in Autostart > kennt Jemand: ChkUiMsg und Iphctsaj0e983

[er.call]

Hallo - schon mal vielen Dank für eure Hilfen!

Ich habe folgende Konfiguration:
Windows-XP Home, E6750, 2GB Ram, GeForce 8800GTS, Realtec-Sound, Comodo Firewall, Antivir Personal, Spywear Doctor, Uniblue SpyEraser

Ich habe nun CCleaner.com v2.01.507 gestartet und folgende mir unbekannte Einträge unter Autostart gefunden:

HKCU:Run ChkUiMsg c:\WINDOWS\system32\xcnmafw.exe

HKLM:Run lphctsaj0e983 c:\WINDOWS\system32\lphctsaj0e983.exe

Ich habe versucht mit Hilfe Google herauszufinden was das ist = ohne jedes Ergebnis.
Eine Systemprüfung mit AVIRA Personal = ohne jeden Befund.

Kann mir bitte Jemand sagen was das für Programme sind und was ich mit denen machen soll - bzw. was ich jetzt tuen soll.

Vielen Dank und viele Grüße

[michael]

Google gibt da wirklich nicht viel her, möglich das es sich um ständig wechselnde Dateinamen handelt um eine Erkennung zu erschweren.

Ich würde die entsprechenden Dateien auf einen externen Datenträger sichern und dann auf dem Rechner löschen.
Ebenso die beiden Registryeinträge sichern und löschen.
Nach einem Neustart überprüfen ob diese auch wirklich entfernt sind oder sich dort wieder selber eingetragen haben.
Nochmal deine Antiviren und Spywareprogramme laufen lassen.

Ich glaube zwar nicht, das dein Windows dadurch beschädigt wird aber du solltest sicherstellen das du eine Sicherung deiner Daten hast und dein Windows gegebenenfalls wiederherstellen kannst.

Eine weitere Maßnahme wäre sicherlich alle Wiederherstellungsunkte zu löschen und danach einen neuen anzulegen, um zu verhindern das sich in einer der Sicherungen etwas versteckt und du diese wiederherstellst.

[er.call]

Ich danke dir - werde es so machen

[cuckoo]

lphctsaj0e983, lphctebj0e7saj, lphcrsgj0ev3v.exe, lphct3tj0etea.exe, lphctebj0e70l.exe, lphctqnj0e1e1.exe, lphcvinj0e5fa.exe, lphcvtfj0e9dj.exe lphcvubj0ept7.exe...ist ein Trojaner der verschiedene Namen hat und andere Endungen wie scr und Bmp. Genauso ist es mit der anderen Datei ChkuiMsg = ozmdsrsv.exe die auch mehrer Varianten hat. Nach durchlesen des Artikels werden diese Trojaner durch herunterlade von CRACK'S sowie NO-CD auf den PC geladen. Was genau für eine Aufgabe diese Trojaner haben konnte ich nicht genau heraus finden nur, dass noch andere Trojaner mit geladen werden die noch nicht alle von einen Virus Programm erfasst werden. Der Artikel war vom 20.08.2008 datiert die Empfehlung war den PC über den Wiederherstellungspunkt aufzusetzen.
Adresse dazu: BleepingComputer.com - Computer Help Forums

[er.call]

Vielen Dank für deine Recherche und die guten Informationen!

Aber siehe hierzu bitte meinen Thread >>

System Volume Informationen > A0262859.exe - Was ist das?
Ich kann leider nicht "Wiederaufsetzen"


Wie kann ich den Mist in der Datei System Volume Informationen löschen?

Vielen Dank

[cuckoo]

Zugriff auf den Ordner System Volumen

BEISPIEL:
„C:\System Volumen Information\Restore{A8F330B0-7A36-4CAB-B1543-2345ACD55FFC}\RP99\A0067040.exe”
Wenn der AntiVirus eine Meldung macht, dass sich ein Schadcode in diesem Ordner befindet, dann ist gerade eben der oben genannte Fall eingetreten.
Das Verzeichnis wo sich der Schadcode befindet, ist: „C:\System Volumen Information\Restore{A8F330B0-7A36-4CAB-B1543-2345ACD55FFC}\RP99\“, der Name des Schadcodes ist.„A0067040.exe”. Der Schadcode ist ein Trojaner folgender Art: „Win32:Trojan-gen. {UPX!}“.
Ein Trojaner der sich höchstwahrscheinlich durch den UPX - Packer selbst installiert hat. Der AV kann diesen nicht entfernen, da er nicht die benötigte Sicherheitsstufe besitzt um was in diesem Ordner (System Volumen Information) zu bewirken.
Deshalb müssen wir eine neue Sicherheitsstufe schaffen um den Trojaner manuell löschen.

