afinding.exe

jueki „afinding.exe“

25.04.2008, 00:38 Optionen

Es gibt wirklich nur geringe Infos zu dieser Datei - weder zur Herkunft noch zu seinem konkreten Verhalten.
Eigentlich taucht dieser Dateiname nur in den Hijack-Logfiles von Usern auf - ohne weitere Erläuterungen.

Mir ist allerdings aufgefallen, dass diese Datei oft zusammen mit "wserving.exe" (ebenfalls im Ordner System32 [bei XP], bzw. SysWoW [Vista] auftaucht.

Das war es aber auch schon.

Ich fürchte, du wirst in dieser Frage zumindest vorläufig noch unwissend bleiben müssen.

Gruß
Shrek3

jueki

shrek3 „Es gibt wirklich nur geringe Infos zu dieser Datei - weder zur Herkunft noch zu...“

25.04.2008, 07:46 Optionen

Danke, Shrek3 -
...vorläufig noch unwissend bleiben müssen.
Das hasse ich!
Du hast übrigens Recht - es sind da in diesem Ordner noch zwei weitere kritische Dateien vorhanden:
- perfs.exe
- wserving.exe
Alle drei haben eine identische Größe (ich glaub, es waren 185,2kB)
Und ein Programm hat das Begehr, dich mit der "perfs.exe" ins Internet zu wählen.
Der Eigentümer behauptet, das er weder eine Mail (hat er noch garnicht eingerichtet) empfangen noch einen Download gemacht hat.
Das Einzige, was er im Internet gemacht hat, er hat sein Windows upgedatet.
Und ich habe keinen Grund, ihm zu mißtrauen.
Ja, ganz genau das beunruhigt mich eben.

Jürgen

Prosseco

jueki „Danke, Shrek3 - Das hasse ich! Du hast übrigens Recht - es sind da in diesem...“

25.04.2008, 08:13 Optionen

Da ich wirklich so muede bin, selber zu alles ein Ja zu geben.

Mach ich es einfach:

howard_hopkinso10-06-2007, 09:20 AM
Very Important: Before deciding whether you should clean or reformat your system, go and read this thread HERE (http://www.techspot.com/vb/topic65943.html) and decide what it is you want to do.

If after reading the above, you wish to clean your system, do the following.

You might want to copy and paste these instructions into a notepad file. Then you can have the file open in safe mode, so you can follow the instructions easier.

Boot into safe mode, under your normal user name(NOT THE ADMINISTRATOR ACCOUNT). See how HERE (http://www.bleepingcomputer.com/forums/tutorial61.html).

In Windows Explorer, turn on "Show all files and folders, including hidden and system". See how HERE (http://www.bleepingcomputer.com/forums/tutorial62.html).

Click start/run and type services.msc into the run box and press the enter key.

When the window appears, maximise it. Double click on the following services(if there) and select stop if they are running. Set the startup type to disabled. Click apply/ok for each service you disable.

perfmons Service (perfmons)

Close the services window.

Open your task manager, by holding down the ctrl and alt keys and pressing the delete key.

Click on the processes tab and end process for(if there).

perfs.exe

Close task manager.

Run HJT with no other programmes open(except notepad). Click the scan button. Have HJT fix the following, by placing a tick in the little box next to(if there).

O2 - BHO: CyberFlash - {5FC650AA-7947-405F-986E-FD894CE69723} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe

Click on the fix checked button.

Close HJT.

Locate and delete the following bold files and/or directories(if there).

C:\WINDOWS\system32\perfs.exe

Reboot into normal mode and rehide your protected OS files.

Go and read the Viruses/Spyware/Malware, preliminary removal instructions. (http://www.techspot.com/vb/topic58138.html) Follow all the instructions exactly.

Post fresh HJT, AVG Antispyware and Combofix logs as attachments into this thread, only after doing the above.

Also, let me know the results of the Panda Antirootkit scan.

Regards Howard :)

http://www.techspot.com/vb/all/windows/t-88627-msspaexe-Drivin-me-Mad.html

Greetings
Sascha

jueki

Prosseco „Da ich wirklich so muede bin, selber zu alles ein Ja zu geben. Mach ich es...“

25.04.2008, 08:33 Optionen

Danke, Prosseco -
Da ich nicht ausländisch (englisch) kann, habe ich mir das vom Personaltranslator übersetzen lassen.
Der Text behandelt -so wie ich das Kauderwelsch des Übersetzers verstand- nur Hinweise, wie man eine Formatierung und Neuinstallation umgehen kann.
Kommt für mich nicht infrage. nach einer Infektion, gleich welcher Art, werden meine und die von mir betreuten PCs formatiert.
Und das ist kein Problem - richte ich mich doch selbst mit einer ziemlichen Penetranz nach meinen eigenen Empfehlungen:
http://www.juekirs.de/Dateien/Image-Erstellung.pdf
Mir ging es mit meiner Frage in der Hauptsache darum - was mach diese Schädling, wenn man ihn gewähren läßt und wo könnte man sich den auf den PC gelockt haben.
Das ist wichtig, um Konsequenzen aus einem (möglichen) Fehlverhalten zu ziehen.
Was ich dem Eigentümer dann eben mit in wichtige Falten gelegter Stirn und bedeutungsvollem Unterton in der Stimme erklären möchte.
Aber - es gibt darüber anscheinend bisher keinerlei Hinweise.

Jürgen

Olaf19

jueki „Danke, Prosseco - Da ich nicht ausländisch englisch kann, habe ich mir das vom...“

25.04.2008, 08:43 Optionen

Hi Jürgen,

ich hatte auch einige der englischsprachigen Threads im Internet überflogen und dabei gesehen, dass viele betroffene User bei der Gelegenheit ihre Logfiles gepostet haben. Evtl. findest du dort einen Hinweis auf die Herkunft dieser .exe-Datei? Ich meine, die Logs sind sowie immer gespickt mit englischen Namen, auch wenn der Thread als Ganzes in Deutsch gehalten ist, insofern ergibt das keinen Unterschied.

CU
Olaf

jueki

Olaf19 „Hi Jürgen, ich hatte auch einige der englischsprachigen Threads im Internet...“

25.04.2008, 09:06 Optionen

noch ein Frühaufsteher...
Danke, Olaf.
Ich konnte da auch noch keine relevanten Hinweise finden, aber ich werde weitersuchen. Heut morgen ergab die Google- Suche zum ersten Male auch einen deutschsprachigen Hinweis: -Google- - aber dieser komische Kerl der dort fragte, wußte auch nichts.
Naja, ich werde dran bleiben. Wie immer - und wenn es Monate dauert. Irgendwann krieg ich es raus.

Jürgen

Olaf19

jueki „noch ein Frühaufsteher... Danke, Olaf. Ich konnte da auch noch keine relevanten...“

25.04.2008, 09:16 Optionen

> aber dieser komische Kerl der dort fragte, wußte auch nichts.

Vielleicht ein Zweitaccount von dir...? :-D

*duckundwech*
Olaf

Prosseco

Olaf19 „ aber dieser komische Kerl der dort fragte, wußte auch nichts. Vielleicht ein...“

25.04.2008, 10:44 Optionen

Jueki,

ich hasse Acronis True Image. Sorry, tut mir leid das ich dir kontra gebe wg. den Software, aber nein.
Kommt mir nicht ins Haus.

Schau ich habe immer Norton Ghost genommen bis zu 2003. Ich konnte Ghost Blind benutzen.
Aber als ich dann anfing mit SATA Platten zu klonen. Bummms, AUS, wie ein Flasche leer. (Traps Spruch)-

So dann nahm ich XML Image her, gutes aber umstaendliches Proggy.

Also gut, nehme was Nickles Power User benutzen

Acronis True Image 11 Home. 6 mal versuchte ich eine SCSI zu eine IDE Platte zu klonen.
Beide Platten ohne schaden. Aber jedesmal wenn ich es laufen liess, bumms, aus, Proggy steif gefroren.
XP ist und war ein Clean Install mit alle Updates, alle Treiber drauf.

Dann wegen den vorfall, versucht anders zu Klonen. IDE zu SCSI, SATA zu SCSI und Vice Versa.

Gleicher Mist. Wieso, weshalb, warum, keine ahnung.

Nur mittlerweile nehme ich Symantec Backup Exec System Recovery Server Edition. WOW.
Hat alles gemacht was ich wollte. Fertig, aus, basta. Auch wenn ich mich als Beta Tester beworben habe, bei Acronis.

Nur auch wenn Symantec mich enttaeuscht hat (Antivirus Endpoint), dazu noch voreilig Geld ausgegeben habe. Nur es ist besser in die Situation zu reden, als vor die Situation.

Gruesse
Sascha

jueki

Prosseco „Jueki, ich hasse Acronis True Image. Sorry, tut mir leid das ich dir kontra gebe...“

25.04.2008, 11:17 Optionen

Auch ohne eine Grundsatzdiskussion starten zu wollen - ich benutze Acronis TrueImage seit der Version 6. Und es hat mich und auch noch niemanden in meinem Bekanntenkreis jemals im Stich gelassen.
Ich habe auch alle (denk ich jedenfalls) anderen Imagetools erprobt - DriveImage, Norton Ghost und was es ansonsten noch so gibt - als am einfachsten zu bedienen, als sicherstes, schnellstes und zuverlässigstes habe ich mir Acronis TrueImage herausgesucht.
Ich möchte es einmal vergleichen mit PartitionMagic: lange Zeit als das beste und ausgereifteste Partitionierungstool bekannt, war es doch für den Tod unzähliger Partitionen verantwortlich - ein winziger Bedienfehler machte es möglich: Man brauchte, wärend eine beliebige Aktion lief, nur der Versuchung nachzugeben "Zum Abbruch drücken Sie eine beliebige Taste".
Der Vorgang worde tatsächlich abgebrochen, keine Frage.
Aber der User mußte dann ein Forum suchen, was ihm bei der Wiederherstellung der nun verschwundenen Partition half...
Gerade konnte ich Acronis TrueImage betreffend in einem anderen Forum einen User behilflich sein.
Der hatte nämlich mit Acronis TrueImage alles installiert, was sich installieren lies. Also auch die Secury- Zone und Try&Device. Und ohne wirklich zu wissen, was er damit überhaupt anfangen soll.
Und kam dann natürlich nicht damit zurecht...
Wenn man dieses TrueImage, wie eigentlich jedes andere Tool auch, überlegt installiert und einsetzt, dann hat man auch keine Probleme.
Ich für meinen Teil -und das schrieb ich auch in meinem Aufsatz- erzeuge und rückerstelle Images nur von CD aus, also bei inaktiven Betriebssystem.
Installiert habe ich es ebenfalls - aber nur zu dem Zweck, bestehende Images als Laufwerk einzubinden. Und dort auf Daten zugreifen zu können.
Tja, und was Acronis anbetrifft - da ich schon zwei Mal (Du erinnerst dich vielleicht an das Blinde Huhn, welches ein Korn fand?) recht interessante Hinweise geben konnte, (V8 + v11) die dann mit eingebunden wurden (das kommende Build 8.082 wird möglicherweise eine Anregung von mir enthalten) habe ich da auch einigen Zugriff auf Neues von Acronis...
Ich möchte Acronis TrueImage nicht mehr missen.

-aber das hat alles nichts mit meiner Startfrage zu tun - ich bitte die Abweichung zu entschuldigen.-

Jürgen

Bergbauer_bb

Olaf19 „Hi Jürgen, ich hatte auch einige der englischsprachigen Threads im Internet...“

27.04.2008, 01:43 Optionen

Die Datei afinding.exe wird mit XP installiert. Ich hatte eine Neuinstallation gemacht, der PC war vom Internet getrennt und die Datei ist nur in der Neuinstallation aufgetaucht (XP 04/2008 mit SP2). In einer älteren Installation ist die Datei nicht vorhanden, vielleicht hilft das.

jueki

Bergbauer_bb „Die Datei afinding.exe wird mit XP installiert. Ich hatte eine Neuinstallation...“

27.04.2008, 08:45 Optionen

Danke für den Hinweis -
Der Verdacht liegt bei Dir sicher nahe - aber das kann schlecht möglich sein.
Ich habe in der letzten Zeit mehrere PCs neu installiert - XP (immer mit SP2 und bis dato aktuellen Patches) Vista SP1 32 Ultimate und VistaSP1 64 Ultimate. Nur bei dem Letzteren fiel mir (besser dem Avira Antivir Workstation) dieser Virus auf. Und auch erst ein paar Tage nach der Neuinstallation.
Nein, das kann sehr schlecht möglich sein, mir ist kein Mechanismus bekannt, der so etwas verursachen könnte.
Jürgen

jueki Nachtrag zu: „afinding.exe“

25.04.2008, 16:53 Optionen

Ein netter User schickte mir diesen Link:

http://www.prevx.com/filenames/X410811466338468273-0/AFINDING.EXE.html

Scheint eine ziemlich neue Angelegenheit zu sein!

Jürgen

Prosseco

jueki „Ein netter User schickte mir diesen Link:...“

25.04.2008, 20:15 Optionen

Nettes Tool.

Aber es scheint ja alles nur auf den Boesen Wolf von Smitfraud zu sein.

Smitfraud Fix.

Bei den bloeden Smitfraud der schon mehr als 5 Jahren durch die Welt Duesst,

hat sogar der Symantec Corporate die Finger gelassen. Fage mich immer noch wieso. LOL\

Gruss
Sascha

Prosseco Nachtrag zu: „Nettes Tool. Aber es scheint ja alles nur auf den Boesen Wolf von Smitfraud zu...“

26.04.2008, 22:17 Optionen

Nachtrag Jueki,

habe gestern mein Mail von Acronis bekommen. Bin jetzt Beta Tester geworden. Buaahhhhh, Buuuaaah.

Werde mir morgen an mein Heiligen Sonntag, es mit Liebfraumilch reinziehen.

Gruesse
Sascha

Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge