[Juan Milan]

Hi,

sagt einem die hjibya.exe irgendetwas?

Ich bin gerade mal durch Zufall durch meinen Taskmanager durch und hab diese exe entdeckt.
Finde über google nichts.

Gruß

[Wiesel]

Menü start -> Ausführen ->

MRT

eingeben -> Enter -> Suchlauf mal durchlaufen lassen und nochmal melden.

greets

[Juan Milan]

Suchdurchlauf hat nichts ergeben, keine bösartige Software.
Antivir und Malwarebytes sowie hijackthis findet die datei auch nicht interessant.

Zur Info die exe liegt im Windowsverzeichnis (C:\WINDOWS) und ist laut Eigenschaften, gestern auf meinem Rechner erstellt worden.
Sie verbraucht CPU Kapazität und zZ. 38 MB Arbeitsspeicher, Tendenz steigend. Wenn ich den Prozess beende passiert nichts Aufälliges. nach ein paar Minuten ist die Datei aber wieder im Manager zu finden.

Dieser Beitrag wurde von Juan Milan bearbeitet: 29. März 2010 - 19:47

[Django2]

Lösch die datei (mach dir aber nen Backup) und schau ob nach einem Reboot noch alles geht.
Kryptischer Namen und liegt im Windows Verzeichniss, das ist mit grosser warscheinlichkeit nix Gutes

Dieser Beitrag wurde von Django2 bearbeitet: 29. März 2010 - 19:44

[Wiesel]

hmm, wie Du selber schon festgestellt hast spuckt Google nichts aus, MRT sagt auch nichts.Lade die Datei mal hier hoch und lass die mal prüfen.

greets

[Juan Milan]

uiuiui,

das schaut nicht gut aus!
da ist definitiv handlungsbedarf angesagt!!

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.03.29 -
AhnLab-V3 5.0.0.2 2010.03.29 Win-Trojan/Fakeav.165888.C
AntiVir 7.10.5.248 2010.03.29 -
Antiy-AVL 2.0.3.7 2010.03.29 -
Authentium 5.2.0.5 2010.03.29 W32/FakeAlert.FT.gen!Eldorado
Avast 4.8.1351.0 2010.03.29 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.03.29 Win32:Rootkit-gen
AVG 9.0.0.787 2010.03.29 Downloader.Agent2.USN
BitDefender 7.2 2010.03.29 -
CAT-QuickHeal 10.00 2010.03.29 Win32.Packed.Krap.as.5
ClamAV 0.96.0.0-git 2010.03.29 -
Comodo 4428 2010.03.29 -
DrWeb 5.0.2.03220 2010.03.29 -
eSafe 7.0.17.0 2010.03.28 -
eTrust-Vet 35.2.7394 2010.03.29 -
F-Prot 4.5.1.85 2010.03.29 W32/FakeAlert.FT.gen!Eldorado
F-Secure 9.0.15370.0 2010.03.29 -
Fortinet 4.0.14.0 2010.03.29 -
GData 19 2010.03.29 Win32:Rootkit-gen
Ikarus T3.1.1.80.0 2010.03.29 -
Jiangmin 13.0.900 2010.03.29 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.29 -
McAfee 5935 2010.03.29 Downloader-CEW
McAfee+Artemis 5935 2010.03.29 Downloader-CEW
McAfee-GW-Edition 6.8.5 2010.03.29 -
Microsoft 1.5605 2010.03.29 -
NOD32 4983 2010.03.29 a variant of Win32/Kryptik.DIR
Norman 6.04.10 2010.03.29 -
nProtect 2009.1.8.0 2010.03.29 -
Panda 10.0.2.2 2010.03.29 -
PCTools 7.0.3.5 2010.03.29 -
Prevx 3.0 2010.03.29 Medium Risk Malware
Rising 22.41.00.04 2010.03.29 Packer.Win32.UnkPacker.a
Sophos 4.52.0 2010.03.29 Mal/FakeAV-CX
Sunbelt 6113 2010.03.29 -
Symantec 20091.2.0.41 2010.03.29 Suspicious.Insight
TheHacker 6.5.2.0.247 2010.03.29 -
TrendMicro 9.120.0.1004 2010.03.29 TROJ_RENOS.SMD
VBA32 3.12.12.2 2010.03.29 -
ViRobot 2010.3.29.2250 2010.03.29 -
VirusBuster 5.0.27.0 2010.03.29 Trojan.Codecpack.Gen.4

hilfe scheint es hier zu geben:
http://www.trojaner-board.de/84198-mein-in...nung-wieso.html

Dieser Beitrag wurde von Wiesel bearbeitet: 29. März 2010 - 20:15
Änderungsgrund: Zitattags verwendet, Wiesel

[Wiesel]

Naja, "fake.Alert" und "packed.Krap" kling jetzt erstmal nicht so dramatisch. Trotzdem besteht Handlungsbedarf. Hier mal ein Sticky aus dem "Sicherheitsforum".

greets

[Bullayer]

Lad dir mal die Avira Rescue CD runter und überprüf damit deinen Rechner.

[Ler-Khun]

Zitat (Wiesel: 29.03.2010, 20:23)

Menü start -> Ausführen ->

MRT

eingeben -> Enter -> Suchlauf mal durchlaufen lassen und nochmal melden.

Und welches Programm soll damit aufgerufen werden?

[Urne]

Das Windows Tool zum entfernen bösartiger Software. Bekannt aus dem monatlichen Patchday.

[Taxidriver05]

Das Ruft das Malicious Software Removal Tool auf...

[mh0001]

Auf der McAfee-Seite zum "Downloader-CEW" wie es im Log steht gibts folgende Informationen:

The following registry keys have been added to the system

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent
  
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion
  
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters

Guck mal nach, ob diese Einträge in der Registry vorhanden sind, wenn ja, dann:

Downloader-CEW is designed to download malicious files from websites controlled by the malware author.

Und weil es heißt: Use current engine and DAT files for detection and removal., und es sich um nen relativ aktuellen Trojaner handelt, würd ich es mal mit dem McAfee Stinger Tool probieren, das kriegt so etwas simpler gestricktere Dinge ganz zuverlässig weg, doof wärs halt nur, wenn der tatsächlich schon evtl. heftigere Schadsoftware nachgeladen hätte. Aber laut McAfee löscht sich das Ding, wenns die Malware nachgeladen hat, also ists vielleicht kein Problem.

http://www.chip.de/downloads/McAfee-AVERT-...r_13011160.html

Am besten im abgesichterten Modus über alle Laufwerke drüberlaufen lassen.

Dieser Beitrag wurde von mh0001 bearbeitet: 29. März 2010 - 23:58

[Ler-Khun]

@Taxidriver05 & Urne Ach so. Thx. Scheint nicht grade eine gängige Abkürzung zu sein. Google spükte nämlich nicht aus und da ich das Tool noch nie geladen hatte, kannte ich es auch nicht.

[Bullayer]

Zitat (mh0001: 30.03.2010, 00:56)

.... es sich um nen relativ aktuellen Trojaner handelt ....

Das bedeutet, wenn du den Trojaner komplett weghaben willst, solltest du dein System neu aufsetzen.

[Juan Milan]

ich verfolge gerade die anleitung in dem thread:
http://www.trojaner-...hjibya-exe.html

trotzdem vielen dank für euren support!