rfhseju.exe

danielsan79 · 31.10.2008, 07:50

Hallo,

ich habe ein Problem mit diesem Eintrag im Task Manager. Diesen Eintrag habe ich seit 2 Tagen weil ich so ein verdammtes Live Stream Programm installiert habe, ich schätze da war wohl ein Trojaner dabei. Der Eintrag kommt mir komisch vor, bitte kann mir jemand helfen wie ich es weg bekomme oder was es ist!? Wenn ich nach dieser Datei Suche, dann kann sie der Explorer aber nicht finden?

Soll ich einfach den Eintrag mit Hijackthis "fixen" oder besser das System neu installieren??
Diese Datei ist erst seit 2 Tagen da und das interne Spyware Programme wollte das ich die Datei zu ihnen schicke, so wie ich es verstanden habe. Leider hat sich dann dieses Fenster wieder von selbst geschlossen bevor ich was machen konnte.

Zitat:
Running processes:
C:\Users\Da*1\AppData\Local\rfhseju.exe
?

Logfile of Trend Micro H*iJackThis v2.0.2
Scan saved at 04:59:43, on 31.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Users\Daniel\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Windows\PLFSetI.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe
C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [u**rl]h**ttp://de.intl.acer.yahoo.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**ttp://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**ttp://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\sw g.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-982901010-1053011827-107350226-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'D*')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**ttp://www.kaspersky.com/kos/german/...an_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

--
End of file - 8682 bytes

Edit: Ich Esel hab das Programm wohl selbst zugelassen, habe eben nochmal im Verlauf der Microsoft Spybot Software geschaut und da steht es drinn.

Beschreibung:
Das Verhalten dieses Programms ist potenziell unerwünscht.

Empfehlung:
Lassen Sie dieses entdeckte Element nur zu, wenn Sie dem Programm oder dem Softwareherausgeber vertrauen.

Ressourcen:
regkey:
HKCU@S-1-5-21-982901010-1053011827-107350226-1001\Software\Microsoft\Windows\CurrentVersion\Run \\rfhseju

runkey:
HKCU@S-1-5-21-982901010-1053011827-107350226-1001\Software\Microsoft\Windows\CurrentVersion\Run \\rfhseju

file:
c:\users\da*\appdata\local\rfhseju.exe

Kategorie:
Noch nicht klassifiziert

Ich finde aber in dem Verzeichnis diese Datei nicht!!, sie wird aber immer wieder geladen beim Neustart. Wie bekomme ich das weg?

undoreal · 31.10.2008, 10:34

Halli hallo.

Ist es Absicht, dass bei dir kein Anti Viren Program läuft? Das solltest du ändern!

Der Windows Defender taugt nichts; den solltest du deaktivieren!

Fixe danach mit HijackThis folgende Einträge:

Zitat:

C:\Windows\PLFSetI.exe
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\

Dann:
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\Windows\PLFSetI.exe
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Scanne deinen Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Räume danach mit CCleaner auf (Punkte 1&2) und poste ein frisches HJT log.

danielsan79 · 31.10.2008, 18:35

Ich habe das durchgeführt, leider konnte ich danach nicht mehr ins Internet einloggen, habe dann die gelöschten Registry Einträge und Dateien wieder zurück geholt. Danach ging mein Interent wieder.

Ich habe dann die Datei rfhseju.exe manuell gelöscht, erst den Prozess beendet und 2 Dateien gelöscht, rfhseju.exe und rfhseju.dll. Die hatte ich vorher nicht gesehen weil es versteckte Dateien waren.

Danach habe ich in der Registry mit regedit die Einträge gelöscht die mir die Windows Antispy Software genannt hat.

Ich habe herausgefunden dass die Datei "O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe" zu einem Acer Programm gehört welches für die Webcam steuerung auf dem Laptop zuständig ist.

Ich könnte mir vorstellen dass ich nicht mehr ins Internet kam weil ich den Eintrag " O17 - HKLM\System\CCS\Services\Tcpip\..\ .." löschen sollte. Ist TCP IP nicht das berühmte Protokoll für diese Verbindung?

Microsoft hat mir jetzt das Ergebnis der Untersuchung der Datei rfhseju.exe gesendet.

rfhseju.exe [Trojan:Win32/Skintrim.gen!D]

Summary
Trojan:Win32/Skintrim.gen!D is the detection for a trojan that may download other malware.
Symptoms
There are no common symptoms associated with this threat. Alert notifications from installed antivirus software may be the only symptom(s).
Technical Information
Trojan:Win32/Skintrim.gen!D is the detection for a trojan that may download other malware.

Upon execution, Trojan:Win32/Skintrim.gen!D copies itself in the Application Data folder using a random file name. It also injects its code into explorer.exe.

It may download and run arbitrary files from a certain website. It may also download updates for itself from updates.advert-network.com.

Some samples of Trojan:Win32/Skintrim.gen!D check the Windows version of the system and only run if the operating system is a certain version, for example, Windows Vista.

Analysis by Chun Feng

Das hört dich ja schrecklich an, sollte ich jetzt doch lieber das System neu installieren, es wäre natürlich sehr ärgerlich und Zeitaufwendig. Der Satz mit kopiert sich in die Explorer.exe hört sich nicht guit an, ich habe zwar die Dateien und die Registry Einträge gelöscht aber natürlich nicht die Explorer.EXE. Sollte ich die Explorer.exe mal hochladen und prfen ob sie verändert ist?

Die anderen 2 Anti malware Programme haben etwa 30 Tracking cookies gefunden, die jedoch irgendwie nicht gelöscht werden konnten.

Silent sharK · 31.10.2008, 18:37

Hallo,

da ist noch was von Navipromo...

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

danielsan79 · 31.10.2008, 18:48

bist du sicher dass es keine verwechslung ist, was ist navipro? Ich dachte es geht um die Datei rfhseju.exe

Silent sharK · 31.10.2008, 18:50

Navipromo ist Adware.
Die rfhseju.exe ist davon Bestandteil, davon gehe ich mal aus.

rfhseju.exe

Log-Analyse und Auswertung: rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

Ähnliche Themen: rfhseju.exe

31.10.2008, 18:48	#5
danielsan79	rfhseju.exe bist du sicher dass es keine verwechslung ist, was ist navipro? Ich dachte es geht um die Datei rfhseju.exe

31.10.2008, 18:50	#6
Silent sharK	rfhseju.exe Navipromo ist Adware. Die rfhseju.exe ist davon Bestandteil, davon gehe ich mal aus. __________________ --> rfhseju.exe