| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "kfefshfpuz.exe" was ist das?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
05.06.2008, 11:34
| #1 |
 |  "kfefshfpuz.exe" was ist das? Hallo, ich bin neu im Forum und leider auch nicht allzufit am PC. Seit ein paar Tagen öffnet sich sowohl der IE 7 als auch Firefox jedesmal neu um Werbefenster anzuzeigen. Kaspersky, Ad Aware und Spybot haben zwar Cookies u.ä. gefunden aber keine Viren, Trojaner o.ä. Über den Task Manager (Registerkarte Prozesse)habe ich jetzt obiges Programm entdeckt über das ich bei Google als auch hier im Forum nichts gefunden habe. Bei Datei suchen kommt der 4 x Pfad: c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten. Als ich den Prozess beendet habe und Kaspersky nochmals den PC geprüft hat, kam folgender Eintrag: gefunden: potentiell gefährliche Software Invader Prozess: C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\kfefshfpuz.exe Kann mir jemand helfen wie ich die nervigen Werbefenster wieder wegbekomme und vor allem: um was handelt es sich bei diesem Programm? Danke + Grüße Lisa |
|
05.06.2008, 12:26
| #2 |
| /// TB-Ausbilder     | "kfefshfpuz.exe" was ist das? Hi Lisa,
__________________was hast du denn für ein Betriebssystem? So lässt sich schlecht etwas aussagen.  Erstelle bitte ein HijackThis log und mache einen Scan mit Navilog (wenn du vista nutzen solltest, führe die Datei bitte jeweils über einen Rechtsklick als Administrator aus) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig Poste beide Logs hier. lgmyrtille
__________________ |
|
05.06.2008, 13:05
| #3 |
| | "kfefshfpuz.exe" was ist das? Hallo Myrtille,
__________________erst einmal danke für die schnelle Antwort. Mein Betriebsssystem ist Windows XP, ich habe es leider vorhin vergessen zu nennen. Dann schau ich mal ob das alles hinbekomme... Grüße Lisa |
|
05.06.2008, 13:39
| #4 |
| | "kfefshfpuz.exe" was ist das? Das ist der Inhalt von Hijackthis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:22:20, on 05.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Eicon\Diva\DiTask.exe C:\Programme\Eicon\Diva\Divamon.exe C:\Programme\Eicon\Diva\watch.exe C:\Programme\Eicon\Diva\cgserver.exe C:\Programme\Eicon\Diva\diinfo.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\Nhksrv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp://forum.kommanet.de:21 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1;*.local R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O1 - Hosts: 69.64.40.137 auto.search.msn.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Eicon\Diva\DiTask.exe" O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Eicon\Diva\Divamon.exe" O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programme\Eicon\Diva\watch.exe" O4 - HKLM\..\Run: [CGServer] "C:\Programme\Eicon\Diva\cgserver.exe" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Spyware-Secure] C:\Programme\Spyware-Secure\Spyware-Secure_trial.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [kfefshfpuz] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\kfefshfpuz.exe kfefshfpuz O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: Yahoo! Mensch - http://download2.games.yahoo.com/games/clients/y/mat3_x.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134403707406 O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B51A455-5DA7-4885-8723-704D0603831B}: NameServer = 192.168.42.1 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O24 - Desktop Component 0: (no name) - http://www.bmw.com/generic/de/de/products/automobiles/mseries/m3convertible/download/img/thumb_mseries_m3convertible_05.jpg O24 - Desktop Component 1: (no name) - http://www.bmw.com/generic/de/de/products/automobiles/mseries/m3convertible/download/img/thumb_mseries_m3convertible_15.jpg O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/***/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg -- End of file - 12006 bytes Navilog folgt. Grüße Lisa |
|
05.06.2008, 14:06
| #5 |
| | "kfefshfpuz.exe" was ist das? Und das von Navilog: Code:
ATTFilter Search Navipromo version 3.5.7 began on 05.06.2008 at 14:50:11,76
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "***"
Updated on 11.05.2008 at 18h00 by IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS
Search done in normal mode
*** Search folders in "C:\WINDOWS" ***
*** Search folders in "C:\Programme" ***
*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\Lisa\anwend~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\***\startm~1\progra~1" ***
*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net
No file found
*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in "C:\WINDOWS\system32" *
* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\***\lokale~1\anwend~1" *
*** Search files ***
*** Search specific Registry keys ***
HKEY_CURRENT_USER\Software\Lanconfig found !
*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :
2)Heuristic Search :
* In "C:\WINDOWS\system32" :
* In "C:\Dokumente und Einstellungen\Lisa\lokale~1\anwend~1" :
kfefshfpuz.dat found !
kfefshfpuz_nav.dat found !
kfefshfpuz_navps.dat found !
* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :
* In "C:\DOKUME~1\***\lokale~1\anwend~1" :
3)Certificates Search :
Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !
4)Search known files :
*** Search completed on 05.06.2008 at 15:00:52,17 ***
Grüße Lisa |
|
05.06.2008, 14:15
| #6 | |
| /// TB-Ausbilder | "kfefshfpuz.exe" was ist das? Hi, da haben wir ja schonmal ins Schwarze getroffen.  Die Bereinigung ist in diesem Fall auch einfach:
Außerdem solltest du Spyware Secure deinstallieren (existiert das unter Start->Systemsteuerung->Software ? ), das Programm ist kein echtes AntiSpywareprogramm, sondern gaukelt dir vor du wärst infiziert um dich zu einem Kauf zu bewegen. Danach den Ordner Zitat:
Lasse anschließend bitte Malwarebytes durchlaufen und poste dne alle Logs. lg myrtille
__________________ --> "kfefshfpuz.exe" was ist das? |
|
| Themen zu "kfefshfpuz.exe" was ist das? |
| ad aware, aware, beendet, datei, einstellungen, firefox, folge, forum, gefährliche, google, handel, helfen, ie 7, keine viren, manager, neu, nichts, programm, prozesse, registerkarte, software, spybot, suche, task manager, trojaner, viren, werbefenster, öffnet |
Hybrid-Darstellung
