Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdächtige EXE-Dateien in C:\Windows\Temp

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 03.02.2005, 11:34   #1
peterchenhansen
 
Verdächtige EXE-Dateien in C:\Windows\Temp - Standard

Verdächtige EXE-Dateien in C:\Windows\Temp



Hallo,

Habe neuerdings ständig diverse EXE-Dateien im Temp-Ordner. Sie ändern bei jedem Neustart den Namen, und haben als Icon alle einen kleinen Hund. Einer dieser Anwendungen wird anscheinend wahllos bei jedem Systemstart ausgeführt. Was kann das sein? Diverse Virenscanner und Spybot finden weder Viren noch Trojaner..

Hier das Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 11:32:14, on 03.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\Programme\OfficeScan NT\OfcPfwSvc.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\OfficeScan NT\pccntupd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Microsoft Office\Office\POWERPNT.EXE
C:\WINDOWS\Temp\BQ4ADB.EXE
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\mbe\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://heureka/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.condat.de;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - RoboForm-&Leiste - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cs-4players.de.tk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097851439641
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {FFFFFFFF-CAFE-BABE-BABE-10AA0055595A} - http://www.truesuite.com/truewallet/TrueWalletInstall.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe

Alt 03.02.2005, 13:39   #2
HerrKautz
 
Verdächtige EXE-Dateien in C:\Windows\Temp - Standard

Verdächtige EXE-Dateien in C:\Windows\Temp



Hallo,

Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor ht tp://www.trojaner-info.de/hijacker/escan.shtml

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
__________________


Alt 03.02.2005, 15:47   #3
peterchenhansen
 
Verdächtige EXE-Dateien in C:\Windows\Temp - Standard

Verdächtige EXE-Dateien in C:\Windows\Temp



Hallo,

hier kommt das Ergebnis von escan. Wie man sieht, hatte mein Antivirus-Programm die infizierten Dateien bereits in sein Quarantäne-Verzeichnis verschoben.. Ob einer dieser Viren schon aktiv ist, kann ich aus dem Logfile allerdings nicht sehen, oder?

Gruss
Peterchen

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm
Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR
Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.


Zitat:
Zitat von HerrKautz
Hallo,

Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor ht tp://www.trojaner-info.de/hijacker/escan.shtml

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
__________________

Alt 03.02.2005, 16:50   #4
HerrKautz
 
Verdächtige EXE-Dateien in C:\Windows\Temp - Standard

Verdächtige EXE-Dateien in C:\Windows\Temp



Hast du den Crack ausgeführt:

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

http://www.sophos.de/virusinfo/analy...jwinfluxb.html

Wenn ja heisst das Format c:!

Ansonsten lösch den Ordner von deinem AV!


Gruss

Alt 03.02.2005, 17:05   #5
peterchenhansen
 
Verdächtige EXE-Dateien in C:\Windows\Temp - Standard

Verdächtige EXE-Dateien in C:\Windows\Temp



hallo,

also der bei sophos beschriebene winflux-trojaner scheint es ja in diesem fall nicht zu sein. ich hab dort mal unter briss gesucht - die dort aufgeführten varianten a und b scheinen nicht so dramatisch zu sein.

gruss
peterchen

Zitat:
Zitat von HerrKautz
Hast du den Crack ausgeführt:

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

http://www.sophos.de/virusinfo/analy...jwinfluxb.html

Wenn ja heisst das Format c:!

Ansonsten lösch den Ordner von deinem AV!


Gruss


Alt 03.02.2005, 17:07   #6
HerrKautz
 
Verdächtige EXE-Dateien in C:\Windows\Temp - Standard

Verdächtige EXE-Dateien in C:\Windows\Temp



Hast du den Crack ausgeführt,ja oder nein?

Btw woher weisst du welchen du genau hast,der Trojaner heisst Spy...,dies bedeutet in der Regel Backdoorfunktion!

Alt 17.07.2005, 15:26   #7
diebad
 
Verdächtige EXE-Dateien in C:\Windows\Temp - Standard

Verdächtige EXE-Dateien in C:\Windows\Temp



Hallo Zusammen,

die Datei im Temp-Folder erscheint zwar zunächst verdächtig, ist es aber nicht. Warum wird das File von keinem Virenscanner gefunden und auch nicht als Spyware erkannt?

