3 MB große Datei test.txt-Datei auf C:
 

Hi Leute!

Hab gerade eine böse Entdeckung gemacht. Auf meiner Partition auf der Windows läuft, liegt eine 3 MB große Textdatei mit dem vielsagenden Namen "Test", die ich nicht zuordnen kann.

Ich kopier hier mal die ersten Zeilen davon (die ist unendlich lang - is ja klar bei so ner Größe) hier rein:

=== Verbose logging started: 08.07.2005 15:53:44 Build type: SHIP UNICODE 3.00.3790.2180 Calling process: C:\WINDOWS\system32\MSIEXEC.EXE ===
MSI (c) (C0:E8) [15:53:44:078]: Resetting cached policy values
MSI (c) (C0:E8) [15:53:44:078]: Machine policy value 'Debug' is 0
MSI (c) (C0:E8) [15:53:44:078]: ******* RunEngine:
******* Product: E:\Adobe Acrobat 6.0\AcroPro.msi
******* Action:
******* CommandLine: **********
MSI (c) (C0:E8) [15:53:44:078]: Client-side and UI is none or basic: Running entire install on the server.
MSI (c) (C0:E8) [15:53:44:078]: Grabbed execution mutex.
MSI (c) (C0:E8) [15:53:44:140]: Cloaking enabled.
MSI (c) (C0:E8) [15:53:44:140]: Attempting to enable all disabled priveleges before calling Install on Server
MSI (c) (C0:E8) [15:53:44:140]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (80:84) [15:53:44:156]: Grabbed execution mutex.
MSI (s) (80:E0) [15:53:44:156]: Resetting cached policy values
MSI (s) (80:E0) [15:53:44:156]: Machine policy value 'Debug' is 0
MSI (s) (80:E0) [15:53:44:156]: ******* RunEngine:

So geht das dann weiter bis es damit endet:

I (s) (80:E0) [15:55:12:781]: Note: 1: 1707
MSI (s) (80:E0) [15:55:12:781]: Product: Adobe Acrobat 6.0 Professional -- Installation operation completed successfully.

MSI (s) (80:E0) [15:55:12:843]: Cleaning up uninstalled install packages, if any exist
MSI (s) (80:E0) [15:55:12:843]: MainEngineThread is returning 0
MSI (s) (80:84) [15:55:12:859]: Destroying RemoteAPI object.
MSI (s) (80:38) [15:55:12:859]: Custom Action Manager thread ending.
=== Logging stopped: 08.07.2005 15:55:12 ===
MSI (c) (C0:E8) [15:55:12:875]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1
MSI (c) (C0:E8) [15:55:12:875]: MainEngineThread is returning 0
=== Verbose logging stopped: 08.07.2005 15:55:12 ===

Erstellt wurde sie am genannten 8.7.2005, alle Scans etc. haben bisher nichts ergeben.

Nun also die große Frage: gut oder böse?

Vielen Dank für eure Hilfe!

Textdateien sind nicht ausführbar, also erstmal nicht böse.

Mir scheint, das ist ein Installationsrest von Adobe Acrobat.

Gruß :daumenhoc
Yopie

Ah ok. Danke!

Hab mich halt nur über den Namen, die Größe und den Speicherort (außerhalb aller Ordner auf C) gewundert.
Aber dann passt das ja. :rolleyes:

Naja, obs wirklich passt, das musst du selbst entscheiden. Wenn du letztes Jahr Anfang Juli Acrobat installiert hast, dann solltest du aber wirklich beruhigt sein. ;)

Gruß :daumenhoc
Yopie

Hi,
bei wird diese log-Datei im Abstand von mehreren Tagen immer wieder unter C: neu angelegt. Größe ist immer 198 kB
Mit Adobe hat es offensichtlich nichts zu tun.
Kann mir jemand einen Tip geben, was ich davon halten soll?

Danke!

Max

Dann lass doch mal die Datei auf Virustotal auswerten, und poste das Ergebnis. (alles abkopieren.)

Sunny

Hallo Sunny,

erstmal herzlichen Dank für die schnelle Antwort.

Virustotal hat in dem File keinen Virus gefunden (Posten der negativen Ergebnisse macht wohl keinen Sinn?). Einer Textdatei hatte ich eigentlich auch nichts "Böses" unterstellt.
Mich nervt nur, dass dieses log immer wieder erstellt wird und ich keine Ahnung habe, welches Programm das macht. Von einem Trojaner etc. würde ich eigentlich auch mehr Diskretion erwarten ...

Gruß
Max

Poste die Auswertung von Virustotal.
(alles abkopieren einschliesslich der Größen- und Hashangabe!)

Und natürlich auch den Namen der .txt Datei. ;)

Das ist alles, was Virustotal berichtet hat:
****************************************

Complete scanning result of "msxml4-KB927978-enu.log", received in VirusTotal at 01.21.2007, 12:23:24 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.21.2007 no virus found
Authentium 4.93.8 01.20.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.21.2007 no virus found
BitDefender 7.2 01.21.2007 no virus found
CAT-QuickHeal 9.00 01.20.2007 no virus found
ClamAV devel-20060426 01.20.2007 no virus found
DrWeb 4.33 01.21.2007 no virus found
eSafe 7.0.14.0 01.21.2007 no virus found
eTrust-InoculateIT 23.73.118 01.20.2007 no virus found
eTrust-Vet 30.3.3336 01.19.2007 no virus found
Ewido 4.0 01.20.2007 no virus found
Fortinet 2.82.0.0 01.21.2007 no virus found
F-Prot 3.16f 01.20.2007 no virus found
F-Prot4 4.2.1.29 01.21.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.21.2007 no virus found
McAfee 4943 01.19.2007 no virus found
Microsoft 1.1904 01.21.2007 no virus found
NOD32v2 1994 01.21.2007 no virus found
Norman 5.80.02 01.20.2007 no virus found
Panda 9.0.0.4 01.20.2007 no virus found
Prevx1 V2 01.21.2007 no virus found
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.152 01.21.2007 no virus found
UNA 1.83 01.19.2007 no virus found
VBA32 3.11.2 01.20.2007 no virus found
VirusBuster 4.3.19:9 01.20.2007 no virus found

Aditional Information
File size: 201744 bytes
MD5: 3485b26bc08ae8b3b8aa67fdad9851d3
SHA1: 6031f28365afa0dfc0c33fb38b22cd304fadce39
packers: Unicode
packers: Unicode

*****************************

Gruß Max

Meiner Ansicht nach ist die Datei harmlos, und gehört sogar zu Windows. ;)

Mehr dazu in diesem Beitrag: msxml4-KB927978-enu.log

Damit sollte das Problem gelöst sein. :)

Sunny

Hi Sunny,
das scheint des Rätsels Lösung zu sein.
Offensichtlich harmlos, aber nervig (eben Windows ...)

Nochmals Danke und noch ein schönes Restwochenende

Gruß

Max

Danke, dir natürlich auch.. ;)