[MartinWilli83]

Hallo hätte mal eine kleine frage.

Habe heute auf Arbeit folgendes festgestellt: das in TaskManager unter prozesse ein "Dienst-"Name läuft der mir absolut unbekannt ist. Habe dann mal die Suche nach dieser datei bemüht um zu wissen wozu der Dienst gehört und da stellte isch raus diese datei Liegt in "C:\WINNT\Temp". habe dann versucht diese datei manuell zu entfernen was mir jedoch verweigert wird. Habe darauf hin mal die anderen 6 rechner auf Arbeit geschekt. Erst dachte ich ok nur 2 rechner betroffen von dieser Datei. (hatte dierekt "C:\WINNT\Temp" geschaut). irgendwie hatte ich dann bei den anderen rechnern doch nochmal gründlicher geschaut und da waren ähnliche datein dann jedoch unter "c:\Temp". Habe dann mal versucht die Datei in Abgesicherten Modus zu entfern was auch gelingt. Starte ich den rechner jedoch wieder normal ist diese Datei wieder da.


Fakten:
es handelt sich um eine "exe" datei
bei jeden Systemstart hat diese Datei einen anderen namen
Nach entfernung in abgesicherten Modus ist diese Datei in normalen Modus wieder da
Hijackthis habe ich auf arbeit Durchlaufen lassen und Online auswerten lassen Alles war Ok bis auf diese eine datei mit der konnte da nix angefangen werden (wie auch wen ejdes mal andere name)
Auf Arbeit stehen 7 Rechner alle miteinander vernetzt und Internetzugang ist auch gegeben.
Überall ist Win 2000 Drauf

habe mal nen bild von der datei gemacht 8wegen hunde icon)
hoffe ihr könnt mir helfen

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von MartinWilli83 bearbeitet: 13. September 2006 - 19:31

[Graumagier]

Was sagen einschlägige Scanner (HiackThis etc.)?

[Maximum Prime]

Lass mal Hijackthis drüber laufen und poste dein log als text anhang.

[darkbutcher666]

Sicherungspunkte Abschalten

Abgesicherten Modus starten

Dann löschen.

Wieder Normal Starten und nachsehen.

[MartinWilli83]

Zitat (darkbutcher666: 13.09.2006, 16:37)

Sicherungspunkte Abschalten

Abgesicherten Modus starten

Dann löschen.

Wieder Normal Starten und nachsehen.

die datei ist danach wieder da

Hijackthis erkennt nur diese eine datei als fragwürdig Online analyse kann dazu nix sagen:-( (wie auch wen jedes mal der datei name anders lautet)

[Maximum Prime]

Dann würd ich sagen Formatieren und zwar deswegen. Und dann bitte hiermit vorsorgen.

[MartinWilli83]

Zitat (Maximum Prime: 13.09.2006, 17:41)

Dann würd ich sagen Formatieren und zwar deswegen. Und dann bitte hiermit vorsorgen.

das geht leider nicht so einfach (denke nur als letzten ausweg)
Habe mein obriegen beitrag nochmal neu verfasst denke jetzt ist es besser erklärt
und solange mein cheff net wirklich weiß um was es sich da handelt wird der nicht den betrieb lahmlegen um die rechner neu aufzusetzen

Dieser Beitrag wurde von MartinWilli83 bearbeitet: 13. September 2006 - 18:00

[Maximum Prime]

Zitat

solange mein cheff net wirklich weiß um was es sich da handelt wird der nicht den betrieb lahmlegen

Hab ihr keine Admins bei euch sitzen, die eure Systeme warten? Die müssten doch wissen was zu tun ist.

[MartinWilli83]

ne^^
ich glaube ich habe da noch mit an meisten ahnung bin aber nur ein Kleiner Umschüler da
Morgen schaut sich das ein "computermensch" an mit fernwartung (ka wie des prog heist)
mal sehen was er dazu sagt hatten nur gehoft das jemand diesen Hund vieleicht erkennt und daher mehr zu der Datei sagen kann (virenscanner erkennen in dieser datei nix böses [hatte es bei diversen onlinescanner hochgeladen (da wo mehre scanner die datei prüfen) aber über all des selbe die datei sei sauber] aber wieso arbeitet diese datei in versteckten und läst sich nicht dauerhaft normal entfernen?)

