Trojaner im TEMP Verzeichnis?

[Satan_666]

Seit ein paar Tagen sekkiert mich mein Virensanner Avira AntiVir (Free Version) mit einer immer wieder mal aufpoppenden Meldung, dass er angeblich einen Trojaner gefunden hätte. Dieser Trojaner soll sich in einer Datei namens "dnxxxx.tmp" im Verzeichnis C:\Windows\Temp befinden (xxxx = 4-stelliger alphanummerischer Wert, ändert sich von Mal zu Mal). Gemeldet wird ein Schädling namens TR/Crypt.ZPACK.genx bzw TR/Crypt.XPACK.genx (genx = gen2 oder gen3).

Im Netz gibt es dazu widersprüchliche Informationen; die gehen von harmlos (= Falschmeldung von Avira) bis zum Ausspähen von Passwörtern. Ein Komplettscan des Systems hat keine Auffälligkeiten gefunden. Ich gehe daher von Ersterem aus - nämlich, dass es sich lediglich um eine zufällige Bit-Kombination handelt, auf die der Virenscanner anschlägt.

Was mich jetzt interessiert: WER genau legt diese *.tmp Dateien überhaupt an? Aus dem Netz hab ich mir mal ein Programm namens FileSpy geholt, welches Änderungen in einem von mir ausgewählten Verzeichnis mitloggt - leider sagt es mir nicht, welches Stück Software die Änderungen vornimmt.

Kennt jemand von Euch so ein Programm, das mir sagen kann, WER diese Dateien anlegt/ändert?

[Christoph]

Hol Dir mal Malwarebytes Anti-Malware oder Spybot und scanne mit diesen, und schau was die melden.

Mit diesen beiden habe ich gute Erfahrungen gemacht.

Hast Du Spotify auf dem Rechner, das könnte der Auslöser sein, siehe:
http://www.trojaner-board.de/145696-...-trojaner.html

und ggf. http://www.avira.com/de/support-for-...tail/kbid/1251

[Satan_666]

Danke Christoph für die Informationen. Die beiden Tools kann ich ja mal laufen lassen - bin aber fast überzeugt, dass es keine Auffälligkeiten bringen wird.

Den Thread mit Spotify habe ich eh auch gefunden. Und auch weitere, die von JDownloader2 Beta als Ursache berichten. Und auch von einem Spiel ist die Rede. Wie schon geschrieben - man findet massenhaft Widersprüchliches.

Ich habe auch eine der Dateien aus der Quarantäne auf eine Website hochgeladen, welche die Date dann analysiert und das Ergebnis anzeigt. Auch die hat das Risiko als sehr gering eingestuft. Deswegen vermute ich ja eher einen irrtümlichen Fund seitens Avira.

Trotzdem würde ich gerne wissen, welches Programm diese *.tmp Dateien anlegt.

[Christoph]

Schau mal was die zwei Progis ausspucken, vielleicht ist der Auslöser dabei.

[Satan_666]

Zitat:

Zitat von Christoph

Schau mal was die zwei Progis ausspucken, vielleicht ist der Auslöser dabei.

Anti-Malware hab ich bereits beendet, hat ein wenig aufgeräumt - danach hab ich gleich nochmal gescannt und es ist noch einer rausgefallen. Einen weiteren Scan mach ich dann später nochmal.
Spybot läuft gerade das zweite Mal, der hat auch mal ordentlich sauber gemacht, hat aber ein Problem nicht beheben können (ein von mir seinerzeit umbenannter Rest von Optimizer-Pro). Das komplette Verzeichnis hab ich dann im abgesicherten Modus einfach weggeschmissen, nachdem sogar die Registry keine Spuren mehr von diesem Optimizer beinhaltet hatte. Jetzt gerade läuft der zweite Scan vom Spybot.

Und während dem ersten Scan vom Spybot ist schon wieder so eine temporäre Datei angelegt worden und der Avira hat angeschlagen. Weder Spotify noch JDownloader läuft derzeit bei mir. Und mich irritiert, dass es ja eine *.tmp Datei ist, die da angemotzt wird. Wie soll so eine Datei Schaden anrichten? Die müsste doch erstmal in den Rechner gelangen und dann dort ausgeführt werden.

Fragen über Fragen ...

[Christoph]

Danke für die Rückmeldung, ich hab heute auch im INet gesucht aber keinen Hinweis auf einen Auslöser gefunden, aber viele Hinweise, daß Avira da was fehlmotz.

[Satan_666]

Klar geb ich Feedback ... und mir ist es bei der Suche genauso ergangen.

Jetzt hab ich noch einen Verdacht ... im Task-Manager hab ich gesehen, dass 2 Prozesse von Steganos laufen und dann hab ich mich auf die Suche gemacht - da hab ich mal nach einem Verzeichnis-Verschlüsseler gesucht und eben einen von Steganos gefunden. Und dort hab ich bewusst das Häkchen rausgenommen, dass es beim Windows-Start geladen werden soll. Das scheint der komplett zu ignorieren, somit hab ich es jetzt mal gleich deinstalliert. Mal sehen, ob jetzt Ruhe herrscht ...

[Satan_666]

So - jetzt hab ich mir auch noch den ADW-Cleaner geholt und damit den letzten Rest entsorgt. Und jetzt werde ich das System mal beobachten. Ich melde mich dann spätestens in 2 oder 3 Tagen wieder, je nachdem, ob diese Datei doch nochmal angelegt wird.

Danke jedenfalls bis dahin!

[Satan_666]

Wie versprochen meine Rückmeldung: derzeit herrscht Stille, was diese Virenmeldung betrifft. Schaut also so aus, als hätte ich die Sache bereinigt.

Danke nochmal ...

[Christoph]

Gern geschehen, hoffentlich bleibt´s so.