namrxswcoe.exe enthält Trojaner

#16 Hast Du die gefundenen Dateien bei Virustotal prüfen lassen??

#17 Welche gefunde meinst du, das Rootkitzeug ?, wo finde ich da die Dateien ?
oder meinst du die beiden Crusaderexen vom Spiel Crusaderkings ?

#18 Ja die von Malwarebytes.

#19

Code

Datei ck_104a_ger.exe empfangen 2010.01.24 15:48:21 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 0/40 (0%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.  Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.5.0.50 2010.01.24 - 
AhnLab-V3 5.0.0.2 2010.01.23 - 
AntiVir 7.9.1.146 2010.01.22 - 
Antiy-AVL 2.0.3.7 2010.01.22 - 
Authentium 5.2.0.5 2010.01.23 - 
Avast 4.8.1351.0 2010.01.24 - 
AVG 9.0.0.730 2010.01.24 - 
BitDefender 7.2 2010.01.24 - 
CAT-QuickHeal 10.00 2010.01.22 - 
ClamAV 0.94.1 2010.01.22 - 
Comodo 3693 2010.01.24 - 
DrWeb 5.0.1.12222 2010.01.24 - 
eSafe 7.0.17.0 2010.01.24 - 
eTrust-Vet 35.2.7255 2010.01.22 - 
F-Prot 4.5.1.85 2010.01.23 - 
F-Secure 9.0.15370.0 2010.01.24 - 
Fortinet 4.0.14.0 2010.01.24 - 
GData 19 2010.01.24 - 
Ikarus T3.1.1.80.0 2010.01.24 - 
Jiangmin 13.0.900 2010.01.24 - 
K7AntiVirus 7.10.952 2010.01.22 - 
Kaspersky 7.0.0.125 2010.01.24 - 
McAfee 5871 2010.01.24 - 
McAfee+Artemis 5871 2010.01.24 - 
McAfee-GW-Edition 6.8.5 2010.01.24 - 
Microsoft 1.5405 2010.01.24 - 
NOD32 4801 2010.01.24 - 
Norman 6.04.03 2010.01.24 - 
nProtect 2009.1.8.0 2010.01.24 - 
Panda 10.0.2.2 2010.01.24 - 
PCTools 7.0.3.5 2010.01.24 - 
Rising 22.31.06.04 2010.01.24 - 
Sophos 4.50.0 2010.01.24 - 
Sunbelt 3.2.1858.2 2010.01.23 - 
Symantec 20091.2.0.41 2010.01.24 - 
TheHacker 6.5.0.9.160 2010.01.24 - 
TrendMicro 9.120.0.1004 2010.01.24 - 
VBA32 3.12.12.1 2010.01.23 - 
ViRobot 2010.1.23.2152 2010.01.23 - 
VirusBuster 5.0.21.0 2010.01.23 - 
weitere Informationen 
File size: 3856728 bytes 
MD5...: 67e6ada0af8dc53074ca634f8fb1c500 
SHA1..: e4727a568fe8392b21835dba31d8a30a213fb5ae 
SHA256: aeeb0eb849fb8f02ab78347e60cdd7708b902823915369fcb14005cb42cc4866 
ssdeep: 49152:5Tth+sTHnoPTqFSFnTcULGs0sGMswmP8XppMuUsGjcleVaNRU7rPW8t256
KtE1eH:5Db8jFTDGs0fPDEXL1hUz7WIzQkeH
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8947
timedatestamp.....: 0x3b965ac1 (Wed Sep 05 17:02:57 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11b16 0x12000 6.60 e169cd9727498334799ce574858324b5
.rdata 0x13000 0x1950 0x2000 4.78 1d22aa58107cdb479897ec936f8bbe61
.data 0x15000 0x4e38 0x2000 2.42 7e0cfc2e100727b4ae39786ac23b9520
.rsrc 0x1a000 0x2caa8 0x2d000 7.02 dae1724124dcb5a7ed60908d66ab117c

( 7 imports ) 
> KERNEL32.dll: GetProcAddress, FormatMessageA, DeleteFileA, MulDiv, IsDBCSLeadByte,  ,  > USER32.dll: GetParent, GetDlgItem, SetFocus, SendDlgItemMessageA, EnableWindow, CheckRadioButton,  > ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA
> SHELL32.dll: ShellExecuteA, SHBrowseForFolderA, SHGetPathFromIDListA, SHGetMalloc
> LZ32.dll: LZOpenFileA, LZCopy, LZClose
> COMCTL32.dll: -

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
sigcheck:
publisher....: Paradox Entertainment
copyright....: 
product......: Crusaders
description..: 
original name: stub32i.exe
internal name: stub32
file version.: 1.01.000
comments.....: 
signers......: -
signing date.: -
verified.....: Unsigned
 
packers (F-Prot): CAB, MSLZ 

da findet keiner was, habe auch mal nachgegoogelt das passiert wohl öfter mal bei den Paradox Spielen angeblich wegen eines integrierten Autpatchers oder sowas.

#20 Bin ich jetzte Malwarefrei ?, was war mit der Meldung das Lfwk C beschädigt /befallen währe und nicht durchsucht werden kann ?

