selbstgenerierende dat-Dateien im Temp

MAdler77 · 16.07.2004

Nach dem hochfahren des Rechners sind diese Dateien noch nicht generiert worden. Erst nach Zeit X sind plötzlich 1-3 solcher dat-Dateien in meinem Speicher (taskmonitor-Anzeige), welche im Tempordner von Windows liegen.
Diese führen zu dem Problem, dass auf meinem Monitor Popup-Fenster mit bsp. System Scanning bla blabla... .. abhilfe finden sie hier usw. auftauchen.

Spybot ... Adware .. Virusscann .. nix hilft um das Problem permanent zu entfernen.

Wer kann helfen??

Flöckchen · 16.07.2004

Probier mal ein HijackThis Log, vielleicht kann man da was erkennen.

http://www.wintotal-forum.de/?board=35;action=display;threadid=33317

MAdler77 · 16.07.2004

Erstmal Danke. Hab nochmals alles rübergejagt was es da so gibt. Anschließend den Inhalt des Tempverzeichnises gelöscht. Im Moment scheint es zu halten. Sehr seltsam das alles. Falls es sich wieder meldet, werd ich noch den Tip versuchen.

PS: Thanks

MAdler77 · 25.07.2004

Logfile of HijackThis v1.98.0
Scan saved at 00:31:28, on 25.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\ScannerU\AM32.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PostDa\PostDa.exe
C:\PostDa\PostDa.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BT500\BTStackServer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gcjf.dat
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchdot.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.psn.cn/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://ie.search.psn.cn/
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: chartt.lnk = C:\PostDa\PostDa.exe
O4 - Startup: matze.lnk = C:\PostDa\PostDa.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\BT500\BTTray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {63F9FC40-2886-495A-8EC1-D4ECE5EAD3C8} - (no file)
O9 - Extra->Tools' menuitem: JavaScript Console - {63F9FC40-2886-495A-8EC1-D4ECE5EAD3C8} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra->Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: Microsoft® JavaScript® Console - {63F9FC40-2886-495A-8EC1-D4ECE5EAD3C8} - (no file) (HKCU)
O9 - Extra->Tools' menuitem: JavaScript Console - {63F9FC40-2886-495A-8EC1-D4ECE5EAD3C8} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Tegrity-WebLearner-2436 - http://bb3.cudenver.edu/Tegrity/RoxMath/Trig_Integral_Rule_1/class/TWebS.CAB
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.tradesignal.com/wpa/tsb/2.6.2.1/components/tsbt-2-6-2-1.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {C262DD82-62A7-443E-844A-F245006DCD4F} - http://www.tradesignal.com/downloads/tse/TradeSignalEnterprise.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3124F008-6F57-4F6E-B095-375C25DE6B4D}: NameServer = 192.168.0.1

Diese unbekannte Dat.Datei belegt 4,2 MB des Speichers. Manchmal sind es auch zwei oder mehr. Ohne erkennbaren Zusammenhang zwischen einer Aktion meinerseits (Programm öffnen, Rechner hochfahren usw.), auch der Dateiname ist jedesmal ein anderer (zufallsgenerator?).
Was kann das sein?

hp · 25.07.2004

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchdot.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.psn.cn/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://ie.search.psn.cn/

fixen, für sp.html-Startseiten ein Entfernungstool »Cleaner SpHjfix.exe«. der cleaner muss mit Administratorrechten ausgeführt werden und die sp.htm dateien auch auf dem filesystem suchen und löschen. nd natürlich auch alle dateien derart

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gcjf.dat

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

fixen

dann beim nächsetn log bitte alle nicht benötigten applikationen schließen, vor allem auch den ie, erspart sucharbeit. dann cwshredder, spybot, ad-aware vor hijackthis laufen lassen, bereinigt vielleicht einiges schon so wie hier von pan_fee beschrieben http://www.wintotal.de/Tipps/Eintrag.php?TID=873
und noch sp4 und die sicherheitspatches von ms installieren, falls nicht alle schon installiert sind.

greetz

hugo

MAdler77 · 25.07.2004

Da hab ich ja einiges zu tun ;D. Dank Dir

selbstgenerierende dat-Dateien im Temp

MAdler77

Flöckchen

MAdler77

MAdler77

hp

MAdler77

selbstgenerierende dat-Dateien im Temp

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums