PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Win 7 x64 - Bedenkliche Setup.exe


Geldmann3
2011-08-11, 09:20:10
Hallo, ich habe unter Windows 7 hier "E:\3a80297622f2bc41d47896" eine Setup.exe die sich laut meiner Firewall mit dem Internet verbinden möchte. Gelegentlich kopiert sie sich auch nach "E:\" doch sobald ich die Verbindung verweigere wird die Kopie wieder gelöscht.
Auf diesem Laufwerk habe ich auch noch andere Ordner mit Kryptischen Bezeichnungen in denen sich teilweise ebenfalls ausführbare Dateien mit bekannten Namen wie "mrtstub.exe" befinden.

Einerseits kenne ich diese Kryptischen Ordnerbezeichnungen von Windows-Updates. Doch auf meiner E Platte? Das Verhalten weisst für mich auf einen Virus/Trojaner hin, jedoch erkennt kein bekanntes Antivirenprogramm etwas. Beim nächsten mal werde ich mal die IP checken auf die zugegriffen werden soll.
Die Ordner sind versteckt.

Habe nun folgendes gefunden
Zitat aus Pctipp.ch (http://www.pctipp.ch/praxishilfe/kummerkasten/windowsxp/36152/kryptische_ordner.html)
Diese Verzeichnisse, mit zufälligen Buchstaben und Zahlen im Namen, werden bei einem System-Update auf dem Laufwerk erstellt, das den meisten freien Speicherplatz hat. Während dem Update werden darin Dateien temporär zwischengelagert. Im Normalfall werden diese Verzeichnisse nach dem Update automatisch gelöscht. Sollte dies nicht passiert sein, können Sie diese Ordner problemlos selbst löschen.

Das würde passen, denn mein System wollte gerade neustarten um ein Update durchzuführen. Dennoch, sicher kann ich mir nicht sein, daher werde ich den Zugriff weiterhin verweigern.

Bisher hat mein PC ja auch nie eine "Setup.exe" benötigt, um Systemupdates durchzuführen.

Gast
2011-08-11, 09:33:52
Hehe, ja von Windows kann man echt manchmal denken es wäre Malware, verhält sich ja teilweise auch so. Ich vermute aber sehr dass es unbedenklich ist da es stark nach win-komponenten klingt, deswegen kannst es löschen.

Du kannst diese setup.exe ja auch mal in einer vmware-umgebung ausführen. Dann siehst du schon was es ist ;)

Surrogat
2011-08-11, 10:07:16
bei mir erzeugt eigentlich jeder eingespielte Windows-Patch eine Anfrage in der Firewall auf Zugriff ins Internet, der natürlich immer abgeblockt wird

Warum das so ist? Keine Ahnung
Immerhin weiss ich jetzt das ich diese kryptischen Verzeichnisse löschen kann, war mir da immer unsicher.
XP legt ja bei jedem Servicepack eines dieser Verzeichnisse an, damit man im Zweifel wieder downgraden kann, aber wer will das schon :freak:

Geldmann3
2011-08-11, 10:32:34
Da es sich bei meiner E Platte im ein externes Laufwerk handelt, ist es nicht unbedingt schlau von Windows die Dateien dort auszulagern. Ich könnte es ja im nächsten Moment wieder entfernen :freak:.
Auf meiner C Platte sind außerdem noch über 600GB frei.

Gast123456
2011-08-11, 11:36:13
Kannst du dir die Eigenschaften der EXE ansehen? Eventuell ist die Datei digital signiert. Der Process Explorer von Sysinternals zeigt dies auch direkt an.

Rooter
2011-08-11, 12:20:42
Lad' sie doch mal bei VirusTotal und/oder Jotti hoch, evt. ist es ja wirklich etwas schädliches. Kann mir nicht vorstellen dass Windowsupdate externe Laufwerke für seine Zwecke heranzieht.

MfG
Rooter

Gast
2011-08-11, 13:07:44
sollte man auf jeden fall kontrollieren, ob es nicht doch etwas gefährliches sein könnte, schädlinge kopieren sich ja gerne auf wechseldatenträger ;), allerdings ist das verhalten von windows durchaus bekannt.

du kannst auch versuchen die automatischen updates zu deaktivieren und nur dann durchzuführen, wenn die externe platte nicht angeschlossen ist. dann sollten auch diese ordner nicht auftauchen. das ganze könnte ja vielleicht auch mit den wiederherstellungsfunktionen von windows zusammenhängen. möglicherweise würde es helfen diese für externe geräte zu deaktiveren (computer-eigenschaften-computerschutz)

sicher gibt es auch irgend einen weg, das verhalten von windows direkt zu steuern damit diese ordner nicht mehr angelegt werden. mich hat es bisher noch nie wirklich gestört. vieles davon wird auch mit der datenträgerbereinigung gelöscht. das könnte man ja ausprobieren, das so zu machen, dass diese ordner regelmäßig gelöscht werden, sonst sammeln sich hunterte sinnlose mbs an, ist ja aber bei deiner festplattenkapazität nicht wirklich ein problem

Gast
2011-08-11, 13:11:36
Kannst du dir die Eigenschaften der EXE ansehen? Eventuell ist die Datei digital signiert. Der Process Explorer von Sysinternals zeigt dies auch direkt an.
bei den setups von windows werden meist dateiinformationen auf rechtsklick eigenschaften-details angezeigt... (sonst könnte man die ja auch nicht mehr auseinanderhalten)

Nukem
2011-08-11, 13:39:57
http://support.microsoft.com/kb/890830/en-us -- Q21 ganz unten

starsnake
2011-08-11, 13:46:57
Ich hätte auch vermutet, dass es was mit dem MRT Tool von Microsoft zu tun hat.

Frage dazu: Wie effizient ist das MRT ?
Parallel zu MSE benutzen, oder reicht MSE aus ?

bis denne

Henning

tam tam
2011-08-11, 14:03:22
Entweder MRT oder MSE, beides gleichzeitig geht nicht. Und MSE ist der Nachfolger von MRT. MRT wiederum schlanker und weniger ressourcenfressend. Wenn letzterer Punkt egal ist würd ich immer MSE empfehlen, weil dabei auch das ganze System gegen unerlaubte Zugriffe gesichert ist.

starsnake
2011-08-11, 14:57:12
danke

Gast123456
2011-08-11, 15:42:25
MSE ist kein Nachfolger von MRT. MRT deckt nur einen ganz kleinen Ausschnitt der am weitesten verbreiteten Schädlinge ab, hat keinen Echtheitsschutz, etc. Das ist ein ganz anderer Einsatzzweck. MRT soll einmal im Monat beim Windowsupdate laufen, mehr nicht, MSE ist eine dauerhafte AV-Lösung wie Avira.

Rooter
2011-08-11, 23:05:32
Der letzte Gast hat recht und tam tam schreibt tam tam...
Das MRT scannt einmalig nach einigen aktuell weit verbreiteten Viren, MSE hat einen permanenten Hintergrundwächter.

MfG
Rooter

tam tam
2011-08-12, 21:33:57
Der letzte Gast hat recht und tam tam schreibt tam tam...


Also wenn dann eher Unsinn und nicht tam tam. ^^

Wenn Du MSE aktivierst/intsallierst, wird MRT automatisch gecancelt. Und MSE wurde nach MRT entwickelt/realisiert und hat auch die gleiche Funktion/Scanqualität von MRT implementiert. Nur daß MSE noch die zusätzliche Echtzeitüberwachung und den integrierten Zugriffsschutz hat(als Weiterentwicklung).

Verstehe nicht, warum das MSE wegen einer anderen Bezeichnung kein Nachfolger von MRT sein soll, auch wenn das MSE weitaus umfangreicher ist und so ganz nebenbei das MRT ersetzt? :confused:

Daß das MRT beim monatlichen Update einen automatischen Scan durchführt ist mir noch nie aufgefallen. Und wie gesagt, das MRT kann ich erst zuschalten/nutzen, wenn ich das MSE abschalte(eben wieder versucht, keine Chance).


Nachtrag: Laut Microsoft ist das MRT nicht der Defender, so wie ich noch bis jetzt annahm. Und demzufolge ist das MSE auch nicht als Nachfolger vom MRT zu verstehen, sondern von Microsoft Defender(ich hoffe, daß es jetzt auch so stimmt?). Und das bedeutet, daß ich mich geirrt habe(wieder was dazu gelernt). ^^

starsnake
2011-08-13, 10:20:59
okay, dann lasse ich das mrt doch wieder mit runterladen beim monatlichen Update.
Dass MRT einmalig ausgeführt wird, wenn man es per windows update mit runterlädt, steht übrigens auch in der Beschreibung in diesem Update Bildschirm.
Schön, dann konnten wir das ja abschließend klären.

bis denne
Henning