![]() |
|
Plagegeister aller Art und deren Bekämpfung: Merkwürdige Datei in C:\WINNT\TEMPWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Merkwürdige Datei in C:\WINNT\TEMP Hallo zusammen, gestern habe ich in o.g. Verzeichnis eine EXE Datei gefunden, für die ich leider keine Erklärung habe. Folgendes Szenario: Die Datei ist 168 KB groß, hat als Icon einen kleinen braunen Hund und lässt sich schlichtweg nicht löschen. Im Tastmanager ist die Datei als aktiver Task geführt, der sich jedoch nicht beenden lässt. Nach einem Neustart des Systems präsentiert sich die Datei wie oben beschrieben, jedoch mit einem anderen Namen. Gestern hieß die Datei LW831A.EXE, heute z.B. FNFAE1.EXE. Trendmicro und Symantec reagieren nicht auf das File, ebensowenig Spybot und Ad-Aware. Das alles passiert auf einem Windows 2000 System. Hat von Euch jemand eine Ahnung, um was es sich dabei handeln könnte??? Vielen Dank für Eure Antworten. Gruß, Sledge |
![]() | #2 |
![]() ![]() ![]() ![]() | ![]() Merkwürdige Datei in C:\WINNT\TEMP Posste zunächst einen Hijackthis-Log .
__________________
__________________ |
![]() | #3 |
| ![]() Merkwürdige Datei in C:\WINNT\TEMP Hallo,
__________________hier also der gewünschte Log: Logfile of HijackThis v1.99.1 Scan saved at 13:44:09, on 07.06.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\CTSvcCDA.exe C:\WINNT\System32\svchost.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\TEMP\FNFAE1.EXE C:\WINNT\Explorer.EXE C:\Programme\Trend Micro\OfficeScan Client\PCCNTMON.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\workx\Active Web Reader\Active Web Reader.exe C:\Programme\Hardcopy\hardcopy.exe C:\WINNT\TransparentW.exe C:\Programme\********************************** C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe c:\programme\internet explorer\iexplore.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\k2201\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=4788 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://laserplus.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AutoDiscovery Class - {CAB710D6-532E-4B68-97AE-398477FA5524} - D:\workx\Active Web Reader\IERSSFeedDiscovery.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Active Web Reader] D:\workx\Active Web Reader\Active Web Reader.exe -background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Startup: Verknüpfung mit TransparentW.exe.lnk = C:\WINNT\TransparentW.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.trustcenter.de/activex/xenroll.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***************** O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***************** O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***************** O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe In diesem Beispiel heißt die Datei um die es sich dreht: FNFAE1.EXE Gruß, Sledge _____________ Anm. Aktive Links editiert! Mit Hilfe des Editieren Buttons kannst du auch noch nachträglich dein Beiträge bearbeiten. LG Cidre S-Mod TB Geändert von Cidre (08.06.2005 um 20:27 Uhr) |
![]() | #4 |
| ![]() Merkwürdige Datei in C:\WINNT\TEMP Ups, sorry, ich dachte, ich hätte den Haken bezüglich der Links gesetzt ![]() Ich hoffe, ihr vergebt einem Newbie ![]() Gruß, Sledge |
![]() | #5 |
Administrator, a.D. ![]() ![]() ![]() ![]() | ![]() Merkwürdige Datei in C:\WINNT\TEMP Hallo, zumindest war oder ist noch immer ein Browser Hijacker auf deinem System aktiv. Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information. Lösche danach mit den beschriebenen Möglichkeiten die verbliebene Malware und auch die FNFAE1.EXE. Warum wurde das SP4 nicht installiert? |
![]() | #6 |
| ![]() Merkwürdige Datei in C:\WINNT\TEMP moin hab mich grad frisch registriert denn ich habe dieses phenomän bei nem user im verlag auch... weis jemand um welchen worm troj malware etc das ist, ist der neu oder wird der nur nicht erkannt ?? Thx... PS.: wenn man ihn löscht kommt er wieder unter einem anderen namen, kein autostart etc... total shice |
![]() | #7 | ||
![]() ![]() ![]() ![]() | ![]() Merkwürdige Datei in C:\WINNT\TEMP @Sledge71 Zitat:
Zitat:
|
![]() | #8 |
| ![]() Merkwürdige Datei in C:\WINNT\TEMP schlau schlau ![]() bei mir isses n xp mit SP1 und den wichtigsten updates da firmennetz mit firewall und zentraler virenlösung... toller post .. ja ich weiss das kann durch den browser gekommen sein aber... ach egal... |
![]() | #9 |
/// Helfer-Team ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Merkwürdige Datei in C:\WINNT\TEMP Solange kein Ergebnis des eScans vorliegt, kann hier auch keiner weiterhelfen. Siehe Post von Cidre. |
![]() | #10 |
| ![]() Merkwürdige Datei in C:\WINNT\TEMP Meines Wissens wird diese Datei von Trendmicro Office Scan erzeugt. Stoppt man den Dienst, ist die Datei auch verschwunden, sollte also kein Trojaner kein. Gruss Ecki |
![]() | #11 |
| ![]() Merkwürdige Datei in C:\WINNT\TEMP jungens.. ich denke das kann ich bestätigen, habe einige pcs angesehen, das symbol is ja n hund... eventuell vom watchdog also... also ich habe entwarnung gegeben ![]() ciao Momsy ![]() |
![]() |
Themen zu Merkwürdige Datei in C:\WINNT\TEMP |
a.exe, ahnung, anderen, beenden, braune, datei, erklärung, exe, exe datei, file, hallo zusammen, handel, heute, icon, kleine, kleinen, manager, merkwürdige, neustart, spybot, symantec, temp, verzeichnis, win, windows, worte, zusammen |