f10213.exe / f11139.exe winshow ???

Hallo alle miteinander,

hat jemand von Euch schon mal was von einer exe Datei mit dem Namen : f10213.exe, oder f11139.exe gehört, oder auf dem System gehabt? NAV gibt zur EXE den Namen "winshow" an. Diese EXE befindet sich im Ordner C:/Windows/Downloadet Program Files. Macht man diesen Ordner auf ist jedoch nichts zu finden. Prüft man den Selben mit dem AV wird jedoch auf diese Bedrohung hingewiesen. Auch unter versteckte Ordner ist nichts zu sehen. Lässt man aber suchen (XP) wird diese Datei ebenfalls gefunden, wieder mit der Angabe "winshow". Ad-aware jedoch hat nichts dergleichen gefunden, auch im Benutzerdefinierten Scann nicht. Nach ca.10 Min. versuchen diese EXE Dateien auf das Internet Zugriff zu nehmen, werden jedoch von der Firewall daran gehindert.Gut so! Das diese Dateien nicht zu XP gehören ist klar. Ich vermute das es sich um Dialer handelt. Löschen kann NAV sie nicht, auch nicht isolieren!!! Und wo nichts ist kann man auch manuell nichts löschen.Ich habe dann folgendes getan:
1) den Ordner Downloadet Files mit Tune-Up Shredder gelöscht ( der wird nach einer Weile wiederhergestellt und zwar OHNE diese EXE), dann in der Reg. alle gefundenen Einträge der oben genannten Files inkl. "winshow" gelöscht. 2) Die Einträge aus der Firewall entfernt. 3) Neuen Scan mit NAV und Ad-aware?, sowie SUCHEN durchgeführt, mit dem Ergebniss das nun nichts mehr dergleichen gefunden wurde. 4) Nachdem der Ordner Downloadet Files wieder hergestellt war habe ich erneut alle Prüfungen inkl. NAV durchgeführt. Ergebniss : alles Clean!
Vieleicht kennt jemand diese EXE Dateien unter dem Zusatz "winshow" und kann sagen was es damit auf sich hat. Vor allem wäre mal interessant zu erfahren, wieso diese Dateien nicht sichtbar sind? Wie hängt das zusammen?
Informationen im Netz habe ich keine passenden dazu gefunden.
Für Eure Infos vielen Dank im Voraus,

Gruß Fleedy11

 

@Fleedy11:

Dein Sicherheitskonzept, so denn überhaupt ein solches besteht, ist löcherig ohne Ende. Dringend zu ergreifende Maßnahmen:

1.) Windows updaten. Komplett.
2.) Den Browser wechseln. Konsequent. Der IE ist der Unsicherheitsbrowser schlechthin.
3.) Auf Pseudosicherheitssoftware à la NIS verzichten.

Weitere Infos zu Infektionsweg und Entfernung:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_WINSHOW.A&VSect=T
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_INOR.F&VSect=T
http://www.pestpatrol.com/PestInfo/w/winshow.asp

 

http://securityresponse.symantec.com/avcenter/venc/data/adware.winshow.html

Symantec hat diese Adware gelistet - dort findest Du weitere Info's.

cu mer.

 

Hallo mschuetzda,

naja, glücklicherweise kann man diesen Ordner ja löschen. Aber das beseitigt natürlich nicht immer das Problem, da es sich in diesem Fall um eine EXE handelte.
Danke für den Tip, das werde ich sicherheitshalber auch nochmal prüfen, man weis ja nie....!
Mit Spyboot & Destroy komme ich nicht so richtig klar, ist irgentwie zu kompliziert für mich. Stattdessen hat den Rest XP Tune-Up erledigt, damit komme ich gut zurecht, obwohl es kein eigentliches Adware Programm ist, löscht es aber doch alles was nicht mehr zu finden ist an Deinstallationsresten, bzw. Fehlern. Ich denke da z.B. an Deinstallationsreste von NAV 2003, die eine Neuinstallation nicht mehr zuliessen.

Nochmals Danke,

Gruß Fleedy11

 

Ja dieser Ordner ist ein beliebtes Versteck für Dialer und Malware, weil man diese Dateien dort nicht sieht bzw. mit den üblichen Bordmitteln nicht zu sehen bekommt.
Ich weiss auch nicht ob man das über einen Registryeintrag ändern kann.

Ich hatte mir mal über die DOS-Eingabe geholfen, mit DIR, DEL und RD , da gab's dann noch einige Unterverzeichnisse und andere Dateien zu sehen. Es war auch ein Dialer und der wurde auch nur von NAV 2004 erkannt. SpyBot S&D und AdAware hatten nichts gefunden.

mfg
mschue

 

Danke für den schnellen Tipp,

ich habe eben auch noch mal nachgeschaut, stimmt, die Prefetch Datei hatte ich auch gelöscht. Hatte ich vergessen zu erwähnen.Also ich bin bestimmt nicht prüde oder verklemmt, aber eigentlich treibe ich mich nicht auf solchen Seiten rum. Aber weil Du das gerade sagst, fällt mir ein das ich mal eine Mail geöffnet habe, die eine Absenderadresse ähnlich eines Freundes hatte, hab nicht schlecht gestaunt! Und danach war das Teil auch drauf.
Aber so wie es aussieht bin ich wohl den richtigen Weg gegangen um das Ding los zuwerden. Und wenns ein Dialer war, kann der bei DSL nichts ausrichten. Seit dem habe ich nie wieder solche Dateien bekommen. Aber es ist schon dreist mit welchen Mitteln manche "Anbieter" arbeiten, vor allem man bekommt die Biester nicht mehr so einfach los. Mit Systemwiederherstellung hat man keine Chance. Aber damals war ich neu dabei und bin prompt reingefallen. Da gabs nur eins : Tips holen und lesen!
Also nochmal vielen Dank für den Tip und die Links, das hat mir sehr geholfen!

Gruß Fleedy11

 

Hallo,

laut Google gibt es zig verweise zu dieser Datei eines ****o-Stuff-Anbieters.

Es ist, so wie es aussieht, tatsächlich ein Hijacker, Dialer, Trojaner etc ... !

Weitere Infos, ebenso eine Problem-Lösung: http://www.pbportal.de/forum/showthread/t-44426.html