Runonce.exe = Trojaner?

Efraimstochter · 24. Oktober 2006 um 17:22

Hallo,

beim Starten meines PCs erhalte ich von AdAware immer die Meldung, daß runonce sich in die registry eintragen will. Das habe ich erstmal geblockt, da mir der Name nichts sagte.

Beim googeln bin ich dann auf runonce als Trojaner gestossen und hab sofort alle Sicherheitschecks und Virenprogramme laufen lassen: Norton, AdAware, Spybot, Hijack und McAfee - keiner hat was gefunden.
Kann es sein, daß ich gar keinen Trojaner habe sondern es sich um ,die normale" runonce.exe handelt? Wie kann ich das herausfinden?

Habe nach der Datei gesucht, zwei Einträge wurden gefunden:
runonce.exe-2803F297.pf in C:\Windows\Prefetch 20 KB
und
runonce.exe in C:\Windows\System32 14KB

Weiß jemand Rat?
Danke und Grüße
efs

drambeldier · 25. Oktober 2006 um 06:01

Moin, efs,

und
runonce.exe in C:\Windows\System32 14KB

das ist die richtige.

runonce.exe-2803F297.pf in C:\Windows\Prefetch 20 KB

Was das ist, weiß ich nicht, ich hätte vermutet, dass die Größe der Datei sich nicht ändert, wenn sie ins Prefetch geholt wird. Vergleiche mal die Eigenschaften, dort vor allem die Dateiversion.

Warum befürchtest Du, Dir einen Trojaner eingefangen zu haben? In den FAQs sind ausreichen Tipps zum Abschotten des Rechners. Erste Bauernregel: Nie als Admin surfen, sondern als Nutzer mit eingeschränkten Rechten. Klappt bei mir seit 5 Jahren ohne Firewall und ähnlichem Gedöns ))

Gruß Ralf

Richard_Spreng_0e4467 · 26. Oktober 2006 um 15:12

runonce.exe-2803F297.pf in C:\Windows\Prefetch 20 KB

Was das ist, weiß ich nicht, ich hätte vermutet, dass die
Größe der Datei sich nicht ändert, wenn sie ins Prefetch
geholt wird. Vergleiche mal die Eigenschaften, dort vor allem
die Dateiversion.

Die Cache-Datei hat keine Version und immer eine abweichende Größe (meist kleiner), es ist ja keine Kopie des Originals. Du kannst sie auch einfach löschen.

drambeldier · 26. Oktober 2006 um 17:21

Hi, Richard,

Die Cache-Datei hat keine Version und immer eine abweichende
Größe (meist kleiner), es ist ja keine Kopie des Originals.

danke, wusste ich nicht. Wie kommt sie dann dorthin, wenn sie nicht kopiert wird?

Du kannst sie auch einfach löschen.

Wer - ich?

Gruß Ralf ))

Richard_Spreng_0e4467 · 26. Oktober 2006 um 17:47

Hi, Richard,

Die Cache-Datei hat keine Version und immer eine abweichende
Größe (meist kleiner), es ist ja keine Kopie des Originals.

danke, wusste ich nicht. Wie kommt sie dann dorthin, wenn sie
nicht kopiert wird?

Die wird von Windows „erzeugt“. Genaues weiß ich nicht darüber (darf man wohl auch nicht, wie ich MS kenne), aber die Datei hat mit ihrem Namesvetter direkt nichts zu tun. Sie enthält nur Informationen, die den Aufbau des Originals im Speicher beschleunigen.

Du kannst sie auch einfach löschen.

Wer - ich?

Ja, Du auch
Ich lösche diese Dateien genauso regelmäßig, wie den TEMP-Ordner, weil ich viele Programme nur einmal jedes halbe Jahr starte und die PF-Datei nur sinnlos rumliegt. Außerdem schreibt sich auch jedes Setup, das von der Festplatte läuft, und jede „update.exe“ des Windows-Updates da hinein.