58221
Jul 05, 2012
4144
9
0
Kennt jemand die userzjwin.exe?
OS: Windows7 Pro
Virenscanner: eScan Corporate
Googleergebnis: Es wurden keine mit Ihrer Suchanfrage - "userzjwin.exe" - übereinstimmenden Dokumente gefunden.
Hallo,
auf einem Windows7 PC, auf dem die Virensoftware eScan im Einsatz ist, kommt täglich die Virenwarnung, dass die Datei C:\Users\%username%\AppData\Roaming\userzjwin.exe mit dem Virus Trojan.Generic.KDV.597653 (DB) infiziert sei. Wenn ich mich auf dem selben PC mit einem anderen User anmelde, kommt diese Meldung nicht.
Ich lasse die Datei vom Virenscanner unter Quarantäne stellen, bei jeder Neuanmeldung wird diese userzjwin.exe wieder erstellt und wieder unter Quarantäne gestellt.
Ich habe das System mit autoruns überprüft und konnte den Ursprung der userzjwin.exe nicht ausfindig machen.
Vielleicht hat ja jemand zumindest einen Lösungsansatz für mich.
Vielen Dank
Imho
auf einem Windows7 PC, auf dem die Virensoftware eScan im Einsatz ist, kommt täglich die Virenwarnung, dass die Datei C:\Users\%username%\AppData\Roaming\userzjwin.exe mit dem Virus Trojan.Generic.KDV.597653 (DB) infiziert sei. Wenn ich mich auf dem selben PC mit einem anderen User anmelde, kommt diese Meldung nicht.
Ich lasse die Datei vom Virenscanner unter Quarantäne stellen, bei jeder Neuanmeldung wird diese userzjwin.exe wieder erstellt und wieder unter Quarantäne gestellt.
Ich habe das System mit autoruns überprüft und konnte den Ursprung der userzjwin.exe nicht ausfindig machen.
Vielleicht hat ja jemand zumindest einen Lösungsansatz für mich.
Vielen Dank
Imho
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187510
Url: https://administrator.de/contentid/187510
Printed on: April 26, 2024 at 11:04 o'clock
9 Comments
Latest comment
Dann schau mal im Profil des %ussername% und im Pfad ..AppData\Roaming\ nach. Dazu benötigst Du lokale Adminstratorberechtigungen.
Was soll ich da nachschauen? Irgend etwas erstellt die userzjwin.exe immer wieder neu in dem Verzeichnis %username%\AppData\Roaming\, das ist mir klar, und der Virenscanner stellt sie dann direkt unter Quarantäne. Wenn ich also in dem Verzeichnis nachscheue, ist die Datei ja schon wieder weg, es sei denn, ich habe den Virenscanner deaktiviert, und der betroffene User meldet sich wieder an. Dann wir die Datei wieder erstellt und ich finde die in dem Verzeichnis.
Aber: Was erstellt diese Datei immer wieder neu???
Aber: Was erstellt diese Datei immer wieder neu???
Moin
Nun wie du schon Festgestellt hast tritt das nur bei dem User X auf.
Ist die Anmeldung Lokal oder über Domaine?
Es kann ein Script, Regeintrag, Autostart Programm ect sein das bei der Anmeldung bzw danach gestartet wird und die Datei Runterlädt? aus einer anderen Datei erstellt ect..
Einfachste währe ja schonmal den User X zu sperren bzw die Wichtigen Daten löschen und neu Anlegen.
Da du ja sagst das dieser sich bei der Anmeldung eines Anderen Users nicht erscheint.
Notfalls halt den ganzen PC neu machen.
Nun wie du schon Festgestellt hast tritt das nur bei dem User X auf.
Ist die Anmeldung Lokal oder über Domaine?
Es kann ein Script, Regeintrag, Autostart Programm ect sein das bei der Anmeldung bzw danach gestartet wird und die Datei Runterlädt? aus einer anderen Datei erstellt ect..
Einfachste währe ja schonmal den User X zu sperren bzw die Wichtigen Daten löschen und neu Anlegen.
Da du ja sagst das dieser sich bei der Anmeldung eines Anderen Users nicht erscheint.
Notfalls halt den ganzen PC neu machen.
Der Virus läuft in Appdata, er wurde evtl. nicht systemweit installiert - somit könnte es reichen, die Daten des Userprofils zu sichern und es neu anzulegen - in keinem Fall musst Du den User löschen bzw. solltest es nicht tun.
Zur Diagnose mal die Datei bei virustotal.com einwerfen - ist mit Sicherheit ein Virus.
Um ganz sicher zu gehen, macht man in diesem Fall dennoch den Rechner neu, denn es ist nicht gesagt, dass nicht doch noch systemweite Folgen der Infektion auftauchen.
Zur Diagnose mal die Datei bei virustotal.com einwerfen - ist mit Sicherheit ein Virus.
Um ganz sicher zu gehen, macht man in diesem Fall dennoch den Rechner neu, denn es ist nicht gesagt, dass nicht doch noch systemweite Folgen der Infektion auftauchen.
Ich habe den PC mit dem Windows Tool autoruns überprüft und dabei keinen Regeintrag, Autostart oder Sonstiges entdeckt, was dafür verantwortlich sein könnte.
Der User meldet sich über ein Domänenkonto an.
Ich denke ich werde die Datei mal an eScan und virustotal.com schicken und den PC neu aufsetzen.
Der User meldet sich über ein Domänenkonto an.
Ich denke ich werde die Datei mal an eScan und virustotal.com schicken und den PC neu aufsetzen.
Nur bedenke aber das der User immer noch den Trojaner/Virus hat selbst wenn du den PC neu machst.
Da dieser dann im Profil ist und auf jeden PC auftauschen kann wo der User sich anmeldet.
Das mit dem Userlöschen bezog sich auch auf einen Lokalen, bei Domaine hängt ja noch etwas dadran....
Da dieser dann im Profil ist und auf jeden PC auftauschen kann wo der User sich anmeldet.
Das mit dem Userlöschen bezog sich auch auf einen Lokalen, bei Domaine hängt ja noch etwas dadran....
@kaiand
Ja, wenn es servergespeicherte Profile sein sollten...
und selbst bei lokalen braucht der nicht gelöscht zu werden - unnötige Arbeit und kein Gewinn.
Ja, wenn es servergespeicherte Profile sein sollten...
und selbst bei lokalen braucht der nicht gelöscht zu werden - unnötige Arbeit und kein Gewinn.
Es handelt sich tatsächlich um ein servergespeichertes Profil. Ich habe mir das Profil auf dem Server angeschaut, da ist die Datei nicht vorhanden. Dann habe ich aber das Profil auf dem Server nach Viren gescannt. Nix gefunden.
Nun war ich einfach mal so leichtsinnig und habe mich mit dem betreffenden User an einem anderen PC angemeldet. Da passierte nichts. Die userzjwin.exe wurde nicht erstellt. Der Virenscanner hat dementsprechend natürlich auch nicht angeschlagen.
Also liegt es scheinbar doch irgendwie an dem PC.
Nun war ich einfach mal so leichtsinnig und habe mich mit dem betreffenden User an einem anderen PC angemeldet. Da passierte nichts. Die userzjwin.exe wurde nicht erstellt. Der Virenscanner hat dementsprechend natürlich auch nicht angeschlagen.
Also liegt es scheinbar doch irgendwie an dem PC.
Ich habe gestern das servergespeicherte Profil gelöscht. Beim Abmelden des Users wurde es neu erstellt. Heute hat sich der User wieder angemeldet und die Viruswarnung blieb aus. Die Datei ist weg.
Problem gelöst.
Aber woher diese userzjwin.exe kam weiß ich jetzt immer noch nicht.
Ich bedanke mich bei allen Postern und wünsche allen eine Virenfreie Zeit.
Problem gelöst.
Aber woher diese userzjwin.exe kam weiß ich jetzt immer noch nicht.
Ich bedanke mich bei allen Postern und wünsche allen eine Virenfreie Zeit.