![]() |
tmpu$$.tmp - Trojaner oder was kann das sein? Liebe Expertenrunde, auf meinem ACER Travel Mate 64bit (W7) taucht nach dem Hochfahren eine Meldung auf in der auf die Datei "tmpu$$.tmp" verwiesen wird. Es würde kein Programm existieren um es zu öffnen. Nach Recherchen im Internet bin ich eigentlich nur auf eure Seite gestoßen und erhoffe mir Hinweise um 1. herauszufinden, um was es sich handelt und 2. wie das Teil zu entfernen ist. Ich bin nicht untätig geblieben und habe die "Einsteigerhinweise" durchgearbeitet (Defogger, OTL, Gmer). Die generierten Dateien habe ich in den Thread hochgeladen. Befindet sich jemand hier, der sich der Sache annehmen kann oder eine Idee hat, was das sein könnte? Vielen herzlichen Dank für jede Anregung. Beste Grüße Selo2 |
Hallo und :hallo: Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die jemals fündig geworden? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten! ![]() Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hi cosinus, zuerst einmal herzlichen Dank für Deinen Beitrag. Ich habe mal einen Blick in meinen Virenscanner geworfen und folgende zwei Meldungen gefunden: In der Datei 'C:\Users\Müller\AppData\Local\Temp\mpb06232.php' wurde ein Virus oder unerwünschtes Programm 'HTML/Framer.DO.229' [virus] gefunden. Ausgeführte Aktion: Übergeben an Scanner In der Datei 'C:\Users\Müller\AppData\Local\Temp\plugtmp-14\plugin-ca.php' wurde ein Virus oder unerwünschtes Programm 'HTML/Framer.DO.229' [virus] gefunden. Ausgeführte Aktion: Übergeben an Scanner Hilft das evtl. weiter? PS: zu Deinem zip-Hinweis: werde ich gerne das nächste mal machen. Danke für diese Info. Vielen Dank für die Hilfe. |
Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Dann bitte jetzt Combofix ausführen: Scan mit Combofix
|
OK Cosinus, ich mache mich jetzt an die Arbeit und halte mich an die Abfolge. Habe derzeit Urlaub und die Zeit dazu. Bis gleich. |
Ok, aber eine Bitte: lass solche Zwischenrufe, poste nur wenn es Probleme gibt oder wenn du die Logs hast (diese dann auch posten in CODE-Tags) |
Klar. Zur Sache: ich habe von ComboFix gerade die Nachricht erhalten, dass ich noch eine zweite Version von Spybod - Search & Destroy noch auf meinem Rechner aktive habe. Mir war das nicht bewusst und ich habe jetzt gleich mit der Deinstallation begonnen. Anscheinend habe ich bei der Deinstallation von Spybot vor ein paar Tagen übersehen, dass eine weitere Version installiert habe. Die zweite, noch vorhandene, scheine ich über die mitgelieferte Deinstallationsdatei nicht entfernen zu können. Der Vorgang hängt seit einigen Minuten, der Statusbalken bewegt sich nicht mehr. Parallel dazu hat sich das ComCoFix Fenster geöffnet: Die obigen Realt-Time Scanner sind immer noch aktiv aber ComboFix wird trotzdem mit dem Suchlauf fortfahren. Bitte nehm zur Kenntnis, dass dies in eigener Verantwortung geschieht. Frage hierzu: soll ich jetzt den Vorgang über den Task-Manager abbrechen, das Fenster schließen oder evtl. eine andere Maßnahme starten? Danke. |
Versuch Spybot zu beenden und cf dann werkeln zu lassen. |
ComboFix ist fertig. Habe das Ergebnis aus der .txt-Datei hier eingestellt. Hoffe es passt so: Code: ComboFix 13-05-22.01 - Müller 22.05.2013 11:34:32.1.4 - x64 |
- Spybot erfolgreich mit Revo deinstalliert - Zonealarm noch nicht deinstalliert, da ich im Moment noch keine Alternative habe -> evtl. Tipp? Hinweis 1: Beim Hochfahren hat mich Windows darauf aufmerksam gemacht, dass ich das Windows Starter Set, mit dem ich arbeite, reparieren soll. Hinweis 2: Meldung von ZoneAlerm, dass OffSpon.EXE auf das Internet zugreifen will Zusatzinfo zur OffSpon.EXE: Anwendung: Q:\140066.deu\Office14\OffSpon.EXE Ziel-IP: 94.245.117.45 HTTP |
Zitat:
Mehr braucht es wirklich nicht für Software dieser Art! |
Zusatzinfo: Zone Alarm deinstalliert - Windows Firewall war bereits aktiv |
Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten MBAR (Malwarebytes Anti-Rootkit) Downloade dir bitte ![]()
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers aswMBR Downloade dir bitte ![]()
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). TDSS-Killer Downloade dir bitte ![]()
|
Nach Durchlauf von Malware: kein Fund. Hier Log-Datei: Code: Malwarebytes Anti-Rootkit BETA 1.05.0.1001 Ergebnis aswMBR: Code: aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software Hier das Ergebnis von tdsskiller Code: 15:10:17.0652 3672 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board