Unbekannte Datei, unbekannter Prozess?

Bullabeisser

Bullabeisser

assimiliert
Hi @all,

ein Bekannter hat eine ungewöhnliche Datei und einen ungewöhnlichen Prozess unter XP SP2 am laufen. Keine Suchmaschine (auch nicht Zoozle) finden irgenwas. Ich habe folgende Info auf Trend Micro von ihm erhalten:
> --== Dump Hidden MBR and Hidden File on C:\ ==--
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.dat
> FullPathLength: 86
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.exe
> FullPathLength: 86
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq_nav.dat
> FullPathLength: 90
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq_navps.dat
> FullPathLength: 92
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x20
> ShareAccess : 0x0
> Type : 0x0
> [HIDDEN_FILE]:
> FullPath : C:\WINNT\Prefetch\ECOSUKQ.EXE-133C77B5.pf
> FullPathLength: 41
> DesiredAccess : 0x0
> Options : 0x0
> Attributes : 0x2020
> ShareAccess : 0x0
> Type : 0x0
> 5 hidden files found.
>
> --== Dump Hidden Registry Value on HKLM ==--
> No hidden registry entries found.
>
>
> --== Dump Hidden Process ==--
> [HIDDEN_PROCESS]:
> ParentId : 000007B8
> ID : 00000E00
> Type : 0x00000001
> Name : ecosukq.exe
> ImageName : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq.exe

Kennt jemand diese "ecosukq.exe" und kann diese einordnen? Ich habe da so eine Vermutung, weil keine Suchmaschine die Datei kennt (bzw. listen darf?? Läßt da schon der Bundestrojaner grüßen?)

Gruß
Bullabeisser
 
Zuletzt bearbeitet von einem Moderator:
Bullabeisser schrieb:
> FullPath : C:\Dokumente und Einstellungen\MoorHj\Lokale
> Einstellungen\Anwendungsdaten\ecosukq_navps.dat
Zum Vergrößern anklicken....

Ich habe gerade nur nach "navps.dat" gegoogelt, so wie es scheint, ist das wohl Spyware, die sich immer eigene Namen gibt.
Andererseits wohl auch nicht allzu schlimm, soweit ich quer gelesen habe, kann man die entsprechenden Dateien im abgesicherten Modus nachhaltig ohne Probleme löschen :)
 
Danke mal für die Info - ich werde es weiterleiten. Hab dem Knaben sowieso schon den Tipp gegeben, die Kiste mit Knoppix zu booten und die Dateien dann zu löschen.
Mal sehen, wie es weitergeht.

Gruß
Paul
 
Nur zur Info für alle:

Es war ein Rootkit, wir wissen aber nicht, woher das Mistvieh stammt. Mittels Freeware "Panda Anti Rootkit" wurde das Mistvieh entfernt.
http://panda-anti-rootkit.softonic.de/

Nur so ein Gedanke: Da keine Suchmaschine die o.g. EXE kennt, liegt doch die Vermutung nahe, dass die Robots die nicht listen dürfen. Ist das schon der Vorgeschmack des Bundestrojaners??

Gruß
Bullabeisser
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben