Kuriose Meldung beim Startup - Virus oder Vertrauenswürdig ?

[Hardwarekäufer]

Ich bekomme seit etwa einer Woche nach dem Start von Windows eine seltsame Meldung:

Es öffnet sich dieses Sicherheitsfenster ( was immer kommt wenn etwas mit Administrator-Rechten ausgeführt wird ) mit folgendem Aufruf:

C:\Windows\cmd.exe /C "Z\Temp\User\lupiinba.exe"

Die Exe im Temp-ordner existiert nicht. Habe sie dort auch nicht auffinden können.

Wenn ich mir die Details des Aufrufs ansehe steht dort etwas von Hardwareverifizierung. Das ganze hat ein Zertifikat was angeblich von Microsoft CA herausgegeben wurde.

Wäre es eine exe-Datei die bekannt ist würde man über Google etwas finden, aber eine Suche nach "lupiinba" oder "lupiinba.exe" ergibt keinen einzigen Treffer.

Wo kann ich diesen Aufruf zum Autostart entfernen ? Die Registry findet keinen Eintrag mit dem Inhalt "lupiinba" und sämtliche "Run" und "RunOnce" Ordner habe ich bereits überprüft und entsprechend gereinigt.

Die Autostartliste über msconfig gibt ebenfalls keinen Treffer.

Im Autostart des Startmenüs war eine kryptische exe-Datei hinterlegt die ich aber ebenfalls entfernt habe. Mein Virenscanner findet auf keinem meiner Laufwerke, speziell auch im Windows-Ordner und auf Laufwerk Z: keinerlei Verdacht auf Viren.

Meine vermutete Ursache: Kürzlich hatte ich beim Surfen einen Hänger bei Firefox - anschließend meldete der Virenscanner es sei ein Virus gefunden und entfernt worden, das System arbeite wieder einwandfrei.
Das passt zeitlich zu der Meldung ( siehe oben ).

Wo kann ich diese Meldung nun entfernen ?

 

[Hardwarekäufer]

Noch ernsthafte Meinungen ? Bin gerade unterwegs - weder Zeit noch Zubehör für ein Zeitnahes Backup, noch meine UNterlagen mit der Windows-Seriennummer zum neu-installieren.

Malwarebytes hat 2 Einträge gefunden und gelöscht - darunter ein Eintrag aus der userinit in der Registry - der Zielordner innerhalb der Temp-Ordner war aber schon nicht mehr vorhanden.

 

[zeroFX]

Wenn die Meldung weiterhin kommt, muss irgendwas anderes im Autostart sein, dass dann wohl die genannte Datei auszuführen versucht und sie evtl. sogar erst selbst entpackt. Das ist nicht wirklich ungewöhlich für "solche Sachen" und in gepacktem Zustand, möglicherweise mit Passwort auch für Scanner kaum auszumachen.

 

[Terrier]

etwas was keinen einzigen Treffer bei googel hat, gibt es auch nicht.

habe mal etwas rumgespielt.
bei lupin.exe gibt es schon mal Treffer.

 

[Hardwarekäufer]

Naja es existieren wohl mehr als 1. Milliarde verschiedene Exe-Dateien in der Datenbank von Google. Ich denke nicht, dass das Weglassen von Buchstaben hier unbedingt weiterhilft =)
pinba.exe zB habe ich auch auf meinem rechner - das programm kenne ich aber und es hat nen ganz anderen zweck ^^

Scanner und Malwarebytes haben inzwischen das ganze System durchforstet aber noch nichts gefunden.

Weiss denn einer welche Autostart-Ordner so existieren oder wo Befehle abgelegt sind die direkt nach dem Logon ausgeführt werden sollen ?

 

[A R 9 9]

Registry nach dieser merkwürdigen .exe durchstöbern ...

 

[Arnimon]

Versuchs mal mit nem "Hijackthis" Durchlauf.
HijackThis - Download - CHIP Online

 

[Hardwarekäufer]

Folgendes kann ich jetzt sagen:

Im Benutzer-Ordner war ein kryptischer Ordner mit einer tprjumpk.exe drin.
Diese exe hat einen zweiten Firefox-Prozess gestartet der immer bei 2-3MB blieb.
Habe in der Registry keinen Eintrag zu der Exe gefunden und sämtliche Einträge von Firefox entfernt ( muss halt so Sachen wie Standardbrowser etc neu einstellen ).
Bis jetzt ist kein zweiter Prozess aufgetaucht.

Eine Suche nach der Datei auf den Laufwerken und in der Registry gab keine Treffer.
Alle Dateien mit gleichem Erstelldatum habe ich kontrolliert.

Bis jetzt scheint alles sauber zu sein.

Was mich stutzig macht: Das Ding wurde weder von Malwarebytes noch von F-Secure gefunden. F-Secure hat zwar das dazugehörige Rootkit eliminiert ( im Protokoll steht eben diese lupiinba.exe ) aber nicht die tprjumpk.exe.
Dank Firewall weiss ich, dass diese Exe keine Verbindung nach aussen erstellt hat.

Rundumschlag mit Kennwortänderung habe ich schon von einem anderen PC aus vorgenommen.

 

[A R 9 9]

Noch ein Schuß ins Blaue:
ich habe heute den neuen FF 7.06 installiert.
Beim ersten Aufruf kam ein Fenster "ihre Meinung ist uns wichtig bla bla bla"

Könnte es sein, daß deine Zusatzprogs dieses Popup als "Angriff" deuten
(natürlich nur, wenn du ebenfalls den neuen FF installiert hast)

 

[Chris_2k]

Es öffnet sich dieses Sicherheitsfenster ( was immer kommt wenn etwas mit Administrator-Rechten ausgeführt wird ) mit folgendem Aufruf:

C:\Windows\cmd.exe /C "Z\Temp\User\lupiinba.exe"

Hört sich sehr stark nach Malware-Befall an, den Dateinamen wirst du bei Google vermutlich nicht finden, da zufallsbedingte Bennenung der Datei, auch die Dateiinfo hat nicht viel zu sagen. Starte mal im Abgesicherten Modus und schau z.B. per Autoruns (Sysinternals), ob Dienste registriert sind, die auf diese Datei verweisen, zusätzlich, wie bereits erwähnt, mal im Abgesicherten Modus HijackThis durchführen (Datei umbenennen) und dann die Logs durchforsten.

Würde auf jeden Fall mal mit einem externen Medium (Boot-CD) scannen und anschließend manuell nochmal (wieder abgesicherter Modus) in der Registry unter winlogon und den Run-Zweigen schauen, ob da was läuft - und wenn es nur Reste sind. In dem Zug auch mal gucken, ob die userinit-Einträge noch korrekt sind (nach dem , darf nichts mehr stehen).

etwas was keinen einzigen Treffer bei googel hat, gibt es auch nicht.

Was eine unnötige Aussage. Wenn ich meinen Namen in Google eingebe, finde ich auch nichts - deshalb gibt es mich also nicht?

 

[Terrier]

http://www.google.de/search?sourceid=navclient&hl=de&ie=UTF-8&rlz=1T4GGHP_deDE422DE422&q=Chris_2k