Hallo

Ich habe ein sehr seltsames Problem. Mein Laptop verursacht in sporadischen Intervallen eine 100% Prozessorauslastung welches mich veranlasste nach dem Fehler zu suchen. Bei der Suche bin ich auf folgendes Problem gestossen.

Im Windows Temp Ordner wird nach jedem Neustart eine zufällige EXE erzeugt die auch als Prozess läuft. Die Länge der Zeichen der Datei scheint immer gleich zu sein im Moment heißt sie SE75AA.EXE (also immer 6 Zeichen).
Ich kann den Prozess beenden und die Datei löschen. Nach dem nächsten Neustart ist sie aber wieder unter anderem Namen vorhanden. Ekennbar ist dies, weil sie immer das gleich ICON hat nämlich eine kleinen braunen laufenden Hund ->
Habe bereits mit Virenprogrammen gesucht, sowie natürlich mit HijackThis allerdings ohne Erfolg denn bei HijackThis steht auch nur drin das ein Service läuft also als Prozess.

Wäre für jeden Tipp dankbar um überhaupt festellen zu können was hier ambach ist.

Danke für jede Hilfe

Between: Habe festgestellt das die Datei auch ohne Neustart im laufenden Betrieb neu erstellt wird. Lösche ich den Prozess ist die Datei auch aus dem Temp Verzeichnis gelöscht

Erstell ein HJT-Logfile:
http://www.trojaner-board.de/showthread.php?t=17493
Halte Dich an die Hinweise in meiner Signatur.

Na denn mal los

Logfile of HijackThis v1.99.1
Scan saved at 14:53:02, on 25.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RMClock\RMClock.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\OfficeScan NT\pccntupd.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\CommView\CV.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\phase5\htmledit.exe
C:\WINDOWS\TEMP\NB7A82.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\~e5d141.tmp
C:\DOKUME~1\xxx\LOKALE~1\Temp\~e5d141.tmp
F:\downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClock.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.intranet
O15 - Trusted Zone: h**p://*.intranet (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx
O17 - HKLM\Software\..\Telephony: DomainName = xxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E075A86-6552-4F57-A38F-42A0DAD8D877}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe

Das sieht mir sehr nach einem Firmen-PC aus.

Fast, es ist ein Laptop und zwar meines welches in einem Firmennetzwerk läuft.
Ich wüßte nu aber nich ob das was an der Sache ändert?

Im Log sehe ich erst mal nichts. Will aber nichts heissen.
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es und berichte, ob die Probleme noch bestehen.

Beides ohne Befund somit auch kein Logfile
Problem besteht weiterhin

Dann mache hier weiter:
http://www.trojaner-board.de/showthread.php?t=24192

einfach löschen ist immer Mist, wenn du das nächste mal sowas wie das findest "C:\WINDOWS\TEMP\NB7A82.EXE"

dann schieb es mal bei www.virustotal.com hoch.

@felix1
Nachdem ich nun alles durchhab was du mir geraten hast und ich ohne ergebnis da stand hab ich heut nochmal nen anderen Weg probiert

Ich habe die Datei einfach mal in der Console editiert und bin über eine Zeile gestolpert -> RegWatchDog ... tmlisten.exe

Tja und über letzteres bin ich auf einen Beitrag hier im Forum vom 07.06.2005 aufmerksam geworden http://www.trojaner-board.de/showthread.php?t=18703
Dieser beschreibt genau mein Problem und konnte entwarnt werden.

Es ist eine Datei die dynamisch von Trendmicro Office Scan erstellt wird.

Hätte ich also mit den Richtigen Wörtern (die ich nicht wusste = tmlisten.exe) hier im Forum gesucht hätte ich mir 5h Arbeit erspart

Bleibt nur noch die Frage warum mein Laptop sporadisch auf Volllast läuft? Aber da bin ich hier an der falschen Stelle

Danke für eure Hilfe !!!