Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kennt jemand die userzjwin.exe?

Frage Sicherheit Viren und Trojaner

Mitglied: Imhotep

Imhotep (Level 1) - Jetzt verbinden

05.07.2012 um 10:20 Uhr, 3287 Aufrufe, 9 Kommentare

OS: Windows7 Pro
Virenscanner: eScan Corporate
Googleergebnis: Es wurden keine mit Ihrer Suchanfrage - "userzjwin.exe" - übereinstimmenden Dokumente gefunden.

Hallo,

auf einem Windows7 PC, auf dem die Virensoftware eScan im Einsatz ist, kommt täglich die Virenwarnung, dass die Datei C:\Users\%username%\AppData\Roaming\userzjwin.exe mit dem Virus Trojan.Generic.KDV.597653 (DB) infiziert sei. Wenn ich mich auf dem selben PC mit einem anderen User anmelde, kommt diese Meldung nicht.

Ich lasse die Datei vom Virenscanner unter Quarantäne stellen, bei jeder Neuanmeldung wird diese userzjwin.exe wieder erstellt und wieder unter Quarantäne gestellt.

Ich habe das System mit autoruns überprüft und konnte den Ursprung der userzjwin.exe nicht ausfindig machen.

Vielleicht hat ja jemand zumindest einen Lösungsansatz für mich.

Vielen Dank
Imho

Mitglied: Penny.Cilin
05.07.2012 um 10:34 Uhr
Dann schau mal im Profil des %ussername% und im Pfad ..AppData\Roaming\ nach. Dazu benötigst Du lokale Adminstratorberechtigungen.
Bitte warten ..
Mitglied: Imhotep
05.07.2012 um 11:10 Uhr
Was soll ich da nachschauen? Irgend etwas erstellt die userzjwin.exe immer wieder neu in dem Verzeichnis %username%\AppData\Roaming\, das ist mir klar, und der Virenscanner stellt sie dann direkt unter Quarantäne. Wenn ich also in dem Verzeichnis nachscheue, ist die Datei ja schon wieder weg, es sei denn, ich habe den Virenscanner deaktiviert, und der betroffene User meldet sich wieder an. Dann wir die Datei wieder erstellt und ich finde die in dem Verzeichnis.

Aber: Was erstellt diese Datei immer wieder neu???
Bitte warten ..
Mitglied: kaiand1
05.07.2012 um 11:33 Uhr
Moin
Nun wie du schon Festgestellt hast tritt das nur bei dem User X auf.
Ist die Anmeldung Lokal oder über Domaine?
Es kann ein Script, Regeintrag, Autostart Programm ect sein das bei der Anmeldung bzw danach gestartet wird und die Datei Runterlädt? aus einer anderen Datei erstellt ect..
Einfachste währe ja schonmal den User X zu sperren bzw die Wichtigen Daten löschen und neu Anlegen.
Da du ja sagst das dieser sich bei der Anmeldung eines Anderen Users nicht erscheint.
Notfalls halt den ganzen PC neu machen.
Bitte warten ..
Mitglied: DerWoWusste
05.07.2012 um 11:39 Uhr
Der Virus läuft in Appdata, er wurde evtl. nicht systemweit installiert - somit könnte es reichen, die Daten des Userprofils zu sichern und es neu anzulegen - in keinem Fall musst Du den User löschen bzw. solltest es nicht tun.

Zur Diagnose mal die Datei bei virustotal.com einwerfen - ist mit Sicherheit ein Virus.

Um ganz sicher zu gehen, macht man in diesem Fall dennoch den Rechner neu, denn es ist nicht gesagt, dass nicht doch noch systemweite Folgen der Infektion auftauchen.
Bitte warten ..
Mitglied: Imhotep
05.07.2012 um 11:54 Uhr
Ich habe den PC mit dem Windows Tool autoruns überprüft und dabei keinen Regeintrag, Autostart oder Sonstiges entdeckt, was dafür verantwortlich sein könnte.
Der User meldet sich über ein Domänenkonto an.
Ich denke ich werde die Datei mal an eScan und virustotal.com schicken und den PC neu aufsetzen.
Bitte warten ..
Mitglied: kaiand1
05.07.2012 um 12:00 Uhr
Nur bedenke aber das der User immer noch den Trojaner/Virus hat selbst wenn du den PC neu machst.
Da dieser dann im Profil ist und auf jeden PC auftauschen kann wo der User sich anmeldet.
Das mit dem Userlöschen bezog sich auch auf einen Lokalen, bei Domaine hängt ja noch etwas dadran....
Bitte warten ..
Mitglied: DerWoWusste
05.07.2012, aktualisiert um 12:49 Uhr
@kaiand
Ja, wenn es servergespeicherte Profile sein sollten...
und selbst bei lokalen braucht der nicht gelöscht zu werden - unnötige Arbeit und kein Gewinn.
Bitte warten ..
Mitglied: Imhotep
05.07.2012, aktualisiert um 16:03 Uhr
Es handelt sich tatsächlich um ein servergespeichertes Profil. Ich habe mir das Profil auf dem Server angeschaut, da ist die Datei nicht vorhanden. Dann habe ich aber das Profil auf dem Server nach Viren gescannt. Nix gefunden.

Nun war ich einfach mal so leichtsinnig und habe mich mit dem betreffenden User an einem anderen PC angemeldet. Da passierte nichts. Die userzjwin.exe wurde nicht erstellt. Der Virenscanner hat dementsprechend natürlich auch nicht angeschlagen.

Also liegt es scheinbar doch irgendwie an dem PC.
Bitte warten ..
Mitglied: Imhotep
06.07.2012 um 09:27 Uhr
Ich habe gestern das servergespeicherte Profil gelöscht. Beim Abmelden des Users wurde es neu erstellt. Heute hat sich der User wieder angemeldet und die Viruswarnung blieb aus. Die Datei ist weg.

Problem gelöst.

Aber woher diese userzjwin.exe kam weiß ich jetzt immer noch nicht.

Ich bedanke mich bei allen Postern und wünsche allen eine Virenfreie Zeit.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Userverwaltung
gelöst Kennt jemand ein Berechtigungstool wie 8MAN? (1)

Frage von ALucaK zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Kennt Jemand Edimax WLAN? (5)

Frage von StefanKittel zum Thema LAN, WAN, Wireless ...

Suche Projektpartner
gelöst Kennt jemand gute Projektbörsen ? (5)

Frage von Chewraptor zum Thema Suche Projektpartner ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...