youwish.exe

Hallo. Neurdings hat sich bei mir eine "youwish.exe" auf C:/ eingeschlichen. Diese finde ich auch im Taskmanager unter Prozesse. Wenn ich youwish.exe lösche, escheint sie nach kurzer zeit wieder. Recherchen im Netz waren erfolglos. Kann mir jemand sagen was das ist?
Vielen Dank,
Uwe

 

Das ja interessant, zum Suchbegriff "youwish.exe" findet Google absolut nix. Hatt ich schon lang nicht mehr.

Was sagen denn:

-Virenscanner (wenn du keinen hast, AntiVir und AVG sind kostenlos)
-Spybot Search & Destroy
-Ad-aware

Wenn die sagen dass dein System sauber ist dann poste hier ein Hijack-This Log.

Wenn die sagen dass dein System infiziert ist dann hilft nur noch format c: denn das Teil ist ja aktiv (wird ja jedesmal neu erstellt).

 

Hallo,
wie TheD0CT0R schon schrieb:
Erstelle mit HiJackThis ein Log-File und poste es hier rein.

 

Hallo.
Danke erst mal für die Tips. Habe Spybot installiert und der hat mehr gefunden als Ad-Aware (den ich schon benutzt habe). Seit dem ist youwish nicht mehr aufgetaucht. Irgendwo schon blöd, dass man mehrere Programme nutzen muss um alle Schädlinge zu finden....was Ad_Aware nicht findet, findet evtl. Spybot oder A²......kann allen nur empfehlen in solchen fällen mehrere Virenjäger oder Ad-Killer auszuprobieren.

 

Ganz wohl ist mir noch nicht dabei. Als was hat Spybot die youwish.exe denn identifiziert? Wenn es z.B. Spyware war dann solltest du dringend deine Passwörte ändern.

 

@ Wolfy

Kann mich TheDoctor nur anschließen, desweiteren dürfte dies nicht dein einziges Problem sein. Poste doch mal ein Log-File.

Ein Beispiel für youwish.exe findest du hier:
http://www.chip.de/forum/thread.html?bwthreadid=677249

 

mal sehn obs euch hilft...
kann mich leider nicht erinnern was Spybot gefunden hatte, jedenfalls nicht direkt youwish....

Logfile of HijackThis v1.98.0
Scan saved at 15:06:27, on 26.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
D:\Programme\ClocX\ClocX.exe
D:\Programme\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\AutoSizer\AutoSizer.exe
D:\Programme\Actual Title Buttons Lite\ActualTitleButtonsLiteCenter.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\DitExp.exe
D:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
D:\Programme\ClickOff\Clickoff.exe
D:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AdShield.AdShield - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - d:\PROGRA~1\AdShield\AdShield\AdShield.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ClocX] D:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [AutoSizer] "D:\Programme\AutoSizer\AutoSizer.exe" /h
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [Actual Title Buttons Lite] d:\Programme\Actual Title Buttons Lite\ActualTitleButtonsLiteCenter.exe
O4 - Startup: ClickOff.lnk = D:\Programme\ClickOff\Clickoff.exe
O4 - Startup: Verknüpfung mit Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Norton System Doctor (2).lnk = D:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Maintain Block List... - d:\PROGRA~1\AdShield\AdShield\maintain.htm
O8 - Extra context menu item: Add to &Block List... - d:\PROGRA~1\AdShield\AdShield\suppress.htm
O8 - Extra context menu item: AdShield Option &Settings... - d:\PROGRA~1\AdShield\AdShield\settings.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AdShield - {4FB6C25E-7B37-4c93-B592-16ECD8D18361} - d:\PROGRA~1\AdShield\AdShield\AdShield.dll (HKCU)
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6446BC20-EE13-49F3-BB1A-7C4373564DFD}: NameServer = 195.50.140.250 145.253.2.11

Gruß
Wolfy

 

@ Wolfy

Hier ist der Übeltäter: snlogsvc.exe
Überprüfe diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis.

 

es ist zum verrückzwerden! snlogsvc.exe kann ich auf meinem System nicht finde, weder mit Windows Suche noch manuell (sollta im Ordner ../Windos/System32/ zu finden sein, aber da ist nichts. Habe nochmals HiJack laufen lassen und der findet das immer noch.
Darum kurzer Prozess und mit HiJack ge-fixed...wenns das dann mal war ~ melde mich wenn es neues gibt ....hoffe ja nicht...