#21 Schritt 1

C.Cleaner installieren und einstellen

• C.Cleaner ist ein Bereinigungstool, welches für Windows 98/NT4/ME/2000/XP/2003/Vista geeignet ist.
• C.Cleaner löscht unnötige Dateien und säubert die Registrierung.
• Falls Du die aktuelle Version: 2.23.993 schon hast, kannst Du den Download und die Installation natürlich überspringen.
• CCleaner (Slim ohne Toolbar)herunterladen und installieren.
• CCleaner starten und => unter options settings => german einstellen.
• Gehe auf den Button links oben "Cleaner" => Reiter "Windows"
setze Häkchen wie folgt:
alle außer "Eingabefeld Verlauf" und bei
Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner".• Wechsel zum Reiter "Anwendungen",
dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Schritt 2

Registry mit C.Cleaner bereinigen

Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken.
Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen".
Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen.
Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden.
Den Rechner neu starten. Teile uns hier mit, wie viele Fehler bereinigt wurden.

Schritt 3

Windows Update

Dein Windows und der Internet-Explorer sind nicht auf dem neuesten Stand. Besuche die Windows-Update Seite und lasse alle wichtigen Updates installieren, die Dir über die benutzerdefinierte Suche angeboten werden.

Auch wenn Du den Internet Explorer nicht als Hauptbrowser nutzt, empfehle ich Dir, den Internet Explorer 8 zu installieren. Browser sicher konfigurieren: IE 6 - IE 7.

Schritt 4

Scan mit Dr. Web CureIt!

Downloade Dr. Web CureIt! und speichere es auf Deinem Desktop.
Dr. Web CureIt! ist für alle Computer mit MS Windows 95OSR2/ 98/Me/NT 4.0/2000/XP/2003/Vista Betriebssysteme geeignet.

• Schalte Dein Antiviren-Programm ab.
• Starte die launch.exe durch Doppelklick.
• Dr. Web CureIt! legt nun automatisch einen eigenen Order in Deinem Userprofil an:
C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb
• Klicke auf "Starten".
• Breche die Schnellüberprüfung ab.
(durch Klick auf den viereckigen grünen Button (rechts in der Mitte).
• Stelle bei dem Reiter "Scannen" auf "Komplett scannen" um.
• Starte nun den Komplett-Scan durch Klick auf den dreieckigen Button.
• Wenn Funde gemacht werden, bitte desinfizieren lassen,
sollte das nicht möglich sein, die Funde verschieben lassen.
• Wenn der Scan beendet ist und Funde zu verzeichnen waren:
im Menü auf Datei und Berichtliste speichern
und als DrWeb.cvs auf Deinem Desktop speichern.
• Poste den Inhalt von DrWeb.cvs hier in den Thread.


Schritt 5

AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden:

Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen.

Schritt 6

Fullscan mit Antivir machen

Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread.

Schritt 7

Bericht in AntiVir finden

Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. Bitte im Logfile Deine Seriennummer unkenntlich machen.

#22 @ Swisstreasure:

Mal ne dumme Frage zum CClean Regitry Clean:

Er zeigt mir da verschiedene Dinge an zbs:

"Ungenutzte Dateiendungen" für zbs. "7z" usw. , wenn ich da auf reparieren klicke wird das dann gelöscht und zbw. 7z Dateien werden nicht mehr erkannt als für 7z zugehörig ?

Auch zeigt er mir "Fehlende gemeinsam genutzte DLL´s"

und zeigt dort auf Dateien die ich eigentlich gerne behalten möchte, werden die Dateien dann gelöscht wenn ich da weitermache, oder wie ist das zu verstehen ?

#23 Nein das sind nur unnütze Registryeinträge. Da wird nichts wichtiges gelöscht. Zudem fragt es Dich am Anfang ob Du ein Backup erstellen willst klicke ja und speichere dieses in einen Ordner.

#24 oki doki, mache mich morgen drann, bin heute zu müde, verklicke mich sonst noch :-(

#25 So fast 15 Stunden hat DrWeb Cureit gesucht und hat aber nicht 1 was gefunden.

#26 Das ist doch super wenn nichts gefunden wird

Hast Du noch Probleme?

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden,
Dein System abzusichern und in Zukunft frei von Infektionen zu halten.
Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern.
Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten.
Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern.
Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht.
Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird.
Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen,
Details siehe ausführliche Anleitung.
Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.CCleaner.de"]CCleaner[/url], (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de.
Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox.
Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript.
Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich.
Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst.
Eine alternatives E-Mail-Programm ist Thunderbird.
Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage.
Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet.
Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage.
Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst.
Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Spenden:

Da häufig die Frage nach einer Spendenmöglichkeit auftaucht, hier ein kleiner Hinweis dazu: Wenn Dir unser Support gefallen hat und Du dazu beitragen möchtest, dass dieser kostenlose Service aufrecht erhalten wird, kannst Du das mit einer freiwilligen kleinen Spende an Protecus tun.
Entscheidest Du Dich für einen Zustupf an meine Wenigkeit dann geht dies über dieses Pay-Pal Konto.