Ganz einfach, es ist werder ein Trojaner noch Spyware o.a., sondern ein Prozess des TrendMicro OfficeScan Virenscaners. Jeder der diesen netten "Hund" (Watchdog) auf seinem Rechner hat setzt sicherlich auch OfficeScan ein. Einfach mal Officescan beenden, dann verschwindet auch der Child-Prozess. Officescan wieder starten, und das ist er wieder, allerdings eben mir einem andern Filename.

Grüße

P.D.

Antwort

Themen zu Verdächtige EXE-Dateien in C:\Windows\Temp
adobe, bho, browser, c:\windows\temp, diverse, download, exe-dateien, explorer, firewall, google, hijack, hijackthis, internet, internet explorer, logfile, microsoft, monitor, neustart, officescan, programme, scan, software, suche, temp, trend micro, windows, windows messenger, windows xp, windows\temp, yahoo, ändern



Ähnliche Themen: Verdächtige EXE-Dateien in C:\Windows\Temp


  1. VISTA IE TEMP FILES verdächtige hidden folders FIREFOX URLS blockiert RU connections
    Plagegeister aller Art und deren Bekämpfung - 28.05.2015 (1)
  2. Malwarebytes hat verdächtige Dateien gefunden - bin nicht sicher wie ich damit umgehen soll.
    Log-Analyse und Auswertung - 29.01.2014 (7)
  3. Malwarebytes findet verdächtige Dateien - was soll ich damit tun?
    Mülltonne - 24.01.2014 (1)
  4. Windows 7: u.A. Lange Bootzeit / Verdächtige Dateien im Ordner Windows/SysWOW64
    Log-Analyse und Auswertung - 23.09.2013 (21)
  5. malwarebytes findet viele verdächtige Dateien u.A. auch Trojaner
    Log-Analyse und Auswertung - 15.08.2013 (9)
  6. Verdächtige Hooks in diversen Dateien laut GMER
    Log-Analyse und Auswertung - 13.06.2013 (11)
  7. TrojWare.Win32.Buzus.carj in C:\Windows\Temp\HInfo.exe bzw. C:\Windows\Temp\restart.exe
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (2)
  8. 22 Verdächtige Dateien
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (1)
  9. Verdächtige Dateien
    Plagegeister aller Art und deren Bekämpfung - 27.05.2012 (0)
  10. seltsame .tmp Dateien im Windows/Temp/ Verzeichnis zum Teil mit IP Listen
    Log-Analyse und Auswertung - 03.03.2009 (0)
  11. Verdächtige Dateien und Win-Taste deaktiviert?
    Log-Analyse und Auswertung - 07.12.2008 (0)
  12. Hab verdächtige Dateien - Was tun??
    Plagegeister aller Art und deren Bekämpfung - 30.07.2008 (1)
  13. E-Scan legt verdächtige Dateien an
    Diskussionsforum - 03.10.2007 (2)
  14. mx_**.temp dateien in windows/temp ordner?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (1)
  15. verdächtige dateien löschen? mota113.exe
    Plagegeister aller Art und deren Bekämpfung - 14.03.2007 (13)
  16. Verdächtige Dateien überprüfen und einsenden!
    Archiv - 25.06.2005 (0)
  17. Mehrere verdächtige Dateien, z.B. IWurm.Numgame
    Plagegeister aller Art und deren Bekämpfung - 28.12.2003 (2)

Zum Thema Verdächtige EXE-Dateien in C:\Windows\Temp - Hallo, Habe neuerdings ständig diverse EXE-Dateien im Temp-Ordner. Sie ändern bei jedem Neustart den Namen, und haben als Icon alle einen kleinen Hund. Einer dieser Anwendungen wird anscheinend wahllos bei - Verdächtige EXE-Dateien in C:\Windows\Temp...
Archiv
Du betrachtest: Verdächtige EXE-Dateien in C:\Windows\Temp auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.