1. Arbeitsziel
Wir öffnen den Arbeitsplatz und wählen die Festplatte aus auf der sich der Trojaner befindet (in diesem Fall ist es „C:\“). Auf der Festplatte „C:\“ haben wir standardmässig folgende Ordner: Dokumente und Einstellungen, Programme und Windows. Sie können natürlich mehrere Ordner hier haben, aber diese sind wie schon erwähnt Standard. Sie sind in einer gelben Farbe (bei normalem XP – Themen) dargestellt. In der Menüleiste ganz oben wählen wir nun „Extras“ aus und klicken auf die Option „Ordneroptionen“. Ein neues Fenster öffnet sich und wir haben nun 4 Rubriken, wie wählen die zweite mit der Überschrift „Ansicht“
.
2. Arbeitsziel
In dem Fenster gibt es nun eine Überschrift „Erweiterte Einstellungen“, dort müssen wir nun 3 Optionen ändern.
Bei „Einfache Dateifreigabe verwenden (empfohlen)“ und bei „Geschützte Systemdateien ausblenden (empfohlen)“ entfernen wir das Häkchen

§ Achtung: Bei „Geschützte Systemdateien ausblenden (empfohlen)“ wird eine Meldung angezeigt, diese bestätigen mit „Ja“. §
Bei der Option „Versteckte Dateien und Ordner anzeigen“ wählen Sie die Option „Alle Dateien und Ordner anzeigen“.
Oben über der Überschrift „Erweitere Einstellungen“ ist ein Abschnitt mit der Überschrift „Ordneransicht“, hier klicken auf „Für alle übernehmen“. Es erscheint wiederum eine Meldung und diese wird bestätigen wiederum mit „Ja“.
Anschließend klicken Sie unten links auf „Übernehmen“ und danach auf „OK“.

3. Arbeitsziel
Nun sind auf der Festplatte „C:\“ neben den 3 Standartordnern noch andere Ordner sowie auch Dateien aufgetaucht. Wir interessieren uns nur für der Ordner „System Volumen Information“
!!!Achtung: Es dürfen in diesen Ordner keine Daten gelöscht , verschoben oder bearbeitet werden, da dies zur kompletten „Zerstörung“ von Windows bzw. des kompletten PCs führen können.!!!
Wenn Sie nun einen oder Doppelklick auf den „System Volumen Information“ tätigt bekommen man ein Fehlermeldung, in der man mitgeteilt bekommen, dass der „Zugriff verweigert“ wird. Damit wir nun Zugriff bekommen, geben wir diese Ordner spezielle Rechte.

4. Arbeitsziel
Wir tätigen einen „Rechtsklick“ mit der Maus auf den Ordner „System Volumen Information“ und klicken in den 4 oben genannten Rubriken die Rubrik „Sicherheit“ an. Dort klicken wir auf „Hinzufügen“ und in dem neu geöffneten Fenster geben wir unter dem Satz „Geben Sie die zu verwendenden Objektnamen ein (Beispiele):“ ihren Benutzernamen ihres PCs ein. wäre z.B.: Donald. Danach wird bestätigen mit „OK“.
Unten bei der Überschrift „Berechtigungen für Donald“ (in diesen Fall) wählen Sie bei „Zulassen“ den „Vollzugriff“ aus. Danach klicken auf „Übernehmen“ und anschließend wie gewohnt auf „OK“.
§ Achtung: Beachte bitte, dass der Benutzername (in diesen Fall Donald) angeklickt ist und blau markiert ist.§

5. Arbeitsziel
Öffnen bitte den „System Volumen Information“ – Ordner und suchen dann den Trojaner in dem genannten Verzeichnis. Der Trojaner lässt sich dann wahrscheinlich nicht sofort löschen wenn wir ihn gefunden haben, da er unter irgendeinem Prozess läuft. Natürlich gibt es für dieses Problem auch eine Lösung und diese heißt „Unlocker“. Dieses kleine „Freeware-Tool“ downloaden wir wenn es nicht vorhanden ist und installieren es.
Nachdem dies erledigt ist tätigen wir ein Rechtsklick auf den Trojaner aus und klicken auf Unlocker. Nun können 3 verschiedene Fälle eintreten, entweder:

1. Es geht ein neues Fenster auf und wir klicken auf „Alle Freigeben“ und löschen dann den Trojaner
2.Es geht ein neues kleineres Fenster auf und wir wählen die Aktion „Löschen“ aus und bestätigen mit „OK“.
3.Oder es geht das gleiche kleine Fenster auf wie bei Punkt b) und wir wählen die Aktion „Löschen“ aus, jedoch wird die Datei (indem Fall der Trojaner erst nach einem Neustart gelöscht.

Nun dürfte der Trojaner in unserem Arbeitsziel gelöscht sein. Dann setzten alle veränderten Parameter wieder zurück auf den alte Werte.

6. Arbeitsziel
Wir kehren ans Laufwerk „C:\“ zurück tätigen wieder einen Rechtsklick auf den Ordner „System Volumen Information“ aus und klicken auf „Eigenschaften“. In der Rubrik „Sicherheit“ klicken Sie ihren Benutzernamen an (in diesen Fall Donald) und klicken anschließend auf entfernen. Danach bestätigen wir mit „Übernehmen“ und „OK“.
Danach klicken wir wiederum in der Menüleiste auf „Extras“ und danach auf „Ordneroptionen“. Hier wählen Sie die Rubrik „Ansicht“ und setzten ein Häkchen vor die Optionen „Einfache Dateifreigabe verwenden (empfohlen)“ und vor „Geschützte Systemdateien ausblenden (empfohlen)“. Bei der Überschrift „Alle Dateien und Ordner“ ein wenig darunter wählen wir auch „Versteckte Dateien und Ordner ausblenden“.
Anschliessend klicken wir oben unter der Überschrift „Ordneransicht“ auf „Für alle übernehmen“. § Achtung: Es kommt wieder eine Meldung und wir bestätigen Sie wiederum mit der Antwort „Ja“.

Danach bestätigen wir dies mit „Übernehmen“ und „OK“.


Ende

Dies gilt jedoch nicht bloß für den „System Volumen Information“ Ordner, sondern auch für andere Ordner in ähnlichen Fällen.