![]() |
|
Log-Analyse und Auswertung: rfhseju.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() rfhseju.exe Hallo, ich habe ein Problem mit diesem Eintrag im Task Manager. Diesen Eintrag habe ich seit 2 Tagen weil ich so ein verdammtes Live Stream Programm installiert habe, ich schätze da war wohl ein Trojaner dabei. Der Eintrag kommt mir komisch vor, bitte kann mir jemand helfen wie ich es weg bekomme oder was es ist!? Wenn ich nach dieser Datei Suche, dann kann sie der Explorer aber nicht finden? Soll ich einfach den Eintrag mit Hijackthis "fixen" oder besser das System neu installieren?? Diese Datei ist erst seit 2 Tagen da und das interne Spyware Programme wollte das ich die Datei zu ihnen schicke, so wie ich es verstanden habe. Leider hat sich dann dieses Fenster wieder von selbst geschlossen bevor ich was machen konnte. Zitat: Running processes: C:\Users\Da*1\AppData\Local\rfhseju.exe ? Logfile of Trend Micro H*iJackThis v2.0.2 Scan saved at 04:59:43, on 31.10.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Users\Daniel\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Launch Manager\QtZgAcer.EXE C:\Windows\PLFSetI.exe C:\Windows\System32\rundll32.exe C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe C:\Program Files\AVG\AVG8\avgtray.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Users\D*\AppData\Local\Google\Update\Google Update.exe C:\Users\Da*1\AppData\Local\rfhseju.exe C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Windows\system32\Taskmgr.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [u**rl]h**ttp://de.intl.acer.yahoo.com[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**ttp://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**ttp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**ttp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**ttp://de.intl.acer.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\sw g.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-982901010-1053011827-107350226-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'D*') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**ttp://www.kaspersky.com/kos/german/...an_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\ O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: avgrsstx.dll O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe -- End of file - 8682 bytes Edit: Ich Esel hab das Programm wohl selbst zugelassen, habe eben nochmal im Verlauf der Microsoft Spybot Software geschaut und da steht es drinn. Beschreibung: Das Verhalten dieses Programms ist potenziell unerwünscht. Empfehlung: Lassen Sie dieses entdeckte Element nur zu, wenn Sie dem Programm oder dem Softwareherausgeber vertrauen. Ressourcen: regkey: HKCU@S-1-5-21-982901010-1053011827-107350226-1001\Software\Microsoft\Windows\CurrentVersion\Run \\rfhseju runkey: HKCU@S-1-5-21-982901010-1053011827-107350226-1001\Software\Microsoft\Windows\CurrentVersion\Run \\rfhseju file: c:\users\da*\appdata\local\rfhseju.exe Kategorie: Noch nicht klassifiziert Ich finde aber in dem Verzeichnis diese Datei nicht!!, sie wird aber immer wieder geladen beim Neustart. Wie bekomme ich das weg? Geändert von danielsan79 (31.10.2008 um 07:57 Uhr) |
![]() | #2 | |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() rfhseju.exe Halli hallo.
__________________Ist es Absicht, dass bei dir kein Anti Viren Program läuft? Das solltest du ändern! Der Windows Defender taugt nichts; den solltest du deaktivieren! Fixe danach mit HijackThis folgende Einträge: Zitat:
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete: C:\Windows\PLFSetI.exe C:\Users\D*\AppData\Local\Google\Update\Google Update.exe C:\Users\Da*1\AppData\Local\rfhseju.exe ![]()
Scanne deinen Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs. Räume danach mit CCleaner auf (Punkte 1&2) und poste ein frisches HJT log.
__________________ |
![]() | #3 |
![]() | ![]() rfhseju.exe Ich habe das durchgeführt, leider konnte ich danach nicht mehr ins Internet einloggen, habe dann die gelöschten Registry Einträge und Dateien wieder zurück geholt. Danach ging mein Interent wieder.
__________________Ich habe dann die Datei rfhseju.exe manuell gelöscht, erst den Prozess beendet und 2 Dateien gelöscht, rfhseju.exe und rfhseju.dll. Die hatte ich vorher nicht gesehen weil es versteckte Dateien waren. Danach habe ich in der Registry mit regedit die Einträge gelöscht die mir die Windows Antispy Software genannt hat. Ich habe herausgefunden dass die Datei "O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe" zu einem Acer Programm gehört welches für die Webcam steuerung auf dem Laptop zuständig ist. Ich könnte mir vorstellen dass ich nicht mehr ins Internet kam weil ich den Eintrag " O17 - HKLM\System\CCS\Services\Tcpip\..\ .." löschen sollte. Ist TCP IP nicht das berühmte Protokoll für diese Verbindung? Microsoft hat mir jetzt das Ergebnis der Untersuchung der Datei rfhseju.exe gesendet. rfhseju.exe [Trojan:Win32/Skintrim.gen!D] Summary Trojan:Win32/Skintrim.gen!D is the detection for a trojan that may download other malware. Symptoms There are no common symptoms associated with this threat. Alert notifications from installed antivirus software may be the only symptom(s). Technical Information Trojan:Win32/Skintrim.gen!D is the detection for a trojan that may download other malware. Upon execution, Trojan:Win32/Skintrim.gen!D copies itself in the Application Data folder using a random file name. It also injects its code into explorer.exe. It may download and run arbitrary files from a certain website. It may also download updates for itself from updates.advert-network.com. Some samples of Trojan:Win32/Skintrim.gen!D check the Windows version of the system and only run if the operating system is a certain version, for example, Windows Vista. Analysis by Chun Feng Das hört dich ja schrecklich an, sollte ich jetzt doch lieber das System neu installieren, es wäre natürlich sehr ärgerlich und Zeitaufwendig. Der Satz mit kopiert sich in die Explorer.exe hört sich nicht guit an, ich habe zwar die Dateien und die Registry Einträge gelöscht aber natürlich nicht die Explorer.EXE. Sollte ich die Explorer.exe mal hochladen und prfen ob sie verändert ist? Die anderen 2 Anti malware Programme haben etwa 30 Tracking cookies gefunden, die jedoch irgendwie nicht gelöscht werden konnten. ![]() ![]() |
![]() | #4 |
![]() ![]() | ![]() rfhseju.exe Hallo, da ist noch was von Navipromo... Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
![]() | #5 |
![]() | ![]() rfhseju.exe bist du sicher dass es keine verwechslung ist, was ist navipro? Ich dachte es geht um die Datei rfhseju.exe ![]() |
![]() | #6 |
![]() ![]() | ![]() rfhseju.exe Navipromo ist Adware. Die rfhseju.exe ist davon Bestandteil, davon gehe ich mal aus. ![]()
__________________ --> rfhseju.exe |
![]() |
Themen zu rfhseju.exe |
ad-aware, adobe, agere systems, avg, avg free, avg security toolbar, bho, defender, e-mail, explorer, google, helfen, hijack, hijackthis, immer wieder, internet, internet explorer, launch, local\temp, monitor, neustart., object, popup, problem, programm, rundll, skype.exe, software, spyware, system, system neu, temp, trojaner, vista, von selbst, windows, windows defender, windows sidebar |