Nach dem Einloggen wird Programm *.tmp.exe in USER\AppData\Local\Temp ausgeführt
 

Hallo,

bei mir wir nach dem Login unter AppData\Local\Temp immer ein exe ausgeführt, der Name ändert sich, Bsp:
a8ee9d2a-7120-4192-aaa3-0558ee0ba707.tmp.exe (82.944 Bytes)

Das Programm öffnet ein Fenster und gibt Zahlen und Buchstaben aus, Bsp. für Anfang:

Ich habe die Ausgabe in eine Datei umgeleitet, diese ist 159.196 Bytes groß. Da ich nicht weiß was dort evtl. drinsteht, poste ich sie mal lieber nicht.

Avast meldet, dass die Datei sicher ist. VirusTotal meldetfolgende Troyaner:

• Jiangmin Trojan.Inject.aqnl
• MaxSecure Trojan.Malware.300983.susgen

Details siehe
https://www.virustotal.com/gui/file/f6436dc45c8356d26174a2a8c67523217ef6024197e61af10edfa137a90a1c65/detection

Ich habe Malwarebytes laufen lassen, meldet aber keine Probleme.
Hinweis:
C:\Users\thoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mount_Veracrypt.cmd
ist unkritisch, ist ein Mount Skript, was ich selber geschrieben habe.

Wäre toll, wenn ihr mir helfen könntet.

LG

tsmomc

Anbei die gewünschten Ausgaben von FRST.

FRST:

FRST Logfile:
--- --- ---

edit: alles gut :heilig:

Und was ist das Programm dann?

Bitte das ander Log von FRST noch posten.

Shortcut Teil 1

Shortcut Teil 2

Addition Teil 1

Addition Teil 2

Störende, veraltete oder unnötige Programme deinstallieren

Bitte über Programme und Features (appwiz.cpl) deinstallieren:


1&1 Upload-Manager
1&1 Verschlüsselung 1.0.4
7-Zip 19.00 (x64)
Adobe Acrobat 8 Professional
Adobe Acrobat Reader DC
Asus ProductDaemonSetup
Asus Sonic Radar 3
Asus SonicRadar3Setup
Audacity 2.1.3
Audacity 3.0.0
Avast Free Antivirus
Avast Secure Browser
Brave
IObit Software Updater
OpenOffice 4.1.7

Die Programme

habe ich deinstalliert. Für

gibt es keine Einträge zum deinstallieren.

Die folgenden Programme nutze ich aktiv:
- 1&1 Upload-Manager -> Daten in 1&1 Cloud laden
- 1&1 Verschlüsselung 1.0.4 -> Verschlüsselung in 1&1 Cloud
- 7-Zip 19.00 (x64) -> lt. Seite die aktuelle Version, es gibt nur eine neue alpha
- Adobe Acrobat Reader DC -> wie soll ich sonst PDF Dateien anschauen?
- Audacity 3.0.0 -> was kann ich für den Audioschnitt sonst nutzen
- Avast Free Antivirus -> den PC wirklich ganz ohne Virenscanner betreiben? Der defender hat bisher noch nie gewarnt
- OpenOffice 4.1.7 -> brauche ich zwingend, kann ich aber auf 4.1.10 updaten. OK?

adwCleaner

Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei in CODE-Tags.

adwcleaner zwecks Kontrolle bitte wiederholen, falls es Funde gab.

Adwcleaner habe ich laufen lassen, hat noch Reste von Iobit gefunden, in Quarantäne verschoben.

AdwCleaner[S03].txt

AdwCleaner[C03].txt


Nach Neustart läuft Adwcleaner ohne Fehler durch. Das Problem ist aber leider noch nicht behoben.

Kontrollscans mit MBAM und RK

Jetzt ist es an der Zeit für Kontrollscans mit

• Malwarebytes
• RogueKiller

Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

Malwarebytes lieferte keine Fehler:

RogueKiller hat Sachen gefunden, habe ich behoben. Nach dem Neustart gab es das Problem aber weiterhin.

Das bösartige Tool unter %programfiles(x86)%\Tools war übrigends Monitorian, geladen von CHIP: https://www.chip.de/downloads/Monitorian_147510267.html
Wahrscheinlich eine Fehlerkennung.

Dann bitte neue FRST-Logs.

FRST.txt


FRST Logfile:
--- --- ---

Addition Teil 1

Addition Teil 2

Shortcut Teil 1

Shortcut Teil 2

Ich habe das EXE mal mit dem Procmon analysiert, vielleicht hilft das ja weiter, was das Programm macht?

Teil 1

Teil 2

Habe die halbe Nacht weider gesucht, zur Einschränkung könnte folgendes bestimmt weiterhelfen:

Die Datei scheint von jabra-direct.exe angelegt zu werden. Seltsam, virustotal meldet hier keine Vorkommnisse:

https://www.virustotal.com/gui/file/85592c6fce2bef0e22d4e1cae2ea07d53fb48ea419d78edba523ffda2dced137/detection

Und du willst jetzt irgendwie nicht wahrhaben, dass die Datei ok ist?

Dir ist klar, dass die den Krempel von Jabra auch installiert hast?

Nutze JABRA als Headset. Habe daher u.a. für Firmware Updates und Ladeanzeige die JABRA Software installiert. Ist aber Original von der Herstellerseite.

Was soll ich machen?
- Problem an Hersteller melden?
- Das Zeug deinstallieren? Das Headset sollte auch ohne die Software funktionieren.

Wieso redest du dir da überhaupt ein Problem ein? Nur weil du die EXE nicht kennst muss das ein Schädling sein? Erklär mal bitte.

Dass Virenscanner auch mal Fehlalarme werfen ist echt nicht bekannt?

Ich verschiebe nach Diskussion.

Danke, falls Du keinen Bedarf an Bereinigung siehst, ist es auch OK.
Ich finde es nur komisch, dass ein Hersteller solche Prozesse in seine Software integriert.

Nochmal Danke für Deine Unterstützung, insbesondere den zeitnahmen Support. Euer Forum ist echt Klasse.

Eine Frage nochmal zu 7zip. Du hattest empfpohlen die v19.0 zu deinstallieren. Weil sie von 2019 ist? Alternativ gibt es aber nur eine aktuelle alpha. Oder übersehe ich hier etwas (https://www.7-zip.de/).

Oh, da hab ich mich vertan, 19.00 ist aktuell.