WinFuture-Forum.de: Virus in Windows\Temp - WinFuture-Forum.de

Zum Inhalt wechseln

Windows 10: Alle News, der Download sowie zahlreiche Screenshots und Videos zum neuen Betriebssystem von Microsoft. Jetzt im WinFuture Windows 10 - Special informieren!
Seite 1 von 1

Virus in Windows\Temp hartnäckiger Virus entsteht nach jedem booten neu


#1 Mitglied ist offline   -amun- 

  • Gruppe: aktive Mitglieder
  • Beiträge: 205
  • Beigetreten: 17. August 15
  • Reputation: 5
  • Geschlecht:Männlich
  • Wohnort:Radebeul
  • Interessen:Fotografie, Fotobearbeitung, PC

geschrieben 15. Januar 2017 - 18:15

Hallo Freunde,

seit einiger Zeit passiert auf meinem PC Folgendes:

Mein Virenscanner schlägt Alarm, weil sich im Ordner C.\Windows\Temp eine Datei befindet, die er als Schadsoftware erkannt hat. Also lösche ich diese. Nach dem nächsten booten ist die Datei wieder da, unter anderem Namen zwar, aber sie wird erneut gemeldet. Das gleiche Spielchen immer und immer wieder.

Ich gehe davon aus, daß eine andere Datei beim booten diese Schad-Datei immer wieder neu im Temp-Verzeichnis generiert. Jetzt wäre es für mich interessant zu erfahren, welche Datei diesen Virus erzeugt, um diese dann zu löschen.

Hat jemand eine Idee, wie ich das herausfinden kann?

Hier mal ein paar screenshots:

Angehängtes Bild: infizierte Datei_1.pngAngehängtes Bild: infizierte Datei_2.pngAngehängtes Bild: infizierte Datei_3.png
dum spiro spero
0

Anzeige



#2 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 15. Januar 2017 - 18:35

Herrausfinden geht am einfachsten über Autoruns + den Windows-Befehl "msconfig". Alternativ ginge auch ProcessMonitor.

Die Dateien würde ich einmal von https://www.virustotal.com scannen lassen, auch wenn sie schon sehr suspekt klingen.
0

#3 Mitglied ist offline   -amun- 

  • Gruppe: aktive Mitglieder
  • Beiträge: 205
  • Beigetreten: 17. August 15
  • Reputation: 5
  • Geschlecht:Männlich
  • Wohnort:Radebeul
  • Interessen:Fotografie, Fotobearbeitung, PC

geschrieben 15. Januar 2017 - 18:42

Danke zunächst!

Was muss ich denn genau tun, um über Autoruns - msconfig den Übeltäter finden will?

Unter Virus-total habe ich bereits die Dateien hochgeladen. Bei einer findet er eine ganze Menge Virus-Namen, bei jedem Eintrag einen anderen. Also mindest eine der Dateien ist infiziert. Allerdings weiß ich noch immer nicht, wie ich den eigentlichen Übeltäter dingfest mache und neutralisiere.
dum spiro spero
0

#4 Mitglied ist offline   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 9.341
  • Beigetreten: 15. Januar 06
  • Reputation: 273
  • Geschlecht:Männlich
  • Wohnort:Troisdorf

geschrieben 15. Januar 2017 - 18:56

Browserverlauf mal gelöscht? IE, FF, Chrome, etc..
0

#5 Mitglied ist offline   -amun- 

  • Gruppe: aktive Mitglieder
  • Beiträge: 205
  • Beigetreten: 17. August 15
  • Reputation: 5
  • Geschlecht:Männlich
  • Wohnort:Radebeul
  • Interessen:Fotografie, Fotobearbeitung, PC

geschrieben 15. Januar 2017 - 19:01

Beitrag anzeigenZitat (DanielDuesentrieb: 15. Januar 2017 - 18:56)

Browserverlauf mal gelöscht? IE, FF, Chrome, etc..


