"Wie soll dieser Dateityp geöffnet werden?"C836.tmp Datei öffnet sich alle 40sec

Hallo, ich habe mich wegen einem Problem in diesem Forum angemeldet.
Alle 40 Sekunden erscheint bei mir Folgendes:


Ich habe herausgefunden:

-Datei befindet sich im Ordnerpfad: AppData/local/Temp
-es gibt lesbare Stücke, wenn man die Datei mit dem Editor öffnet; unter anderem:

This program cannot be run in DOS mode.

VCjpeg.exe _CopyHandle@4 CreateDIB _CreateDIBPalette@8 _DIBBitCount@4 _DIBHeight@4 _DIBNumColors@4 _DIBWidth@4 _FFT@12 _FindDIBBits@4 _Fourier@16 _GetMedianNum@8 _IFFT@12 _IFourier@16 _MedianFilter@28 _PaintDIB@20 _PaletteSize@4 _ReadDIBFile@4 _SaveDIB@8 _ThresholdDIB@12

XtSoftware Adobe ImageReadyqÉe< fiTXtXML:com.adobe.xmp <?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?> <x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.5-c014 79.151481, 2013/03/13-12:09:15 "> <rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"> <rdfescription rdf:about="" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/" xmlns:stRef="http://ns.adobe.com/xap/1.0/sType/ResourceRef#" xmlns:xmp="http://ns.adobe.com/xap/1.0/" xmpMM:OriginalDocumentID="xmp.did:4500ED6D7065E411A232E1BC1B799BB6" xmpMMocumentID="xmp.did:44AB56B366F411E492A7EB6B007ACC27" xmpMM:InstanceID="xmp.iid:44AB56B266F411E492A7EB6B007ACC27" xmp:CreatorTool="Adobe Photoshop CS6 Windows)

o m p a n y N a m e F i l e Z i l l a P r o j e c t R 
F i l e D e s c r i p t i o n F i l e Z i l l a F T P C l i e n t 6 
F i l e V e r s i o n 3

Es scheint also etwas mit Adobe zu tun zu haben.


Ich habe bereits Alles, was mit Adobe zusammenhängt, gelöscht. Die .tmp Datei löschen oder die Zugriffsrechte verändern hilft leider auch nicht.
Weiß jemand wie ich vielleicht sehen kann, was diesen Öffnungsvorgang auslöst? Oder gibt es .tmp Blocker?

Brauche dringend Hilfe, da dieses Problem das Arbeiten am PC sehr erschwert (Programme minimieren sich)

Danke im Voraus,

Daniel

Wenn die Datei diese ist die du im Screenshot zeigst, dann ist es Schadsoftware: die TMP Datei ist in Warheit eine ausführbare Date (beginnt mit "MZ").

Alle Prozesse anzeigen lassen, nachsehen was komisch ist, Process Explorer z.B.

Das scheint eigentlich eine ausführbare Datei (*.exe) zu sein. Vermutlich Malware. Gibt sich zwar als FileZilla aus, wird es aber vermutlich nicht sein. Du kannst sie mal auf VirusTotal hochladen.

Danke für die schnelle Antwort; habe soeben Process Explorer installiert; wo erkenne ich nun Unregelmäßigkeiten?

Da gibts keinen magischen roten Pfiel "HIER IST DER ÜBELTÄTER!".
Wenn du so was nicht selber erkennen kannst: Windows Neuinstallation ist die einzigste sichere Methode.

Screenshot der Prozesse und hier posten tut es evtl. auch.

Eventuell mal Junkware Removal Tool über den PC laufen lassen.

Hier ist ein Sreenshot meiner Prozesse:

Wenn du so was nicht selber erkennen kannst: Windows Neuinstallation ist die einzigste sichere Methode.

Zum Vergrößern anklicken....

Schwachsinn, solche Sprüche. Und denk mal selber nach warum.

Nach dem Screenshot - vielleicht stimmt das mit dem Plattmachen doch… Wenn nämlich schon Avira unterwandert worden sein könnte (meine Fresse, wie weit sich das Schirmdings übers System verteilt..!! - Ich musste einfach nachsehen… Avast taucht da genau nur einmal auf!)

Theoretisch kann das FileZilla sein. Wenn es (aber doch) MalWare sein sollte - und alles in TEMP gilt als Müll wenn man nicht weiß, dass gerade etwas temporär abläuft - dann lösch das Ding. Taucht es von selbst wieder auf weißt du was die Glocke geschlagen hat: Pfui! und ein durchbrochener Virenschild.

CN8

cumulonimbus8 schrieb:

Theoretisch kann das FileZilla sein. Wenn es (aber doch) MalWare sein sollte - und alles in TEMP gilt als Müll wenn man nicht weiß, dass gerade etwas temporär abläuft - dann lösch das Ding. Taucht es von selbst wieder auf weißt du was die Glocke geschlagen hat: Pfui!

Zum Vergrößern anklicken....

Nein, aus dem einfachen Grund, dass Programme nicht von selbst starten können. Es muss immer einen anderen Prozess geben, der sie startet. Löscht man nur diese eine Datei, ist der größte Teil des Schädlings sehr wahrscheinlich noch da. Deswegen auch mein Hinweis auf VirusTotal. Ist das wirklich FileZilla, kann es auch irgendwie eine Abhängigkeit einer "etwas schlecht" programmierten Anwendung sein.

Ist Neuaufsetzen die einzige Alternative? Hab jetzt gerade Kaspersky am laufen; aber das Problem besteht immer noch.

Siehe hier: http://www.heise.de/security/meldun...a-Version-greift-Zugangsdaten-ab-2099232.html
von filezilla ist gefälschte Soft im Umlauf.
Hier wurde das Ding untersucht: https://blog.avast.com/2014/01/27/malformed-filezilla-ftp-client-with-login-stealer/
Einfach alles in dem \Temp Verzeichniß löschen. Wenn es von windows evt im abgesicherten Modus nicht geht, dann mit Linux Live CD booten und löschen. Die Virenscanner erkennen das nicht!

Nein, aus dem einfachen Grund, dass Programme nicht von selbst starten können. Es muss immer einen anderen Prozess geben, der sie startet.

Zum Vergrößern anklicken....

Kein Einspruch. FileZilla könnte als Prozess völlig normal laufen und will sich updaten was irgendworan scheitert.
Dass das eher nach Pfui! aussieht scheint mir allerdings auch so.

Ist Neuaufsetzen die einzige Alternative? Hab jetzt gerade Kaspersky am laufen; aber das Problem besteht immer noch.

Zum Vergrößern anklicken....

Wenn Kaspersky nichts findet… → Viren & Pfui!.
Es kann sein, das leider doch schon alles zu spät ist.

Einfach alles in dem \Temp Verzeichniß löschen.

Zum Vergrößern anklicken....

Ja… Aber mir deucht: zu spät.

Die Virenscanner erkennen das nicht!

Zum Vergrößern anklicken....

Wenn der überrannt wurde bzw. ›von innen‹ nicht findet ist Ende-Gelände. Selbst…

Wenn es von windows evt im abgesicherten Modus nicht geht, dann mit Linux Live CD booten und löschen.

Zum Vergrößern anklicken....

…mag nicht reichen - wie auch der in meinem Link genannte ›Scan von außen‹ - wenn die MalWare sich schon anderswo so eingenistet hat, dass sie das Kommando behält.
→ Liebe Freunde in Redmond - wo bleibt endlich wie weiland DOS unter W95, W98 ein Notbootsystem das mir vollen Zugriff (und hrgtnchml bequemen Zugriff) auf alle Autostartrampen gibt da ich ›von innen‹ nicht mehr Herr der Lage bin?

Hat die MalWare ihren Zweck erfüllt könnten selbst nominell erfolgreiche Reparaturen einen Schweizer Käse hinterlassen der nur noch durch Vernichten zu reparieren ist.
Und denke dran, der Verlust von Text, Ton, Mail, Video… tut mehr weh als der von WIN.

CN8

Danke für die Antwort. Also kann ich bedenkenlos alles im Temp Ordner löschen?
Ich bin leicht verwirrt.
Nach einer Stunde aber hört die pop-up Meldung auf... komisch. Kann das jemand erklären?

Ich will mal so sagen - ich will mir das gar nicht erklären können.

Ja, du kannst grundsätzlich alles im TEMP-Ordner löschen.
Und um das nur um seiner selbst Willen zu erwähnen: zum einen mal leert man TEMP so regelmäßig wie man die Mülltonne rausstellt oder Staub saugt. Nicht so oft, aber so regelmäßig. Zu anderen gibt es Vorschläge TEMP beim Beenden (Runterfahren) zu leeren. Das kann schief gehen wenn eine Installation ihren 2. Schritt dort aufbewahrt und dann plötzlich in der Luft hängt.

CN8