[darkbutcher666]

Hast du nähere Daten über dies Datei?

Größe und Datum etc? Welche AntiVirenSoftware benutzt Ihr?

Kannst die Datei mal an [email protected] mal schicken.

[MartinWilli83]

Zitat (darkbutcher666: 13.09.2006, 18:13)

Hast du nähere Daten über dies Datei?

Größe und Datum etc? Welche AntiVirenSoftware benutzt Ihr?

Kannst die Datei mal an [email protected] mal schicken.

datei ist 176 KB o. 167 KB groß welche grösse von beiden weiß ich leider nicht mehr
mehr daten dazu habe ich leider nicht ausser was in 1. beitrag steht
(da ich jetzt zu hause bin kann ich datei auch erst morgen verschicken)

Antiviren prog ist: TREND MICRO

hatte die datei hier hochgeladen gehabt
http://virusscan.jotti.org/de/
da wurde gesagt diese datei sei sauber

Dieser Beitrag wurde von MartinWilli83 bearbeitet: 13. September 2006 - 17:20

[ShadowHunter]

Zitat (MartinWilli83: 13.09.2006, 17:45)

das geht leider nicht so einfach (denke nur als letzten ausweg)
Habe mein obriegen beitrag nochmal neu verfasst denke jetzt ist es besser erklärt
und solange mein cheff net wirklich weiß um was es sich da handelt wird der nicht den betrieb lahmlegen

Bei allem Respekt aber eine Firma sollte Backup und Images haben, gerade wenn die Daten wichtig sind.
Ichw eiss es ist nicht einfach, aber erklär deinem Chef mal wie wichtig sowas ist und das ein richtiger Admin sicher auch sinnvoll sein kann. Irgendwann machen sich diese Kosten bezahlt.

Wenn jotti nichts findet klingts aber mal grundsätzlich nicht schlecht.

[MartinWilli83]

Zitat (ShadowHunter: 13.09.2006, 18:53)

Bei allem Respekt aber eine Firma sollte Backup und Images haben, gerade wenn die Daten wichtig sind.
Ichw eiss es ist nicht einfach, aber erklär deinem Chef mal wie wichtig sowas ist und das ein richtiger Admin sicher auch sinnvoll sein kann. Irgendwann machen sich diese Kosten bezahlt.

Wenn jotti nichts findet klingts aber mal grundsätzlich nicht schlecht.

Back up wird jeden Tag gemacht soweit ich mitbekomme (bandlaufwerk) nur die frage wäre wen ob des wen da auch drauf ist^^

finde ich auch gut das jotti nix findet
jedoch wieso arbeitet diese datei dann fast evrsteckt und jedes mal nen neuen namen beim start?

da fällt mir noch wat ein
die datei wurde übrigens an 16.12.2005 erstellt um 4.17 Uhr in der früh

[darkbutcher666]

Mal bei Trojaner-Board nachfragen?

www.trojaner-board.de

Zur nächsten Frage: Seit wann hast du dieses Programm bzw. wann bemerkt?

Hast du E-Mails aufgemacht? Wenn ja mit welchen Programm? Mit administativen Rechten oder Eingeschränkt (wie ich diesen Satz hasse)? Schon mal deinen Chef darauf angesprochen?

Auf alle fälle kannst mir ja morgen mal zukommen lassen. Zudem wäre ein Administrator nicht schlecht, auch wenn nur Firmen-Extern.

Je mehr Antworten du hast um so besser kann man dir Helfen

[Megolk]

Die Datei wird durch TrendMicro erzeugt und wird grundsätzlich immer anders benannt!
Dabei hat dies aber nichts mit den "Diensten unter Windows" an sich zu tun sondern der Agent für die Updates wird nach dem starten des Dienstes für den Scanner gestartet und dieser Agent wird dann als Temp-Datei erzeugt.

Ist also völlig normal!
Setzen wir bei uns in der Firma (>5000 PC's) auch ein!