Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   random *.exe und leere win*.tmp's in c:\windows\temp (https://www.trojaner-board.de/33281-random-exe-leere-win-tmps-c-windows-temp.html)

purp 02.11.2006 11:04
random *.exe und leere win*.tmp's in c:\windows\temp
 
Hi und Hoi,

Ich habe entdeckt das nach jedem reboot ein zufälliges ****.exe in c:\windows\temp liegt und auch als prozess läuft, das ding abzuschiessen ist kein Problem und dann zu löschen aber später ist es wieder da. Zudem werden dort noch diverse winC.tmp, winD.tmp etc. erstellt mit 0 inhalt, ob dies zu nem trojaner gehört bin ich unsicher, nur die exe macht mich skeptisch.

TRYTOHELPYOU 02.11.2006 11:16
bitte schreib dein ergebnis direkt hier rein

purp 02.11.2006 11:20
Logfile of HijackThis v1.99.1
Scan saved at 11:02:32, on 02.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
c:\_integra\bin\shstart.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Hummingbird\DM Extensions\papihost.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\CryptoEx\common\CexTray.exe
C:\Program Files\CryptoEx\Common\EASServer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Microsoft Office\Office10\MSACCESS.EXE
C:\Program Files\winUDL\WinUDL40.exe
C:\WINDOWS\system32\mstsc.exe
C:\Documents and Settings\uide7992\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://**ZENSIERT INTRANET FIRMA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://**ZENSIERT INTRANET FIRMA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://ZENSIERT PROXY FIRMA
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\_integra\bin\shstart.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Hummingbird DM - {4647E382-520B-11D2-A0D0-004033D0645D} - C:\Program Files\Hummingbird\DM Extensions\DOCSShlToolBar.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [CCM User Profile Manager] "c:\_integra\upm\bin\CCM_User.exe"
O4 - HKLM\..\Run: [NRHI-Logonscript] C:\WINDOWS\system\logon.bat
O4 - HKLM\..\Run: [JavaProfileFix3] "C:\Program Files\Java\Profile Fix\JAVA_Fix 3.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [PowerDOCSAPIHost] "C:\Program Files\Hummingbird\DM Extensions\papihost.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SIECACST] C:\Program Files\Siemens\Card API\bin\siecacst.exe
O4 - HKLM\..\Run: [Migrator] "C:\Program Files\CryptoEx\Migrator\Migrator.exe" -StartUp
O4 - HKLM\..\Run: [CryptoExTrayV3] "C:\Program Files\CryptoEx\Common\CexTray.exe" /ShowTrayIcon
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: TD - Online Check - http://intouch.techdata.com/anywhere/OnlineCheck.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O14 - IERESET.INF: START_PAGE_URL=http://poseidon.nrhi.ch/intranet/index/
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = NRHI.CH
O17 - HKLM\Software\..\Telephony: DomainName = NRHI.CH
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = NRHI.CH
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = NRHI.CH
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = NRHI.CH
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: PCDOCS - {EDC110E5-4CFB-4FEE-813A-BF796297030E} - C:\Program Files\Hummingbird\DM Extensions\PwDMoniker.DLL
O20 - Winlogon Notify: CexTrayWinLogon - C:\Program Files\CryptoEx\Common\CexTrayWinLogon.dll
O20 - Winlogon Notify: winhld32 - C:\WINDOWS\SYSTEM32\winhld32.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CorinaService - Siemens Business Services GmbH & Co OHG SBS SI SWE3 - C:\Program Files\Trusted Applications\CORINA\Corina_service.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LioDB - Unknown owner - D:\VICOS-LIO\VERA10_Demo_d\BIN\liodb.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SX Service (SXServ) - Unknown owner - C:\WINDOWS\system32\sxserv101.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: CCM Windows Agent (WControl) - On Technology Europe GmbH - c:\_integra\bin\ccmagent.exe

TRYTOHELPYOU 02.11.2006 11:50
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: TD - Online Check - http://intouch.techdata.com/anywhere/OnlineCheck.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O14 - IERESET.INF: START_PAGE_URL=http://poseidon.nrhi.ch/intranet/index/
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = NRHI.CH
O17 - HKLM\Software\..\Telephony: DomainName = NRHI.CH
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = NRHI.CH
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = NRHI.CH
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = NRHI.CH
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: PCDOCS - {EDC110E5-4CFB-4FEE-813A-BF796297030E} - C:\Program Files\Hummingbird\DM Extensions\PwDMoniker.DLL
O20 - Winlogon Notify: CexTrayWinLogon - C:\Program Files\CryptoEx\Common\CexTrayWinLogon.dll
O20 - Winlogon Notify: winhld32 - C:\WINDOWS\SYSTEM32\winhld32.dll

purp 02.11.2006 12:00
dein post meint die einträge soll ich löschen?

