|
Plagegeister aller Art und deren Bekämpfung: random *.exe und leere win*.tmp's in c:\windows\tempWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.11.2006, 11:04 | #1 |
| random *.exe und leere win*.tmp's in c:\windows\temp Hi und Hoi, Ich habe entdeckt das nach jedem reboot ein zufälliges ****.exe in c:\windows\temp liegt und auch als prozess läuft, das ding abzuschiessen ist kein Problem und dann zu löschen aber später ist es wieder da. Zudem werden dort noch diverse winC.tmp, winD.tmp etc. erstellt mit 0 inhalt, ob dies zu nem trojaner gehört bin ich unsicher, nur die exe macht mich skeptisch. |
02.11.2006, 11:16 | #2 |
| random *.exe und leere win*.tmp's in c:\windows\temp bitte schreib dein ergebnis direkt hier rein
__________________ |
02.11.2006, 11:20 | #3 |
| random *.exe und leere win*.tmp's in c:\windows\temp Logfile of HijackThis v1.99.1
__________________Scan saved at 11:02:32, on 02.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\FileZilla Server\FileZilla Server.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe c:\_integra\bin\shstart.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\stsystra.exe C:\Program Files\Hummingbird\DM Extensions\papihost.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Dell\QuickSet\quickset.exe C:\Program Files\CryptoEx\common\CexTray.exe C:\Program Files\CryptoEx\Common\EASServer.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Program Files\Microsoft Office\Office10\MSACCESS.EXE C:\Program Files\winUDL\WinUDL40.exe C:\WINDOWS\system32\mstsc.exe C:\Documents and Settings\uide7992\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://**ZENSIERT INTRANET FIRMA R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://**ZENSIERT INTRANET FIRMA R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://ZENSIERT PROXY FIRMA F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\_integra\bin\shstart.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Hummingbird DM - {4647E382-520B-11D2-A0D0-004033D0645D} - C:\Program Files\Hummingbird\DM Extensions\DOCSShlToolBar.dll O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [CCM User Profile Manager] "c:\_integra\upm\bin\CCM_User.exe" O4 - HKLM\..\Run: [NRHI-Logonscript] C:\WINDOWS\system\logon.bat O4 - HKLM\..\Run: [JavaProfileFix3] "C:\Program Files\Java\Profile Fix\JAVA_Fix 3.exe" O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [PowerDOCSAPIHost] "C:\Program Files\Hummingbird\DM Extensions\papihost.exe" O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [SIECACST] C:\Program Files\Siemens\Card API\bin\siecacst.exe O4 - HKLM\..\Run: [Migrator] "C:\Program Files\CryptoEx\Migrator\Migrator.exe" -StartUp O4 - HKLM\..\Run: [CryptoExTrayV3] "C:\Program Files\CryptoEx\Common\CexTray.exe" /ShowTrayIcon O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: TD - Online Check - http://intouch.techdata.com/anywhere/OnlineCheck.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O14 - IERESET.INF: START_PAGE_URL=http://poseidon.nrhi.ch/intranet/index/ O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = NRHI.CH O17 - HKLM\Software\..\Telephony: DomainName = NRHI.CH O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = NRHI.CH O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = NRHI.CH O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = NRHI.CH O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: PCDOCS - {EDC110E5-4CFB-4FEE-813A-BF796297030E} - C:\Program Files\Hummingbird\DM Extensions\PwDMoniker.DLL O20 - Winlogon Notify: CexTrayWinLogon - C:\Program Files\CryptoEx\Common\CexTrayWinLogon.dll O20 - Winlogon Notify: winhld32 - C:\WINDOWS\SYSTEM32\winhld32.dll O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: CorinaService - Siemens Business Services GmbH & Co OHG SBS SI SWE3 - C:\Program Files\Trusted Applications\CORINA\Corina_service.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LioDB - Unknown owner - D:\VICOS-LIO\VERA10_Demo_d\BIN\liodb.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SX Service (SXServ) - Unknown owner - C:\WINDOWS\system32\sxserv101.exe (file missing) O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe O23 - Service: CCM Windows Agent (WControl) - On Technology Europe GmbH - c:\_integra\bin\ccmagent.exe |
02.11.2006, 11:50 | #4 |
| random *.exe und leere win*.tmp's in c:\windows\temp O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: TD - Online Check - http://intouch.techdata.com/anywhere/OnlineCheck.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O14 - IERESET.INF: START_PAGE_URL=http://poseidon.nrhi.ch/intranet/index/ O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = NRHI.CH O17 - HKLM\Software\..\Telephony: DomainName = NRHI.CH O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = NRHI.CH O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = NRHI.CH O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = NRHI.CH O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: PCDOCS - {EDC110E5-4CFB-4FEE-813A-BF796297030E} - C:\Program Files\Hummingbird\DM Extensions\PwDMoniker.DLL O20 - Winlogon Notify: CexTrayWinLogon - C:\Program Files\CryptoEx\Common\CexTrayWinLogon.dll O20 - Winlogon Notify: winhld32 - C:\WINDOWS\SYSTEM32\winhld32.dll |
02.11.2006, 12:00 | #5 |
| random *.exe und leere win*.tmp's in c:\windows\temp dein post meint die einträge soll ich löschen? |
02.11.2006, 12:06 | #6 |
| random *.exe und leere win*.tmp's in c:\windows\temphttp://www.trojaner-board.de/51130-anleitung-hijackthis.html Das sind die meisten die standartmäßig gefixt werden sollten. empfehle dir eine kopie in einen orner zu koperen und diese bei www.virustotal.de zu überprüfen. wenn es ergebnisse gibt, bitte wieder hier poasten. |
02.11.2006, 12:26 | #7 |
| random *.exe und leere win*.tmp's in c:\windows\temp mhh aber dieses komische exe ist immernoch in c:\windows\temp SC506F.EXE in diesem fall aber das heisst immer leicht anders. prozess abschiessen geht, löschen auch. Nach rebot mit/ohne inet wieder da :\ |
02.11.2006, 12:27 | #8 |
| random *.exe und leere win*.tmp's in c:\windows\temp O18 - Protocol: PCDOCS - {EDC110E5-4CFB-4FEE-813A-BF796297030E} - C:\Program Files\Hummingbird\DM Extensions\PwDMoniker.DLL glaube ich nicht das man das löschen muss, das ist unser Dokument Management Software, taugt zwar nichts aber dennoch *g* |
02.11.2006, 12:32 | #9 |
| random *.exe und leere win*.tmp's in c:\windows\temp SC506F.EXE schau in der regedit nach dieser datei (suchen) suche unter run ordner verdächtige dateien und lösch alles. :-) ich empfehl dir einfach mal komplett im abgesicherten modus dein system zu scannen, dann dir einen guard anzuschaffen, der deine systemprozesse überwacht, dann kommt alles von alleine. :-) Dieses bestimmte Programm warnt dich dann vor den jeweiligen datein. mache dass bitte mal. Meistens ist es so, dass es eine sogenannte WirtDatei gibt, die Mailware unrechtmäßig downloaded und diese Schädlinge dann dein System befallen. Geändert von TRYTOHELPYOU (02.11.2006 um 12:40 Uhr) |
02.11.2006, 12:35 | #10 |
| random *.exe und leere win*.tmp's in c:\windows\temp nur heisst die "liebe" datei ja immer anders! |
02.11.2006, 12:38 | #11 | |
| random *.exe und leere win*.tmp's in c:\windows\tempZitat:
|
02.11.2006, 12:42 | #12 |
| random *.exe und leere win*.tmp's in c:\windows\temp genau dass meine ich mache mal die vorschläge und dann bekommst du es raus, meistens ist es bei diesem virus so, dass du die routine rausbekommst und wenn es nur noch n paar sind, dann kannst du ihn komplett killen. deshalb warte ich auf den poast |
02.11.2006, 15:38 | #13 |
| random *.exe und leere win*.tmp's in c:\windows\temp Ich bin wohl zu blöd um herauszufinden wie ich den sauhund fürs leben vernichte Ich meine sobald ich den laufenden prozess beende verschindet auch das random.exe in c:\windows\temp, nach nem reboot ist wieder ein anderes da bis ich den prozess beende.... ich brings weg, bis ich wieder reboot.... dafür muss es irgendwie ein anderen Fix geben, wie heist den der "Virus" ist der in meiner Art bekannt? |
02.11.2006, 16:16 | #14 | |
| random *.exe und leere win*.tmp's in c:\windows\tempZitat:
|
Themen zu random *.exe und leere win*.tmp's in c:\windows\temp |
c:\windows, c:\windows\temp, diverse, entdeck, entdeckt, erstell, erstellt, inhalt, leere, löschen, problem, prozess, random, reboot, temp, troja, trojaner, unsicher, win, windows, windows\temp |