|
Log-Analyse und Auswertung: Verdächtige EXE-Dateien in C:\Windows\TempWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
03.02.2005, 11:34 | #1 |
| Verdächtige EXE-Dateien in C:\Windows\Temp Hallo, Habe neuerdings ständig diverse EXE-Dateien im Temp-Ordner. Sie ändern bei jedem Neustart den Namen, und haben als Icon alle einen kleinen Hund. Einer dieser Anwendungen wird anscheinend wahllos bei jedem Systemstart ausgeführt. Was kann das sein? Diverse Virenscanner und Spybot finden weder Viren noch Trojaner.. Hier das Logfile: Logfile of HijackThis v1.99.0 Scan saved at 11:32:14, on 03.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\OfficeScan NT\ntrtscan.exe C:\Programme\OfficeScan NT\OfcPfwSvc.exe C:\Programme\OfficeScan NT\tmlisten.exe C:\WINDOWS\Explorer.EXE C:\Programme\OfficeScan NT\pccntmon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avant Browser\avant.exe C:\Programme\OfficeScan NT\pccntupd.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE C:\Programme\Microsoft Office\Office\POWERPNT.EXE C:\WINDOWS\Temp\BQ4ADB.EXE C:\Programme\PowerArchiver\POWERARC.EXE C:\DOKUME~1\mbe\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://heureka/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.condat.de;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - RoboForm-&Leiste - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.cs-4players.de.tk O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097851439641 O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {FFFFFFFF-CAFE-BABE-BABE-10AA0055595A} - http://www.truesuite.com/truewallet/TrueWalletInstall.exe O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe |
03.02.2005, 13:39 | #2 |
| Verdächtige EXE-Dateien in C:\Windows\Temp Hallo,
__________________Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor ht tp://www.trojaner-info.de/hijacker/escan.shtml Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) |
03.02.2005, 15:47 | #3 | |
| Verdächtige EXE-Dateien in C:\Windows\Temp Hallo,
__________________hier kommt das Ergebnis von escan. Wie man sieht, hatte mein Antivirus-Programm die infizierten Dateien bereits in sein Quarantäne-Verzeichnis verschoben.. Ob einer dieser Viren schon aktiv ist, kann ich aus dem Logfile allerdings nicht sehen, oder? Gruss Peterchen Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken. Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Zitat:
|
03.02.2005, 16:50 | #4 |
| Verdächtige EXE-Dateien in C:\Windows\Temp Hast du den Crack ausgeführt: Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken. http://www.sophos.de/virusinfo/analy...jwinfluxb.html Wenn ja heisst das Format c:! Ansonsten lösch den Ordner von deinem AV! Gruss |
03.02.2005, 17:05 | #5 | |
| Verdächtige EXE-Dateien in C:\Windows\Temp hallo, also der bei sophos beschriebene winflux-trojaner scheint es ja in diesem fall nicht zu sein. ich hab dort mal unter briss gesucht - die dort aufgeführten varianten a und b scheinen nicht so dramatisch zu sein. gruss peterchen Zitat:
|
03.02.2005, 17:07 | #6 |
| Verdächtige EXE-Dateien in C:\Windows\Temp Hast du den Crack ausgeführt,ja oder nein? Btw woher weisst du welchen du genau hast,der Trojaner heisst Spy...,dies bedeutet in der Regel Backdoorfunktion! |
17.07.2005, 15:26 | #7 |
| Verdächtige EXE-Dateien in C:\Windows\Temp Hallo Zusammen, die Datei im Temp-Folder erscheint zwar zunächst verdächtig, ist es aber nicht. Warum wird das File von keinem Virenscanner gefunden und auch nicht als Spyware erkannt? Ganz einfach, es ist werder ein Trojaner noch Spyware o.a., sondern ein Prozess des TrendMicro OfficeScan Virenscaners. Jeder der diesen netten "Hund" (Watchdog) auf seinem Rechner hat setzt sicherlich auch OfficeScan ein. Einfach mal Officescan beenden, dann verschwindet auch der Child-Prozess. Officescan wieder starten, und das ist er wieder, allerdings eben mir einem andern Filename. Grüße P.D. |
Themen zu Verdächtige EXE-Dateien in C:\Windows\Temp |
adobe, bho, browser, c:\windows\temp, diverse, download, exe-dateien, explorer, firewall, google, hijack, hijackthis, internet, internet explorer, logfile, microsoft, monitor, neustart, officescan, programme, scan, software, suche, temp, trend micro, windows, windows messenger, windows xp, windows\temp, yahoo, ändern |