TRYTOHELPYOU 02.11.2006 12:06
:kloppen: :kloppen: :kloppen: :kloppen:

http://www.trojaner-board.de/51130-anleitung-hijackthis.html

Das sind die meisten die standartmäßig gefixt werden sollten.

empfehle dir eine kopie in einen orner zu koperen und diese bei www.virustotal.de zu überprüfen. wenn es ergebnisse gibt, bitte wieder hier poasten.

purp 02.11.2006 12:26
Liste der Anhänge anzeigen (Anzahl: 1)
mhh aber dieses komische exe ist immernoch in c:\windows\temp
SC506F.EXE in diesem fall aber das heisst immer leicht anders.

prozess abschiessen geht, löschen auch. Nach rebot mit/ohne inet wieder da :\

purp 02.11.2006 12:27
O18 - Protocol: PCDOCS - {EDC110E5-4CFB-4FEE-813A-BF796297030E} - C:\Program Files\Hummingbird\DM Extensions\PwDMoniker.DLL


glaube ich nicht das man das löschen muss, das ist unser Dokument Management Software, taugt zwar nichts aber dennoch *g*

TRYTOHELPYOU 02.11.2006 12:32
SC506F.EXE schau in der regedit nach dieser datei (suchen)

suche unter run ordner verdächtige dateien und lösch alles. :-)

ich empfehl dir einfach mal komplett im abgesicherten modus dein system zu scannen, dann dir einen guard anzuschaffen, der deine systemprozesse überwacht, dann kommt alles von alleine. :-) Dieses bestimmte Programm warnt dich dann vor den jeweiligen datein. mache dass bitte mal.

Meistens ist es so, dass es eine sogenannte WirtDatei gibt, die Mailware unrechtmäßig downloaded und diese Schädlinge dann dein System befallen.

purp 02.11.2006 12:35
nur heisst die "liebe" datei ja immer anders!

purp 02.11.2006 12:38
Zitat:
Zitat von TRYTOHELPYOU
suche unter run ordner verdächtige dateien und lösch alles. :-)
Magst du den Satz für mich so formulieren, das ich den auch verstehe? :)

TRYTOHELPYOU 02.11.2006 12:42
genau dass meine ich mache mal die vorschläge und dann bekommst du es raus, meistens ist es bei diesem virus so, dass du die routine rausbekommst und wenn es nur noch n paar sind, dann kannst du ihn komplett killen. deshalb warte ich auf den poast

purp 02.11.2006 15:38
Ich bin wohl zu blöd um herauszufinden wie ich den sauhund fürs leben vernichte :headbang: :headbang: :headbang:

Ich meine sobald ich den laufenden prozess beende verschindet auch das random.exe in c:\windows\temp, nach nem reboot ist wieder ein anderes da bis ich den prozess beende....

ich brings weg, bis ich wieder reboot....

dafür muss es irgendwie ein anderen Fix geben, wie heist den der "Virus" ist der in meiner Art bekannt?:headbang: :headbang: :headbang:

purp 02.11.2006 16:16
Zitat:
diebad17.07.2005, 16:26
Hallo Zusammen,

die Datei im Temp-Folder erscheint zwar zunächst verdächtig, ist es aber nicht. Warum wird das File von keinem Virenscanner gefunden und auch nicht als Spyware erkannt?

Ganz einfach, es ist werder ein Trojaner noch Spyware o.a., sondern ein Prozess des TrendMicro OfficeScan Virenscaners. Jeder der diesen netten "Hund" (Watchdog) auf seinem Rechner hat setzt sicherlich auch OfficeScan ein. Einfach mal Officescan beenden, dann verschwindet auch der Child-Prozess. Officescan wieder starten, und das ist er wieder, allerdings eben mir einem andern Filename.

Grüße

P.D.
das wirds wohl sein....


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131