Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kennt jemand die userzjwin.exe?

Frage Sicherheit Viren und Trojaner

Mitglied: Imhotep

Imhotep (Level 1) - Jetzt verbinden

05.07.2012 um 10:20 Uhr, 3320 Aufrufe, 9 Kommentare

OS: Windows7 Pro
Virenscanner: eScan Corporate
Googleergebnis: Es wurden keine mit Ihrer Suchanfrage - "userzjwin.exe" - übereinstimmenden Dokumente gefunden.

Hallo,

auf einem Windows7 PC, auf dem die Virensoftware eScan im Einsatz ist, kommt täglich die Virenwarnung, dass die Datei C:\Users\%username%\AppData\Roaming\userzjwin.exe mit dem Virus Trojan.Generic.KDV.597653 (DB) infiziert sei. Wenn ich mich auf dem selben PC mit einem anderen User anmelde, kommt diese Meldung nicht.

Ich lasse die Datei vom Virenscanner unter Quarantäne stellen, bei jeder Neuanmeldung wird diese userzjwin.exe wieder erstellt und wieder unter Quarantäne gestellt.

Ich habe das System mit autoruns überprüft und konnte den Ursprung der userzjwin.exe nicht ausfindig machen.

Vielleicht hat ja jemand zumindest einen Lösungsansatz für mich.

Vielen Dank
Imho

Mitglied: Penny.Cilin
05.07.2012 um 10:34 Uhr
Dann schau mal im Profil des %ussername% und im Pfad ..AppData\Roaming\ nach. Dazu benötigst Du lokale Adminstratorberechtigungen.
Bitte warten ..
Mitglied: Imhotep
05.07.2012 um 11:10 Uhr
Was soll ich da nachschauen? Irgend etwas erstellt die userzjwin.exe immer wieder neu in dem Verzeichnis %username%\AppData\Roaming\, das ist mir klar, und der Virenscanner stellt sie dann direkt unter Quarantäne. Wenn ich also in dem Verzeichnis nachscheue, ist die Datei ja schon wieder weg, es sei denn, ich habe den Virenscanner deaktiviert, und der betroffene User meldet sich wieder an. Dann wir die Datei wieder erstellt und ich finde die in dem Verzeichnis.

Aber: Was erstellt diese Datei immer wieder neu???
Bitte warten ..
Mitglied: kaiand1
05.07.2012 um 11:33 Uhr
Moin
Nun wie du schon Festgestellt hast tritt das nur bei dem User X auf.
Ist die Anmeldung Lokal oder über Domaine?
Es kann ein Script, Regeintrag, Autostart Programm ect sein das bei der Anmeldung bzw danach gestartet wird und die Datei Runterlädt? aus einer anderen Datei erstellt ect..
Einfachste währe ja schonmal den User X zu sperren bzw die Wichtigen Daten löschen und neu Anlegen.
Da du ja sagst das dieser sich bei der Anmeldung eines Anderen Users nicht erscheint.
Notfalls halt den ganzen PC neu machen.
Bitte warten ..
Mitglied: DerWoWusste
05.07.2012 um 11:39 Uhr
Der Virus läuft in Appdata, er wurde evtl. nicht systemweit installiert - somit könnte es reichen, die Daten des Userprofils zu sichern und es neu anzulegen - in keinem Fall musst Du den User löschen bzw. solltest es nicht tun.

Zur Diagnose mal die Datei bei virustotal.com einwerfen - ist mit Sicherheit ein Virus.

Um ganz sicher zu gehen, macht man in diesem Fall dennoch den Rechner neu, denn es ist nicht gesagt, dass nicht doch noch systemweite Folgen der Infektion auftauchen.
Bitte warten ..
Mitglied: Imhotep
05.07.2012 um 11:54 Uhr
Ich habe den PC mit dem Windows Tool autoruns überprüft und dabei keinen Regeintrag, Autostart oder Sonstiges entdeckt, was dafür verantwortlich sein könnte.
Der User meldet sich über ein Domänenkonto an.
Ich denke ich werde die Datei mal an eScan und virustotal.com schicken und den PC neu aufsetzen.
Bitte warten ..
Mitglied: kaiand1
05.07.2012 um 12:00 Uhr
Nur bedenke aber das der User immer noch den Trojaner/Virus hat selbst wenn du den PC neu machst.
Da dieser dann im Profil ist und auf jeden PC auftauschen kann wo der User sich anmeldet.
Das mit dem Userlöschen bezog sich auch auf einen Lokalen, bei Domaine hängt ja noch etwas dadran....
Bitte warten ..
Mitglied: DerWoWusste
05.07.2012, aktualisiert um 12:49 Uhr
@kaiand
Ja, wenn es servergespeicherte Profile sein sollten...
und selbst bei lokalen braucht der nicht gelöscht zu werden - unnötige Arbeit und kein Gewinn.
Bitte warten ..
Mitglied: Imhotep
05.07.2012, aktualisiert um 16:03 Uhr
Es handelt sich tatsächlich um ein servergespeichertes Profil. Ich habe mir das Profil auf dem Server angeschaut, da ist die Datei nicht vorhanden. Dann habe ich aber das Profil auf dem Server nach Viren gescannt. Nix gefunden.

Nun war ich einfach mal so leichtsinnig und habe mich mit dem betreffenden User an einem anderen PC angemeldet. Da passierte nichts. Die userzjwin.exe wurde nicht erstellt. Der Virenscanner hat dementsprechend natürlich auch nicht angeschlagen.

Also liegt es scheinbar doch irgendwie an dem PC.
Bitte warten ..
Mitglied: Imhotep
06.07.2012 um 09:27 Uhr
Ich habe gestern das servergespeicherte Profil gelöscht. Beim Abmelden des Users wurde es neu erstellt. Heute hat sich der User wieder angemeldet und die Viruswarnung blieb aus. Die Datei ist weg.

Problem gelöst.

Aber woher diese userzjwin.exe kam weiß ich jetzt immer noch nicht.

Ich bedanke mich bei allen Postern und wünsche allen eine Virenfreie Zeit.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Kennt Jemand Edimax WLAN?
gelöst Frage von StefanKittelLAN, WAN, Wireless5 Kommentare

Hallo, hat Jemand Erfahrungen mit Edimax WLAN APs und Controller? Ich habe eben Werbung von API bekommen. Diese Geräte ...

Suche Projektpartner
Kennt jemand gute Projektbörsen ?
gelöst Frage von ChewraptorSuche Projektpartner5 Kommentare

Hallo, ich bin in Auftragsschwachen zeiten immer mal wieder auf Projektbörsen unterwegs um mir kleine Aufträge an Land zu ...

Windows Userverwaltung
Kennt jemand ein Berechtigungstool wie 8MAN?
gelöst Frage von ALucaKWindows Userverwaltung1 Kommentar

In der Firma suchen wir ein Tool, mit dem wir unsere Berechtigungen schnell und einfach bearbeiten können. Es sollte ...

Drucker und Scanner
Kennt jemand das Kyocera Control Center?
gelöst Frage von departure69Drucker und Scanner17 Kommentare

Hallo. Wir haben Leasing/Miete/Klick für ein paar MFPs und Kopierer ausgeschrieben und dabei eine Softwarelösung, eine Art "Middleware" verlangt, ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...