Hi Leute

Nachdem ich mit meinem Umzug langsam zu einem Ende komme werde ich auch hier im Forum langsam wieder aktiv. :D

Und ich habe auch gleich ein nettes Problemchen auf meinem Arbeits-PC in der Firma :
Dort fiel mir im Taskmanager ein Prozess namens W43A9.EXE auf der einige Tage zuvor noch nicht da war und der sich auch nicht beenden läßt. Die Datei befindet sich in C:\WINNT\temp\ und hat ca. 240 KB und einen braunen Hundekopf als Icon. Weil mir das seltsam vorkam habe ich die Datei bei www.virustotal.com hochgeladen, dort sagen alle Scaner die Datei sei sauber und auch Google brachte 0 Ergebnisse zu dem Namen. HijackThis erkennt den Prozess als unbekannt, Autostarteinträge gibt es angeblich nicht.
Der Hammer kommt aber jetzt : Nach einem Neustart des PCs war der Prozess wieder da, aber die Datei hat ihren Namen geändert zu MGB994.EXE ! :O :eek:
Nach einem weiteren Neustart hies sie AI...irgendwas.exe, außer den Namen ist jeweils alles gleich.

Was in aller Welt soll das sein ?

MfG
Rooter

P.S.: Bevor jetzt die verständliche Frage nach unserem Admin kommt, der ja dafür zuständig sein sollte : Dem habe ich heute Bescheid gesagt, er meinte wenn er mal Zeit hat kuckt er es sich an... Zur Zeit ziehen bei uns zwei komplette Abteilungen hausintern um und er hat jede Menge zu tun, jetzt nach dem WE hat er die Sache sicher sowieso wieder vergessen. :mad:

lad dir datei mal hoch

Servus


Vieleicht handelt es sich ja um ein Programm was bei euch in der Firma auf dem PC sein muss.
Hast schon mal deine Kollegen gefragt, ob bei denn ihren rechnern auch sowas drauf ist ???

Naja wenn sich der Datei name immer ändert, wird google logischerweiße nix finden.Es wäre also sehr gut wenn du da irgendwie mehr rausfinden könntest.Hast schon mal geschaut was bei Programm info so drin steht ??

Auf datei rechts klicken --> Eigenschaften --> Reiter: Version bzw Datei Info

Hochladen kann ich die Datei morgen.

Also bei meinen Kollegen ist in dem Ordner keine solche exe. Die Eigenschaften der Datei aufzurufen war auch mein erster Gedanke, leider steht da gar nix drin. Habe mir die Datei auch mal mit einem Hex-Editor angesehen, einen Packheader von PEC2 oder UPX hat sie schon mal nicht, wobei es natürlich noch andere Exe-Packer gibt die evt. nicht auf den ersten Blick erkennbar sind.
Zum System: Es ist Win2000, bis auf die Updates vom November-Patchday dieser Woche ist es auf dem aktuellen Stand. Wenn ich in der Mittagspause im Internet surfe mache ich das mit Opera 9. Dabei besuche ich natürlich keine dubiosen Seiten, ist ja schliesslich am Arbeitsplatz.
Die einzige Software die ich in letzter Zeit "installiert" habe war die deutsche non-installer Version von K-Meleon 1.02, das 7z Archiv kam aber direkt von http://prdownloads.sourceforge.net so das ich da keinen Zusammenhang sehe.

MfG
Rooter

Also eine Datei die immer unter anderem Namen auftaucht ist schon mal seeeeeeeeeeeeeehr verdächtig...

So, habe die Datei (www.rooter78.de/AI454E.EX_) mal auf meinen Webspace geladen. Habe die Endung verstümmelt damit man sie nicht versehentlich ausführen kann.

MfG
Rooter

So, habe die Datei (www.rooter78.de/AI454E.EX_) mal auf meinen Webspace geladen. Habe die Endung verstümmelt damit man sie nicht versehentlich ausführen kann.

MfG
Rooter

Also NAV 2002 findet auch nix. Hast du schonmal versucht, über das Icon was rauszufinden? Ist ja jetzt doch...naja, prägnant...soll das ein Hund sein oder so?

NOD32 findet auch nichts.

C:\WINNT\temp\ und hat ca. 240 KB und einen braunen Hundekopf als Icon. Weil mir das seltsam vorkam habe ich die Datei bei www.virustotal.com hochgeladen, dort sagen alle Scaner die Datei sei sauber und auch Google brachte 0 Ergebnisse zu dem Namen.

Was in aller Welt soll das sein ?



Gib mal "Watchdog" in Google ein.

hth

Also NAV 2002 findet auch nix.
NOD32 findet auch nichts.Ähh, ja... Und wie ich oben schon schrieb finden die ca. 20 Scanner von VirusTotal.com auch nix.

@ Hobby : Meinst Du http://watchdogpc.com ? Das Icon sieht aber anders aus.

MfG
Rooter

http://www.google.de/search?q=watchdog&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a

Ähh, ja... Und wie ich oben schon schrieb finden die ca. 20 Scanner von VirusTotal.com auch nix.

@ Hobby : Meinst Du http://watchdogpc.com ? Das Icon sieht aber anders aus.

MfG
Rooter

Dein Admin beobachtet dein Surfverhalten, wenn ich mich nicht irre. Soweit ich das sehe, ist die Datei zur Systemüberwachung da.

Es ist auch möglich, daß es sich dabei um den/einen Teil einer Antivirensoftware handelt, eventuell "Trend Micro".

Auf dem PC finde ich keine watchdog.exe, somit kann es die Software von Watchdogpc.com schon mal nicht sein. Da steht auch nirgens das die ihren Namen ständig wechselt. :confused:

MfG
Rooter

das wars wohl ...

http://www.trojaner-board.de/13212-verdaechtige-exe-dateien-c-windows-temp.html

:up: für Hobby, genau das wars !!
Sobald ich den Echtzeitschutzdienst von Trendmicro beende verschwindet auch die Datei aus der Prozessliste und wenn ich ihn wieder starte erscheint sie wieder unter einem neuen Namen.

Nachdem bis vor einigen Wochen der alte aber problemlose McAfee 4.5.1 Enterprise Scanner installiert war hat ihn irgend ein Arsch durch Trendmicro ersetzt und zwar während ich im Urlaub war ! :mad: Vermutlich war es der Admin unseres anderen Standorts.

Nachdem der schrottige Scanner mir ständig dadurch auffällt das er beim einlesen mancher Verzeichnisse den kompletten Rechner für 20 sek einfriert und im Traysymbol schon seit einiger Zeit "Keine Verbindung" angezeigt wird jetzt auch noch das ! Hätten die wenigstens ihren Firmennamen in den Eigenschaften hinterlegt wäre mir (und euch) viel arbeit erspart geblieben.

Meinen Dank an alle Beteiligte für die Hilfe. :)

MfG
Rooter