"yysyqsu.exe": ein Trojaner?

ich habe gerade als ich den PC einschlatete, eine Meldung von einem das überwachenden Progremm bekommen, dass in User\Run ein neuer Eintrag ist. Es handelt sich um die Datei "yysyqsu.exe" im Verzeichenis "c:\dokumente und einstellungen[benutzername]\lokale einstellungen\anwendungsdaten"
und hat auch noch volgende Dateien bei sich:
yysyqsu.dat
yysyqsu_nav.dat
yysyqsu_navps.dat

ich habe in Google nichts gefunden, merkwürdig. Kasperky meckert bei der Prüfung auch nicht, aber nachdem ich den Eintrag in die Karantäne verwies, kam er einfach wieder! Verdächtig, finde ich.
Hat einer von euch auch diese Datei? Oder kennt diese jemand?

Lad die dochmal hier hoch und guck was rauskommt.

Gruß

Anleitung zum loswerden:

1. die .exe umbenennen
2. mit taskmanager killen

falls das nicht den gewünschten erfolg bringt zusätzlich:

So kann verhindern, dass das Programme sich im autostart eintragen:
1.regedit öffnen
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run auswählen
3. unerwünschte werte löschen
4. rechtsklick auf den schlüssel "run" (links im baum)->berechtigungen..
5. erweitert klicken
6. hinzufügen klicken
7. "Jeder" eingeben
8.!!wichtig: Haken bei vollzugriff zulassen machen-> überall wird zulassen angekreutzt
9. "wert festlegen" auf verweigern setzten
10. ok drücken
11. computer neustarten

Man kann es leicht rückgängig machen, indem man unter Berechtigungen jeder entfernt.

ein scanner , der mehrere antivirenprogramme einsetzt: http://virusscan.jotti.org/de/

Virus Total:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.27 -
AhnLab-V3 5.0.0.2 2009.03.27 -
AntiVir 7.9.0.129 2009.03.27 -
Antiy-AVL 2.0.3.1 2009.03.27 -
Authentium 5.1.2.4 2009.03.27 -
Avast 4.8.1335.0 2009.03.26 -
AVG 8.5.0.283 2009.03.27 -
BitDefender 7.2 2009.03.27 -
CAT-QuickHeal 10.00 2009.03.26 -
ClamAV 0.94.1 2009.03.27 -
Comodo 1086 2009.03.27 -
DrWeb 4.44.0.09170 2009.03.27 -
eSafe 7.0.17.0 2009.03.26 -
eTrust-Vet 31.6.6420 2009.03.27 -
F-Prot 4.4.4.56 2009.03.26 -
F-Secure 8.0.14470.0 2009.03.27 -
Fortinet 3.117.0.0 2009.03.27 -
GData 19 2009.03.27 -
Ikarus T3.1.1.48.0 2009.03.27 -
K7AntiVirus 7.10.683 2009.03.27 -
Kaspersky 7.0.0.125 2009.03.27 -
McAfee 5565 2009.03.26 -
McAfee+Artemis 5565 2009.03.26 -
McAfee-GW-Edition 6.7.6 2009.03.27 :::

( base data )
entrypointaddress.: 0x307a6
timedatestamp.....: 0x44dae7ac (Thu Aug 10 08:00:44 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2f932 0x30000 7.36 6683c3058fc3a358b98fae43fc3cef37
seocesk 0x31000 0x7b5c 0x8000 5.59 515a3a803473858248d7b3a84d38dea1
wswsom 0x39000 0x3590 0x4000 5.05 71e9d27bcf82df3c67df6145c201580f
sekkogo 0x3d000 0x12d4 0x2000 5.64 4b3b73104f243ce7cfe5e7e2647c24e1

( 9 imports )
> ADVAPI32.dll: AdjustTokenPrivileges, GetSecurityInfo, AccessCheck, SetFileSecurityA, GetSecurityDescriptorLength, GetSecurityDescriptorOwner, SetSecurityDescriptorGroup
> KERNEL32.dll: LoadLibraryW, GetNumberFormatW, GetVolumeInformationW, FileTimeToLocalFileTime, lstrcmpiA, HeapSetInformation, Process32NextW, EnumResourceLanguagesW, FindNextFileW, WinExec, GetQueuedCompletionStatus, GlobalFindAtomA, LoadLibraryExW, CreateMutexA, RaiseException, LoadLibraryExA, WritePrivateProfileSectionA, SystemTimeToFileTime, GetCurrentProcess, LockFile, CloseHandle, AddAtomA, GetTimeFormatW, GetTempFileNameW, LocalReAlloc, GetStringTypeExW, ExitThread, SetStdHandle, GetTimeZoneInformation, OutputDebugStringA, GetFullPathNameA, GetCommandLineW, ResetEvent, GetStringTypeW, GlobalDeleteAtom, GetDateFormatA, lstrcmpiW, TerminateThread, CompareFileTime, GetPrivateProfileStringW, GetFileAttributesA, HeapAlloc, GlobalAlloc, GetDriveTypeA, lstrcatW, TlsSetValue, WritePrivateProfileStringW, CreateEventW, lstrcmpW, SetEvent, OpenProcess, GetSystemDefaultUILanguage, GetSystemWindowsDirectoryW, SetEndOfFile, GlobalGetAtomNameW, GetProcessHeap, GetShortPathNameA, DeviceIoControl, ExpandEnvironmentStringsA, WaitForMultipleObjects, lstrcpynA, LocalFileTimeToFileTime, GetConsoleOutputCP, GetLastError, GlobalAddAtomW, FindFirstFileW, IsValidCodePage, GetProcAddress, CreateTimerQueueTimer, lstrcatA, FindResourceA, WritePrivateProfileStringA, OutputDebugStringW, InitializeCriticalSection, SetConsoleCtrlHandler, GetLogicalDriveStringsA, GetDiskFreeSpaceW, GetTempPathA, GetStringTypeExA, FreeLibrary, FindFirstFileA, GetCurrentThread, GetCurrentDirectoryW, GetACP, GlobalGetAtomNameA, GetFileAttributesExW, GetModuleHandleA, CopyFileW, FormatMessageA, lstrlenA, VirtualAlloc, IsDBCSLeadByte, GetStartupInfoA
> OLEAUT32.dll: -
> WINSPOOL.DRV: GetPrinterDriverDirectoryA, EnumPortsA
> USER32.dll: GetInputState, GetCapture, GetActiveWindow, GetDesktopWindow, GetClassLongA, IsDialogMessageA, SetDlgItemInt, CharNextA, SetWindowPos, SetWindowTextW, GetKeyboardLayout, ReuseDDElParam, SetScrollPos, RemoveMenu, ShowOwnedPopups, GetClipboardFormatNameA, CharNextW, GetDlgCtrlID, DrawIconEx, ShowCursor, MapVirtualKeyA
> GDI32.dll: ExtEscape, SetWinMetaFileBits, MaskBlt, Arc
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetDesktopFolder
> VERSION.dll: VerQueryValueA
> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, wcsncmp, srand, _itow, wcspbrk, wcstol, _itoa, _wtoi64, sprintf, _wcsdup, localtime, _wcslwr, strstr, _CxxThrowException, fclose, wcstoul, _wcsicmp, _vsnwprintf, wcsstr, _beginthreadex, atoi, floor, longjmp, isdigit, toupper, _ecvt, _msize, _splitpath, time, ctime, calloc, _wtoi, _strlwr

( 0 exports ) RDS...: NSRL Reference Data Set

Nur einer hat gemeckert. Andererseits importiert das Ding viel aus der User.dll - vielleicht ein Spionprogramm...

@floste löschen schaff ich schon, nur möchte ich wissen wozu das gut ist.

Der Name scheint recht zufällig zu beginnen. Die Suche nach navps.dat liefert dann z. B.
http://www.supernature-forum.de/sicherheit-am-pc/81395-unbekannte-datei-unbekannter-prozess.html (nur als Beispiel - die dortige Schlussfolgerung teile ich nicht).

Genau, es ist der **:::

😁

Dann gehört Ansi_code wohl zu den 10 Leuten, die pro Jahr durchsucht werden, was hast du denn so verbrochen? :evil:

Gruß

Hallo ANSI_code,

Mich würde es interessieren woher die Datei kommt. Irgendein anderer Prozess muss ja die Dateien "wiederherstellen"? Sehr seltsam.

Es ist möglich, eine dll in jeden belibigen prozess einzuschleusen, der im Benutzerprofil läuft (z.b. auch im "taskmanager" oder im "avast anti virus" gui-prozess) und dann dort weiterzulaufen und das auch, wenn der Hauptprozess beendet wird. Dazu muss allerdings ersteinmal der Hauptprozess gestartet werden.
Afaik muss die dll nicht unbedingt die dateiendung ".dll" haben.

@burning snow:
die Datei habe ich ja noch nicht gelöscht, da ich dachte, sie könne wichtig sein. Jetzt werde ich das Ding killen (das heißt umbenenen und in anderes Verzeichnis schieben). Es reicht, mein Spiel ist wegen der Starup-Wunsch-Meldung abgestürzt. Bundestrojaner wäre aber der einzige Grund, den ich mir vorstellen kann, warum mein toller Kaspersky-wirenscanner nicht meckert.

edit:
diese Seite: http://www.bundestrojaner.net/index.html
ist irronisch gemeint, oder? Weiß jemand was genaus: gibt es diese Trojaner schon? Ich habe eigentlich keinen Grund mich zu fürchten - habe sogar noch niemals CD´s oä. gebrannt, oder runtergeladen.

eidt2: oh, ich sehe gerade, das ist mein 400. Beitrag. Schade, da wollte ich meine AlgebraBibliothek vorstellen... Naja, ich kriegs wahrscheinlich sowieso nicht hin.