|
Nach Neustart in Windows/Temp unbekannte *.exe + Prozess Hallo Ich habe ein sehr seltsames Problem. Mein Laptop verursacht in sporadischen Intervallen eine 100% Prozessorauslastung welches mich veranlasste nach dem Fehler zu suchen. Bei der Suche bin ich auf folgendes Problem gestossen. Im Windows Temp Ordner wird nach jedem Neustart eine zufällige EXE erzeugt die auch als Prozess läuft. Die Länge der Zeichen der Datei scheint immer gleich zu sein im Moment heißt sie SE75AA.EXE (also immer 6 Zeichen). Ich kann den Prozess beenden und die Datei löschen. Nach dem nächsten Neustart ist sie aber wieder unter anderem Namen vorhanden. Ekennbar ist dies, weil sie immer das gleich ICON hat nämlich eine kleinen braunen laufenden Hund -> Habe bereits mit Virenprogrammen gesucht, sowie natürlich mit HijackThis allerdings ohne Erfolg denn bei HijackThis steht auch nur drin das ein Service läuft also als Prozess. Wäre für jeden Tipp dankbar um überhaupt festellen zu können was hier ambach ist. Danke für jede Hilfe |
Between: Habe festgestellt das die Datei auch ohne Neustart im laufenden Betrieb neu erstellt wird. Lösche ich den Prozess ist die Datei auch aus dem Temp Verzeichnis gelöscht |
Erstell ein HJT-Logfile: http://www.trojaner-board.de/showthread.php?t=17493 Halte Dich an die Hinweise in meiner Signatur. |
Na denn mal los Logfile of HijackThis v1.99.1 Scan saved at 14:53:02, on 25.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\OfficeScan NT\ntrtscan.exe C:\WINDOWS\System32\svchost.exe C:\OfficeScan NT\tmlisten.exe C:\OfficeScan NT\OfcPfwSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\OfficeScan NT\pccntmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\RMClock\RMClock.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\OfficeScan NT\pccntupd.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\PROGRA~1\CommView\CV.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\phase5\htmledit.exe C:\WINDOWS\TEMP\NB7A82.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe C:\DOKUME~1\xxx\LOKALE~1\Temp\~e5d141.tmp C:\DOKUME~1\xxx\LOKALE~1\Temp\~e5d141.tmp F:\downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx:8080 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClock.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: h**p://*.intranet O15 - Trusted Zone: h**p://*.intranet (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx O17 - HKLM\Software\..\Telephony: DomainName = xxx O17 - HKLM\System\CCS\Services\Tcpip\..\{8E075A86-6552-4F57-A38F-42A0DAD8D877}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe |
Das sieht mir sehr nach einem Firmen-PC aus. |
Fast, es ist ein Laptop und zwar meines welches in einem Firmennetzwerk läuft. Ich wüßte nu aber nich ob das was an der Sache ändert? |
Im Log sehe ich erst mal nichts. Will aber nichts heissen. Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es und berichte, ob die Probleme noch bestehen. |
Beides ohne Befund somit auch kein Logfile Problem besteht weiterhin |
Dann mache hier weiter: http://www.trojaner-board.de/showthread.php?t=24192 |
einfach löschen ist immer Mist, wenn du das nächste mal sowas wie das findest "C:\WINDOWS\TEMP\NB7A82.EXE" dann schieb es mal bei www.virustotal.com hoch. |
GELÖST: Nach Neustart in Windows/Temp unbekannte *.exe + Prozess @felix1 Nachdem ich nun alles durchhab was du mir geraten hast und ich ohne ergebnis da stand hab ich heut nochmal nen anderen Weg probiert Ich habe die Datei einfach mal in der Console editiert und bin über eine Zeile gestolpert -> RegWatchDog ... tmlisten.exe Tja und über letzteres bin ich auf einen Beitrag hier im Forum vom 07.06.2005 aufmerksam geworden http://www.trojaner-board.de/showthread.php?t=18703 Dieser beschreibt genau mein Problem und konnte entwarnt werden. Es ist eine Datei die dynamisch von Trendmicro Office Scan erstellt wird. Hätte ich also mit den Richtigen Wörtern (die ich nicht wusste = tmlisten.exe) hier im Forum gesucht hätte ich mir 5h Arbeit erspart :crazy: Bleibt nur noch die Frage warum mein Laptop sporadisch auf Volllast läuft? Aber da bin ich hier an der falschen Stelle :o Danke für eure Hilfe !!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board