Ja, regelmäßig.
Mittlerweile habe ich den Verdacht, es könnte auch irgend etwas verstecktes im Browser sein. Im Internet wird empfohlen, mal mit Avast Browser Cleanup zu suchen. Der durchsucht aber nur den Internet-Explorer, den ich sowieso nicht verwende. Ich nutze Firefox und Opera - jeweils in der aktuellen Version. Avast lässt sich offenbar nicht so einstellen, daß es auch andere Browser durchsucht.
dum spiro spero
0

#6 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 15. Januar 2017 - 19:08

Wenn du mit den Ergebnissen von msconfig und/ oder Autoruns nix anfangen kannst, zeige uns die Ergebnisse.
0

#7 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.765
  • Beigetreten: 09. Februar 12
  • Reputation: 863
  • Geschlecht:Männlich

geschrieben 15. Januar 2017 - 19:11

Hast du noch einen Wiederherstellungspunkt der vor dem Ereignis liegt? Dann setze das System zurück. Lösche alle Wiederherstellungspunkte. Am besten die Wiederherstellung komplett deaktivieren, dann Neustart und die Wiederherstellung neu einrichten.
So sollte der PC wieder okay sein. Sicherheitshalber nochmal Malwarebytes zusätzlich drüber laufen lassen.
0

#8 Mitglied ist offline   -amun- 

  • Gruppe: aktive Mitglieder
  • Beiträge: 205
  • Beigetreten: 17. August 15
  • Reputation: 5
  • Geschlecht:Männlich
  • Wohnort:Radebeul
  • Interessen:Fotografie, Fotobearbeitung, PC

geschrieben 15. Januar 2017 - 20:11

Wie das immer so ist....
Ich habe zunächst den Virus wieder gelöscht, um beim nächsten Booten die Wiedergeburt zu beobachten. Er hatte die Dateiendung ".exe.vir".
So, jetzt neu gebootet und den Ordner Windows\temp geöffnet und kein Virus. Tja.

@d4rkn3ss4ev3r: ich hatte Dich falsch verstanden. Ich glaubte, "autoruns" sein ein Dienst, an den ich über msconfig rankomme. Deshalb wusste ich nicht, was ich machen soll. Ja, ich habe gegoogled - jetzt weiß ich, daß es eine freeware ist. Dort steht unter BootExecute übrigens: "NaBootMir - File not found: NaBootMir", was auch immer das bedeuten soll. Hat aber wahrscheinlich nichts mit meinem Problem zu tun.

@Doodle: Ich habe keine Wiederherstellungspunkte gesetzt. Malwarebytes findet leider nichts.

Vielleicht liegt es ja doch am firefox? Mich wundern zwei Dinge:

1. für AVAST Browser Cleanup existiert offenbar weder mein Firefox, noch mein OPERA.
2. Beim Start von Firefox werden in der linken unteren Ecke ewig lange alle mögliche Adressen durchsucht, bevor die eigentliche Seite korrekt angezeigt wird. Also auch meine gespeicherten Lesezeichen usw.

Angehängtes Bild: warten.png

Das nervt auch, diese ewige Wartezeit. Deswegen nutze ich übrigens teilweise OPERA.

Und jetzt bleibt mir offenbar nichts anderes übrig, als zu warten, bis der Virus erneut erschaffen wird.
dum spiro spero
0

#9 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 15. Januar 2017 - 21:20

"File not found" heißt das die Datei nicht mehr vorhanden ist. Es kann der Eintrag dann bedenkenlos entfernt/ deaktiviert werden. (Häckchen raus)
NaBootMir gehört zu Wondershare Time Freeze Component. Kannst du mit der Firma was anfangen?
0

#10 Mitglied ist offline   -amun- 

  • Gruppe: aktive Mitglieder
  • Beiträge: 205
  • Beigetreten: 17. August 15
  • Reputation: 5
  • Geschlecht:Männlich
  • Wohnort:Radebeul
  • Interessen:Fotografie, Fotobearbeitung, PC

geschrieben 15. Januar 2017 - 22:00

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 15. Januar 2017 - 21:20)

"File not found" heißt das die Datei nicht mehr vorhanden ist. Es kann der Eintrag dann bedenkenlos entfernt/ deaktiviert werden. (Häckchen raus)
NaBootMir gehört zu Wondershare Time Freeze Component. Kannst du mit der Firma was anfangen?


Gut, habe das Häkchen entfernt. Die Software wollte ich nicht im Autostart. Und ja, mit dem Produkt kann ich was anfangen.

Eingefügtes Bild
dum spiro spero
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0