none
Schadsoftware-Fund in ../Windows/TEMP/-Folder -> OICE.. .tmp-Datei? RRS feed

  • Frage

  • Hallo zusammen,

    wir haben sporadisch Funde von Schadsoftware im ../Windows/TEMP/-Folder.
    Bsp:  C:\Windows\Temp\OICE_0BEBC3BE-8BFB-472E-9363-457BFDD90900.0\FLTF45B.tmp.
    Kann jemand sagen wodurch diese .tmp-Dateien erstellt werden?

    Die Datei wird kurz nach dem Fund durch den AntiVirus-Scanner entfernt, wodurch der Scanner sie bereits nicht mehr desinfizieren kann.

    Auszug aus Event Eintrag:
    ---
    Object detected.

     Object name: C:\Windows\Temp\OICE_0BEBC3BE-8BFB-472E-9363-457BFDD90900.0\FLTF45B.tmp.
     Object type: N/A.
     Danger level: high.
     Certainty level: complete signature match.
     Detected object type: Trojan.
     Detected: Trojan-Downloader.JS.Agent.hhi.
     Task name: Real-time protection of files.
     User name: NT AUTHORITY\SYSTEM.
     Computer name: localhost.
     Process: ParserServer.exe.
     PID: 46192.
    ---
    Object not disinfected.

     Object name: C:\Windows\Temp\OICE_0BEBC3BE-8BFB-472E-9363-457BFDD90900.0\FLTF45B.tmp.
     Object type: N/A.
     Reason: object not found.
     Task name: Real-time protection of files.
     User name: NT AUTHORITY\SYSTEM.
     Computer name: localhost.
     Process: ParserServer.exe.
     PID: 46192.
    ---

    Über Hilfe wäre ich Dankbar.

    Viele Grüße,
    j.kellermeier

    Freitag, 2. Oktober 2015 10:02

Antworten

  • Hallo,

    da bist du wohl aus Versehen in den Exchange-Bereich gerutscht.

    Oder mit Absicht, weil es sich bei der ParserServer.exe um einen Exchange-Prozess handelt, nämlich den vom Suchindex FAST bei 2013.

    @j.: Ich würde sagen, Dein Virenscanner auf dem Exchange-Server ist nicht korrekt konfiguriert, weil die "ParserServer.exe" als Ausnahme deklariert werden soll.

    Schaust Du hier:

    https://technet.microsoft.com/de-de/library/bb332342%28v=exchg.150%29.aspx


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert j.kellermeier Montag, 5. Oktober 2015 07:10
    Freitag, 2. Oktober 2015 12:41
  • Interssiert wäre ich dennoch an der Information, wodurch diese .tmp-Datei erstellt wird - weil Schadsoftware.

    Habe ich doch geschrieben, das ist der Suchindex. Diese Dateien werden während der Indexierung erstellt.

    Das ist entweder ein false-positive (= sieht aus wie Schadsoftware, ist aber gar keine), oder es ist eine Schadsoftware, die irgendwo in den Tiefen irgendeines Postfaches liegt. Das ist aber auch ungefährlich und da Du eh nicht weißt, wo die Index-Erstellung gerade aktiv ist, findest Du da auch nicht mehr heraus.

    Viel schlimmer ist, dass der Virenscanner damit eventuell den Index beschädigt -> Ausnahme setzen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert j.kellermeier Montag, 5. Oktober 2015 12:29
    Montag, 5. Oktober 2015 07:16

Alle Antworten

  • Hallo,

    da bist du wohl aus Versehen in den Exchange-Bereich gerutscht.

    Ich würde den Hersteller der AV-Lösung dazu befragen, das handhabt jeder anders.

    Von wem ist die Software?

    Kaspersky?
    Dann hier gucken:
    http://forum.kaspersky.com/index.php?showforum=26

    ;)


    Gruß Norbert aus Bremen


    Freitag, 2. Oktober 2015 11:32
    Moderator
  • Hallo,

    da bist du wohl aus Versehen in den Exchange-Bereich gerutscht.

    Oder mit Absicht, weil es sich bei der ParserServer.exe um einen Exchange-Prozess handelt, nämlich den vom Suchindex FAST bei 2013.

    @j.: Ich würde sagen, Dein Virenscanner auf dem Exchange-Server ist nicht korrekt konfiguriert, weil die "ParserServer.exe" als Ausnahme deklariert werden soll.

    Schaust Du hier:

    https://technet.microsoft.com/de-de/library/bb332342%28v=exchg.150%29.aspx


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert j.kellermeier Montag, 5. Oktober 2015 07:10
    Freitag, 2. Oktober 2015 12:41
  • Vielen Dank für die Information, die Ausnahmen wurden nur Teilweise gesetzt.
    Ich werde das Thema mit meinen Kollegen besprechen und weitere Ausnahmen entsprechend dem Artikel setzen.

    Interssiert wäre ich dennoch an der Information, wodurch diese .tmp-Datei erstellt wird - weil Schadsoftware.

    Meine aktuelle Recherche ergab lediglich, dass beim z.B. zurückfahren von E-Mails aus einer PST auf das Exchange-Postfach, z.B. auch verseuchte Anhänge gesynct werden können und dadurch der Fehler entstehen kann (das sind aber lediglich Infos aus anderen Threads die ich zu diesem Thema gefunden habe).

    Viele Grüße aus dem Rheintal:
    j.kellermeier

    Montag, 5. Oktober 2015 07:10
  • Interssiert wäre ich dennoch an der Information, wodurch diese .tmp-Datei erstellt wird - weil Schadsoftware.

    Habe ich doch geschrieben, das ist der Suchindex. Diese Dateien werden während der Indexierung erstellt.

    Das ist entweder ein false-positive (= sieht aus wie Schadsoftware, ist aber gar keine), oder es ist eine Schadsoftware, die irgendwo in den Tiefen irgendeines Postfaches liegt. Das ist aber auch ungefährlich und da Du eh nicht weißt, wo die Index-Erstellung gerade aktiv ist, findest Du da auch nicht mehr heraus.

    Viel schlimmer ist, dass der Virenscanner damit eventuell den Index beschädigt -> Ausnahme setzen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert j.kellermeier Montag, 5. Oktober 2015 12:29
    Montag, 5. Oktober 2015 07:16
  • Vielen Dank für die Hilfe!

    DONE.
    Montag, 5. Oktober 2015 12:31