Dateien werden im Hintergrund installiert, richtig oder Virus?

    hey,


    habe folgendes:
    Ich bekam eine Meldung, dass ein Setup/Uninstall.exe ausgeführt wird, welches ich aber nicht gestartet habe und welches unter schwache Beschränkungen lief.
    Als ich dem Pfad der exe datei gefolgt bin, kam ich zu dem ort, der auf dem Bild zu sehen ist. Das Setup wurde aus dem Ordner is-OGOVV.temp gestartet. In diesem Ordner befindet sich eine .tmp ren datei. scheint sich um eine Gebäude datei zu handeln, die mit dem patch, welchen ich zum zeitpunkt der erstellung des is-ogovv.temp ordners installierte.


    Dort scheint jeden Tag, wo der computer an war, eine wmplog datei erstellt worden zu sein. ob ich nun ren spielte oder nicht.
    in der config habe ich die log auf 1 gestellt. also sollte doch nichts dergleichen erstellt sein. insbesondere doch nicht, wenn ich kein ren spiele.


    alle anderen dateien sind am 05.08.10 erstellt worden, also heute. aber ich habe gar keine gilde gespielt. und was mich auch stutzig macht, ist dass sich unter dem bild admin.bmp das profilbild meines benutzerkontos ist.


    es scheint, dass sich irgendetwas sich mit dem patch installiert hat, das nun ausgeführt wird. es könnte sich sogar um einen trojaner handeln.


    ist das absicht von euch mit dem patch und hat alles seine richtigkeit oder muss ich mir sorgen machen? ist das vllt anderen auch aufgefallen?


    wäre nett, wenn schnellstmöglich geantwortet wird, um endlich gewissheit zu haben.

    Also der Patch beinhaltet sicher keine Malware, ich prüfe das selbstverständlich vor der Lieferung zu JWD.


    Das Verhalten ansich sieht aber nicht normal aus, könnte wirklich ein Virus oä. sein. Was sagt denn dein Virenscanner dazu?

    danke für die antwort
    also mein virenscanner sagt mal (noch) nichts.
    kommt vllt noch.

    aber ist das richtig, dass der Ordner is-OGVV.tmp mit dem patch angelegt worden ist?
    denn daraus wurde die .exe datei gestartet.
    das habe ich wirklich erst seit dem herunterladen des patches.

    ich möchte euch nichts unterstellen, aber irgendwie muss das doch zusammenhängen oder?
    aber dann wäre ichauch nicht der einzigste, oder vllt ist das bisher keinen aufgefallen.....

    ich habe die da abgebildeten wmplog.sqm dateien gelöscht, ging ohne weitere probleme. aber bei jedem einschalten des coms entsteht eine neue.
    laut google werden sqm dateien von windows live messanger und operation flashpoint erstellt. keiner dieser beiden Programmen hatte ich je auf dem computer.
    und selbst diese sqm dateien heißen nicht wmplog.

    noch irgendein tipp?

    Zitat von Hamma

    Gibt viele möglichkeiten.
    Guck mal in deinen Autosatart von Windows ob da irgendwas gestartet wird was du nicht kennst.

    Lösche den Inhalt des Tempordners.

    Ich habe den Ordner net. Wo haste den denn Patch geladen?



    in dem bild kannste den pfad sehen (oben in der explorerleiste)
    ich habe lediglich den patch heruntergeladen und ihn entpackt, wie hier beschrieben, in den Gilde 2 installationsordner.
    kA ob der is-OGVV Ordner dadurch angelegt worden ist.
    komisch ist nur, dass sich in dem is-OGVV.tmp Ordner eine tmp Datei ist, die in dem Namen GLD_REN oder so ähnlich trägt.
    von daher denke ich, dass es mit dem patch zu tun hat.
    der is-OGVV Ordner wurde am 30.07. estellt. an diesem Tag habe ich den patch installiert.

    aber kann ich einfach so alles, was in dem tmp Ordner ist, löschen?
    wenn es wirklich was mit Ren zu tun, habe ich nachher ein Problem.

    Zitat von Hamma

    Du kannste den Inhalt bedenkenlos löschen. Dateien werden hier eingentlich nur "Zwischengespeichert". Dateien die gerade verwendet werden, kannst du eh nicht löschen.

    Ich empfehle dir ein Programm Namens CCCleaner. :yes:
    Ist leicht zu bedienen und räumt den Rechner auf. (löscht keine Viren)
    Es ist Wahnsinn was sich nach 2 - 3 Wochen an Datenmüll anhäuft



    thx.
    den ccleaner habe ich bereits.
    sollte den mal wieder drüber laufen lassen.

    d.h. also, wenn es eine malware wäre, ist die doch nicht im temp ordner, welcher doch geleert wird oder?
    das wäre doch sinnfrei, eine slche malware zu entwickeln.

    Wenn der Virus, maleware, etc. eine ausführbare datei ist, die beim Autostart mitlädt dann kann die nicht gelöscht werden. (laufender Prozess) Somit macht es doch sinn :).
    Der Prozess müsste beendet werden etc.


    Deswegen meine Frage ob im Autostart etwas ist was dir unbekannt vorkommt. Unter laufende Prozesse im Task Manager kannste auch mal schauen ob da was ist was dir komisch vorkommt. Wenn dein Rechner merklich langsamer geworden ist, von jetzt auf gleich, kann ich mir vorstellen das da was im Hintergrund läuft, was da nicht hingehört.

    Zitat von Hamma

    Wenn der Virus, maleware, etc. eine ausführbare datei ist, die beim Autostart mitlädt dann kann die nicht gelöscht werden. (laufender Prozess) Somit macht es doch sinn :).
    Der Prozess müsste beendet werden etc.

    Deswegen meine Frage ob im Autostart etwas ist was dir unbekannt vorkommt. Unter laufende Prozesse im Task Manager kannste auch mal schauen ob da was ist was dir komisch vorkommt. Wenn dein Rechner merklich langsamer geworden ist, von jetzt auf gleich, kann ich mir vorstellen das da was im Hintergrund läuft, was da nicht hingehört.



    also ich dem taskmanager kommt mir eig nichts komisch vor
    aber wenn ich anklicke, prozesse "aller" benutzer anzuzeigen, sehe ich nur für einen kurzen moment alle.
    der prozess "dllhost.exe", der zweimal angezeigt wird, verschwindet schnell wieder. und ich kann ihn nicht mehr angezigt bekommen, da ja angeblich alle tasks bereits angezeigt werden.

    ist das eine malware etc.?
    dllhost.exe scheint laut google keine malware zu sein oder etwas doch?

    das ist weder Maleware noch n Virus, in den win Temp Ordner legen alle Programme hre Temporären Dateien ab so wie auch dein Windows Media Player von dem die wohl stammen, SQM (Service Quality Mechanism) oder von nem anderen MS Produkt.


    Jowood oder Partnerfirmen werden wohl kaum Maleware in Ihren Patches verstecken - das gäbe einen enormen Imageschaden sonst. Von so einem Vertrauensbruch kann sich keine Firma so schnell wieder erholen ...

    Zitat von Racer



    ist das eine malware etc.?
    dllhost.exe scheint laut google keine malware zu sein oder etwas doch?


    nein ist es nicht


    Der COM+ Hostprozess steuert die Prozesse in den Internetinformationsdiensten (IIS) und wird von vielen Programmen verwendet. Er lädt z.B. die .NET-Laufzeit. Mehrere Instanzen des Prozesses "DLLhost.exe" können gleichzeitig laufen. Wichtig: Die Datei "dllhost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei dllhost.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.



    quelle: http://www.neuber.com

    Zitat von maty

    das ist weder Maleware noch n Virus, in den win Temp Ordner legen alle Programme hre Temporären Dateien ab so wie auch dein Windows Media Player von dem die wohl stammen, SQM (Service Quality Mechanism) oder von nem anderen MS Produkt.



    ja das komische ist nur, dass diese sqm dateien erst seit letzten samstag erstellt werden. davor war nichts.
    und den windows media player oder auch ein anderes ms produkt benutze ich gar nicht.

    als wenn diese sqm dateien erstellt und dort "gesammelt" werden, um infos über mein system zu sammeln.

    lad dir mal spybot search & destroy herunter und führ das tool aus. das findet sogut wie alles an malware was bekannt ist. wenn das nichts meldet, gab es wahrscheinlich auch nix.


    wenn du dennoch wissen willst, wer oder was die dateien anlegt kannst du wie folgt vorgehen:


    also den inhalt des TEMP ordners kannst du erstmal gefahrlos löschen. dort sollten nur nicht relevante dateien sein... wenn es dir beim löschen die fehlermeldung gibt, die datei wird bereits verwendet, überprüfe welcher prozess die datei verwendet (gibt paar free tools dazu). danach google nach dem prozess und du weisst gleich ob es malware ist oder nicht.


    gibt es keinen fehler und die dateien werden einfach gelöscht, legen sich aber im nachhinein wieder an, so musst du den ordner überwachen lassen. windows bietet hier leider etwas komplexe instrumente an, weswegen ich wieder zu anderen free tools rate. damit solltest du auch den prozess bekommen, der die dateien geschrieben hat.


    evt. wäre es auch nützlich im taskmanager alle laufenden prozesse zu überprüfen, auch sollte man einmal alle aktiven dienste checken, sowie sämtliche autostart möglichkeiten (ordner autostart + registry).


    am einfachsten wäre es du fragst nen freund der sich etwas auskennt ob er das mal kurz für dich checken kann. eine anleitung für laien zu schreiben ist leider sehr sehr aufwändig und kaum zielführend, weil es einfach 1000 möglichkeiten gibt.





    EDIT: aja @mod: können wir den thread verschieben. der hat mit gilde 2 nix zu tun.