f10213.exe / f11139.exe winshow ???

Dieses Thema im Forum "Sicherheit" wurde erstellt von Fleedy11, 16. Februar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Fleedy11

    Fleedy11 Byte

    Registriert seit:
    17. Januar 2004
    Beiträge:
    57
    Hallo alle miteinander,

    hat jemand von Euch schon mal was von einer exe Datei mit dem Namen : f10213.exe, oder f11139.exe gehört, oder auf dem System gehabt? NAV gibt zur EXE den Namen "winshow" an. Diese EXE befindet sich im Ordner C:/Windows/Downloadet Program Files. Macht man diesen Ordner auf ist jedoch nichts zu finden. Prüft man den Selben mit dem AV wird jedoch auf diese Bedrohung hingewiesen. Auch unter versteckte Ordner ist nichts zu sehen. Lässt man aber suchen (XP) wird diese Datei ebenfalls gefunden, wieder mit der Angabe "winshow". Ad-aware jedoch hat nichts dergleichen gefunden, auch im Benutzerdefinierten Scann nicht. Nach ca.10 Min. versuchen diese EXE Dateien auf das Internet Zugriff zu nehmen, werden jedoch von der Firewall daran gehindert.Gut so! Das diese Dateien nicht zu XP gehören ist klar. Ich vermute das es sich um Dialer handelt. Löschen kann NAV sie nicht, auch nicht isolieren!!! Und wo nichts ist kann man auch manuell nichts löschen.Ich habe dann folgendes getan:
    1) den Ordner Downloadet Files mit Tune-Up Shredder gelöscht ( der wird nach einer Weile wiederhergestellt und zwar OHNE diese EXE), dann in der Reg. alle gefundenen Einträge der oben genannten Files inkl. "winshow" gelöscht. 2) Die Einträge aus der Firewall entfernt. 3) Neuen Scan mit NAV und Ad-aware?, sowie SUCHEN durchgeführt, mit dem Ergebniss das nun nichts mehr dergleichen gefunden wurde. 4) Nachdem der Ordner Downloadet Files wieder hergestellt war habe ich erneut alle Prüfungen inkl. NAV durchgeführt. Ergebniss : alles Clean!
    Vieleicht kennt jemand diese EXE Dateien unter dem Zusatz "winshow" und kann sagen was es damit auf sich hat. Vor allem wäre mal interessant zu erfahren, wieso diese Dateien nicht sichtbar sind? Wie hängt das zusammen?
    Informationen im Netz habe ich keine passenden dazu gefunden.
    Für Eure Infos vielen Dank im Voraus,

    Gruß Fleedy11
     
  2. Gast

    Gast Guest

    @Fleedy11:

    Dein Sicherheitskonzept, so denn überhaupt ein solches besteht, ist löcherig ohne Ende. Dringend zu ergreifende Maßnahmen:

    1.) Windows updaten. Komplett.
    2.) Den Browser wechseln. Konsequent. Der IE ist der Unsicherheitsbrowser schlechthin.
    3.) Auf Pseudosicherheitssoftware à la NIS verzichten.

    Weitere Infos zu Infektionsweg und Entfernung:

    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_WINSHOW.A&VSect=T
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_INOR.F&VSect=T
    http://www.pestpatrol.com/PestInfo/w/winshow.asp
     
  3. mer

    mer ROM

    Registriert seit:
    17. Februar 2004
    Beiträge:
    1
  4. Fleedy11

    Fleedy11 Byte

    Registriert seit:
    17. Januar 2004
    Beiträge:
    57
    Hallo mschuetzda,

    naja, glücklicherweise kann man diesen Ordner ja löschen. Aber das beseitigt natürlich nicht immer das Problem, da es sich in diesem Fall um eine EXE handelte.
    Danke für den Tip, das werde ich sicherheitshalber auch nochmal prüfen, man weis ja nie....!
    Mit Spyboot & Destroy komme ich nicht so richtig klar, ist irgentwie zu kompliziert für mich. Stattdessen hat den Rest XP Tune-Up erledigt, damit komme ich gut zurecht, obwohl es kein eigentliches Adware Programm ist, löscht es aber doch alles was nicht mehr zu finden ist an Deinstallationsresten, bzw. Fehlern. Ich denke da z.B. an Deinstallationsreste von NAV 2003, die eine Neuinstallation nicht mehr zuliessen.

    Nochmals Danke,

    Gruß Fleedy11
     
  5. mschuetzda

    mschuetzda Megabyte

    Registriert seit:
    5. September 2001
    Beiträge:
    1.131
    Ja dieser Ordner ist ein beliebtes Versteck für Dialer und Malware, weil man diese Dateien dort nicht sieht bzw. mit den üblichen Bordmitteln nicht zu sehen bekommt.
    Ich weiss auch nicht ob man das über einen Registryeintrag ändern kann.

    Ich hatte mir mal über die DOS-Eingabe geholfen, mit DIR, DEL und RD , da gab's dann noch einige Unterverzeichnisse und andere Dateien zu sehen. Es war auch ein Dialer und der wurde auch nur von NAV 2004 erkannt. SpyBot S&D und AdAware hatten nichts gefunden.

    mfg
    mschue
     
  6. Fleedy11

    Fleedy11 Byte

    Registriert seit:
    17. Januar 2004
    Beiträge:
    57
    Danke für den schnellen Tipp,

    ich habe eben auch noch mal nachgeschaut, stimmt, die Prefetch Datei hatte ich auch gelöscht. Hatte ich vergessen zu erwähnen.Also ich bin bestimmt nicht prüde oder verklemmt, aber eigentlich treibe ich mich nicht auf solchen Seiten rum. Aber weil Du das gerade sagst, fällt mir ein das ich mal eine Mail geöffnet habe, die eine Absenderadresse ähnlich eines Freundes hatte, hab nicht schlecht gestaunt! Und danach war das Teil auch drauf.
    Aber so wie es aussieht bin ich wohl den richtigen Weg gegangen um das Ding los zuwerden. Und wenns ein Dialer war, kann der bei DSL nichts ausrichten. Seit dem habe ich nie wieder solche Dateien bekommen. Aber es ist schon dreist mit welchen Mitteln manche "Anbieter" arbeiten, vor allem man bekommt die Biester nicht mehr so einfach los. Mit Systemwiederherstellung hat man keine Chance. Aber damals war ich neu dabei und bin prompt reingefallen. Da gabs nur eins : Tips holen und lesen!
    Also nochmal vielen Dank für den Tip und die Links, das hat mir sehr geholfen!

    Gruß Fleedy11
     
  7. dieschi

    dieschi CD-R 80

    Registriert seit:
    25. Januar 2002
    Beiträge:
    7.656
    Hallo,

    laut Google gibt es zig verweise zu dieser Datei eines ****o-Stuff-Anbieters.

    Es ist, so wie es aussieht, tatsächlich ein Hijacker, Dialer, Trojaner etc ... !

    Weitere Infos, ebenso eine Problem-Lösung: http://www.pbportal.de/forum/showthread/t-44426.html
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen