hochzuladen, welcher Fehler erscheint?

Wenn ich im abgesicherten Modus starte kann ich die Datei löschen, hab eben aber noch mal Hijackthis laufen lassen und da ist der Prozess wieder aktiv.

Bei totalvirus kann ich die Datei nicht hochladen, sie erscheint nicht in der "Durchsuchen"-Auswahl obwohl ich die Ordneransicht wie hier im Forum empfohlen habe.

Einfaches Löschen wir nichts bringen, da der Prozess beim nächsten Start wieder aktiv ist.

Hast du auch die geschützten Systemdateien eingeblendet?

Ich hab die geschützten Systemdateien eingeblendet

EDIT: Hab eben noch mal den Papierkorb aufgemacht und mein Avast ist angesprungen und meldet mir:
Win32:VB-OLK [Wrm]

Ok, dann solltest du das System erstmal anders überprüfen, bevor dieser Prozess aktiv ist.

Lade dir dazu Antivir Rescue System herunter. Avira AntiVir Rescue System

Doppelklick auf die .exe Datei und anschließend BootCD brennen. Dann den Rechner mit der CD starten und Komplett Scan ausführen.

Ok, wenn ich mit der CD gescannt habe. Was soll ich dann machen? Auf was muss ich achten?

Funde zunächst in Quarantäne schieben. Danach Rechner neustarten.

Melde dich dann hier und berichte von den Funden.

Er hat einen Trojaner gefunden:
TR/Drop.Softomat.AN
Logfile:
Und nun?

Ich konnte nirgendwo meine Funde in Quarantäne schieben,...

löschen und anschließend Rechner neustarten. Anschließend neues Logfile von HJT

Was soll ich wie löschen?

Den Fund von Antivir.

und wie?

Auf der AntiVir CD hab ich da keine Möglichkeit für gefunden...

Hab bei der Konfiguration umgestellt, so dass er die Funde löscht,...

Jetzt scannt er noch mal 20 Minuten - dann gibs ein neues HJT-Log.

Du hast recht. Der Fund lässt sich nicht löschen mit der CD. Nicht so tragisch, da der Fund in einem Wiederherstellungspunkt ist. Läßt sich relativ einfach entfernen. Das machen wir später, wenn du das Logfile postest.

Im Logfile von HiJackThis ist die EXE nach wie vor aktiv.:uglyhammer:

Aber der Browser geht nicht mehr,...

Ich starte mal neu,...

Browser funzt wieder,...

Hey,
funktioniert dein Browser wieder?
Hast du Malwarebytes schon mal laufen gelassen?

Ja, der funzt wieder.

Noch mal laufen lassen? Neues Log kommt sofort,...

Dieser Prozess ist sehr mysteriös. Kann dazu keinerlei Infos finden. Auch diese Datei EcrSpool.exe kenne ich nicht. Versuche die .exe mal auf deinem Rechner über die Suchfunktion von Windows zu finden.

Hab die Datei gesucht und im Autostart gefunden.
Das Ding gehört allerdings zu einem Programm das nicht schädlich ist.
Hab's sicherheitshalber noch mal bei virustotal.com hochgeladen und es ist fast unauffällig. Lediglich Symantec meldet "Suspicious.Insight"

Könntest du uns sicherheitshalber, auch für später Personen, sagen von welchem Programm die EXE ist?

Wie sieht es mit Malwarebytes aus?

Das ist ein Authentifizierungstool für ne Bankingsoftware - kannst nen USB-Dongle rausziehen und nix geht mehr,...

Hey,
dann scannen wir, um sicherzugehen, mit CureIt.

Führe bitte im abgesicherten Modus folgendes wie in der Anleitung beschrieben aus:
http://www.trojaner-board.de/59299-a...eb-cureit.html

Wie du in den abgesicherten Modus kommst erfährst du hier : http://hoax-info.tubit.tu-berlin.de/...savemode.shtml

Poste das Ergebnis dann hier hinein

Cureit:
Es wurden keine Viren bzw. verdächtige Objekte gefunden.

Und nun?

Hey,
du hast CureIt so angewandt wie in der Anleitung? Einstellungen übernommen und einen Full Scan im abgesicherten Modus?

Wenn ja, ist die Datei : dennoch vorhanden ?

Bitte mal im Verzeichnis nach schauen und einmal nach xuinus* suchen

Bitte mal das komplette Logfile von CureIt einfügen!

Ich hab wie beschrieben mit Cureit gescant. Hat fast 2h gedauert und nix gebracht.
Ein Logfile kann ich nicht abspeichern, da er kein Virus o.Ä. gefunden hat.
Die xuinus.exe ist immer noch aktiv, allerdings nicht mehr am ursprünglichen Platz zu finden. Ich konnte sie ja im abgesicherten Modus löschen, deswegen ist sie im Papierkorb.
Soll ich den Papierkorb mal leeren?

Wie geht's weiter?

Gruß

Papierkorb leeren und CCleaner & rsit ausführen. Log bitte posten

Was ist RSIT?

log:
info

Bitte PC neustarten! Danach bitte einen weiteren Scan mit Malwarebytes .
Scan mit http://www.trojaner-board.de/51871-a...tispyware.html nach Malwarebytes wäre auch noch gut.

Logfiles bitte posten. Danach sehen wir weiter. (Sieht im Moment gut aus, schauen wir mal was die Scan zeigen!)

Kann ich Dinge in Quarantäne einfach so löschen?
Ich hab nicht vor diese ganzen Programme auf dem Rechner zu lassen...

Malwarebytes-Log kommt gleich,...

PUP.Malware.Tool bei Malwarebytes in Quarantäne