Systemdienst XKIR (mit %Temp%\xkir.exe)

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von Quedel83, 19. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Quedel83

    Quedel83 Byte

    Registriert seit:
    3. April 2004
    Beiträge:
    28
    Habe heute mal HijackThis durchlaufen lassen und dabei ist mir ein Systemdienst aufgefallen, der sich XKIR nannte. Er stand auf manuell und hatte als zugehörige Datei XKIR.EXE im Temp-Verzeichnis meines Benutzerkontos. Die Datei ist allerdings nirgendwo zu finden.
    Auch sämtliche Suchmaschinen haben das nicht gefunden. AntiViren-Programm (aktueller Virenliste) hatte nix gefunden.

    Jemand eine Ahnung, was das sein könnte?
     
  2. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.606
    Eine Systemdatei ist das mit großer Sicherheit nicht, da die sich im System32-Verzeichnis befinden.

    Es könnte ein Trojaner sein, der wechselnde Dateinamne verwendet, um das Aufspüren zu erschweren.

    Da du anscheinend in einem Benutzerkonto mit eingeschränkten Rechten arbeitest, könnte die Datei der Teil eines Schädlings sein, der sich ohne Adminrechte einnisten konnte.

    Oder hast du mal versucht was dort zu installieren, so dass was übriggeblieben ist?

    Du kannst ja mal in der Registry nach dieser Datei suchen lassen, was vielelicht mehr Aufschluss geben könnte.

    Ich rate dazu, den Autostarteintrag vorübergehend zu deaktivieren und die Datei an einen anderen Ort zur Sicherung zu verschieben.

    Du kannst sie auch nach http://virusscan.jotti.org/de/ zum Untersuchen hochladen.

    Wenn du einen Virenscanner mit angeschlossenen Virenlabor hast, kannst du sie auch dahin zur Analyse schicken.
     
  3. Quedel83

    Quedel83 Byte

    Registriert seit:
    3. April 2004
    Beiträge:
    28
    Mhhm, leider arbeite ich nicht eingeschränkt, sondern mit vollen Rechten (als einziger User). Weiß, nicht gerade sinnvoll, aber naja.
    Wüsste nicht, dass ich im Temp-Verzeichnis was installiert hätte. Weiß aber auch nicht, seit wann das da ist.
    Aufgefallen war es bei HiJack ja erst, weil zwar der Dienst da ist, aber die Datei fehlt. Sie ist nicht vorhanden, kann sie auch nirgendwo finden. Sonst hätte ich sie schon an Symantec geschickt.

    Was ich in der Registry gefunden habe: (Auszüge)
    HKLM\System\CurrentControlSet\Enum\Root\Legacy_XKIR\0000
    > Class: Legacy Driver
    > ClassGUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
    HKLM\System\CurrentControlSet\Services\XKIR
    und natürlich in den Einträgen der GoogleToolbar :-)

    Die GUID kann natürlich nicht mehr gefunden werden ....

    Was meintest du mit Autostart-Eintrag? Dienste werden doch net über den Autostart geladen. Okay, könnte ihn per msconfig deaktivieren, aber hab vorsichtshalber den Dienst durch Hijackthis schon entfernen lassen. Ach ja, es wird als "Lokales System" angemeldet beim Dienst.
     
  4. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.606
    In dem Registry-Zweig sind Treiber enthalten, die man im Gerätemanager unter "nicht PnP-Treiber findet. Das können auch Dienste von Anwendersoftware sein, die nur vorübergehend installiert war. Der Treiber bleibt oft im System zurück, ist dann aber funktionsunfähig.

    Geh mal in den Gerätemanager, dann "Ansicht-Ausgeblendete Geräte anzeigen".
    Guck dann mal, ob unter "nicht PnP-Treiber" "XKIR" gelistet wird.
    Wenn vorhanden und mit hellgrauer Raute, steht in den Eigenschaften meist "Dieses Gerät ist entweder nicht vorhanden, funktioniert nicht ordnungsgemäß, oder es wurden nicht alle Treiber installiert. (Code 24)".

    Es kann dann gefahrlos gelöscht werden - Neustart und es sollte nicht mehr im Autostart auftauchen.
     
  5. Quedel83

    Quedel83 Byte

    Registriert seit:
    3. April 2004
    Beiträge:
    28
    mhhm, Danke für den Hinweis. War mal wieder interessant, was sich da in der Zwischenzeit wieder so Geräte angefunden haben (USB-Sticks von Freunden etc.). Hatte ja auch durch einen PCW-Tipp mal die erweiterte Anzeige von Geräten freigeschaltet.

    Doch leider, KEIN Gerät / Treiber dort zu finden, der XKIT enthält. Trotzdem Danke für den Tipp! (Das blöde ist ja auch, dass selbst Google nix findet dazu)
     
  6. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.606
    Deswegen auch mein Verdacht, dass es ein Trojaner sein könnte, der zufällige Dateinamen generiert.

    Lasse die Datei auch mal bei jotti überprüfen.
     
  7. Quedel83

    Quedel83 Byte

    Registriert seit:
    3. April 2004
    Beiträge:
    28
    Mhhm, ich weiß, ich schreibe soviel, dass die wichtigen Inhalte fast immer in den langen Sätzen verschwinden. Daher nochmal eine kleine Zusammenfassung und Ergänzungen:
    • Es gibt einen Dienst namens XKIR, der auf "manuell" stand (jetzt auf Deaktiviert), auf die Datei "xkir.exe" im Temp-Verzeichnis verwies
    • Es lässt sich keine Datei "xkir" finden
    • es bestehen keine unbekannten Autostart-Einträge, weder im Ordner, noch in den bekannten Registry-Schlüsseln
    • Es gibt nur die Registry-Einträge in HKLM\System\CurrentControlSet\Services\XKIR , ansonsten findetg sich nix mit XKIR in der Registry
    • AntiViren-Scan (Norton) mit aktuellen Viren-Defs ohne Befund
    • Ad-Aware-Scan ohne Befund
    • HiJackThis-Scan ohne Befund
    • RootKit-Revealer ohne neue Fundstellen
    • Festplatte C: hat ziemlich viel Speicherkapazität verbraucht, kann aber auch durch einige Download-Reste bzw. Videobearbeitung her kommen (ca. 600 MB zusätzlich verbraucht)

    Aber trotzdem schonmal Danke für deine Mithilfe!
     
  8. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.606
    Danke für die Zusammenfassung. Ich dachte, die Datei gäbe es wirklich. Ich würde den Registry-Zweig exprotieren und dann den Eintrag löschen. Sollten er wiederhergestellt werden, muss nur die Reg-Datei ausgefürt werden und der Eintrag ist wieder da.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen