Bullabeisser
assimiliert
Hi @all,
ein Bekannter hat eine ungewöhnliche Datei und einen ungewöhnlichen Prozess unter XP SP2 am laufen. Keine Suchmaschine (auch nicht Zoozle) finden irgenwas. Ich habe folgende Info auf Trend Micro von ihm erhalten:
Kennt jemand diese "ecosukq.exe" und kann diese einordnen? Ich habe da so eine Vermutung, weil keine Suchmaschine die Datei kennt (bzw. listen darf?? Läßt da schon der Bundestrojaner grüßen?)
Gruß
Bullabeisser
ein Bekannter hat eine ungewöhnliche Datei und einen ungewöhnlichen Prozess unter XP SP2 am laufen. Keine Suchmaschine (auch nicht Zoozle) finden irgenwas. Ich habe folgende Info auf Trend Micro von ihm erhalten:
> --== Dump Hidden MBR and Hidden File on C:\ ==--
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.dat
> FullPathLength: 86
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.exe
> FullPathLength: 86
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq_nav.dat
> FullPathLength: 90
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq_navps.dat
> FullPathLength: 92
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\WINNT\Prefetch\ECOSUKQ.EXE-133C77B5.pf
> FullPathLength: 41
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x2020
> ShareAccess : 0x0
> Type : 0x0
> 5 hidden files found.
>
> --== Dump Hidden Registry Value on HKLM ==--
> No hidden registry entries found.
>
>
> --== Dump Hidden Process ==--
> [HIDDEN_PROCESS]:
> ParentId : 000007B8
> ID : 00000E00
> Type : 0x00000001
> Name : ecosukq.exe
> ImageName : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.exe
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.dat
> FullPathLength: 86
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.exe
> FullPathLength: 86
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq_nav.dat
> FullPathLength: 90
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq_navps.dat
> FullPathLength: 92
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\WINNT\Prefetch\ECOSUKQ.EXE-133C77B5.pf
> FullPathLength: 41
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x2020
> ShareAccess : 0x0
> Type : 0x0
> 5 hidden files found.
>
> --== Dump Hidden Registry Value on HKLM ==--
> No hidden registry entries found.
>
>
> --== Dump Hidden Process ==--
> [HIDDEN_PROCESS]:
> ParentId : 000007B8
> ID : 00000E00
> Type : 0x00000001
> Name : ecosukq.exe
> ImageName : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.exe
Kennt jemand diese "ecosukq.exe" und kann diese einordnen? Ich habe da so eine Vermutung, weil keine Suchmaschine die Datei kennt (bzw. listen darf?? Läßt da schon der Bundestrojaner grüßen?)
Gruß
Bullabeisser
Zuletzt bearbeitet von einem Moderator: