Was ist APC74A2 in C:\inetpub\temp\appPools?

**`C:\inetpub\temp\appPools` gehört in der Regel zu IIS und ist kein normaler Benutzerordner. `APC74A2` ist sehr wahrscheinlich eine von IIS/WAS erzeugte temporäre Datei oder ein temporärer Konfigurationsname für einen Application Pool – also eher Infrastruktur als Malware.** ([learn.microsoft.com](https://learn.microsoft.com/en-us/troubleshoot/developer/webapps/iis/was-service-svchost-process-operation/understanding-identities)) ## Was der Ordner konkret macht IIS bzw. der Windows Process Activation Service legt unter `%SystemDrive%\inetpub\temp\appPools` Konfigurationsdateien für Application Pools ab. Microsoft beschreibt, dass dort Dateien wie `{AppPoolName}.config` erzeugt werden, damit der jeweilige IIS-Workerprozess mit seiner eigenen Identität auf die passende Konfiguration zugreifen kann. ([learn.microsoft.com](https://learn.microsoft.com/en-us/troubleshoot/developer/webapps/iis/was-service-svchost-process-operation/understanding-identities)) Der wichtige Punkt: Obwohl der Pfad `temp` heißt, ist das nicht einfach „beliebiger Müll zum Löschen“. Wenn du den Ordner oder seinen Inhalt unbedacht entfernst, können IIS-Anwendungspools oder abhängige Webanwendungen nicht mehr sauber starten. Das wird auch in Praxisfällen so beschrieben. ([serverfault.com](https://serverfault.com/questions/591190/deleted-deleted-temp-apppools-folder/702120)) ## Was `APC74A2` wahrscheinlich ist `APC74A2` sieht nicht nach einem normalen Programmordner aus, sondern nach einem automatisch generierten Kurz- oder Temp-Namen. Solche kryptischen Dateien tauchen in `appPools` auf, wenn IIS/WAS effektive Konfigurationen oder Hilfsdateien erzeugt. Dass der Name nicht „schön lesbar“ ist, ist dabei eher normal als verdächtig. Die Suchergebnisse zeigen genau dieses Muster: Nutzer finden dort `AP*.tmp`-Dateien oder andere automatisch erzeugte Dateien, obwohl sie den Ordner nie selbst angelegt haben. ([techcommunity.microsoft.com](https://techcommunity.microsoft.com/t5/iis-support-blog/iis-services-http-sys-w3svc-was-w3wp-oh-my/ba-p/287856)) ## Wann du misstrauisch werden solltest Verdächtig wäre es erst, wenn mindestens eines davon zutrifft: - die Datei ist **ausführbar** (`.exe`, `.dll`, `.bat`, `.ps1`) - sie liegt **nicht** unter `C:\inetpub\temp\appPools`, sondern nur ähnlich - ein unbekannter Prozess greift ständig darauf zu - auf dem System ist **gar kein IIS/WAS** aktiv, aber der Ordner füllt sich ungewöhnlich schnell Der bloße Name `APC74A2` reicht dafür nicht. ## Praktische Einordnung Wenn auf dem Rechner Websoftware, lokale Entwickler-Tools, ein Windows-Dienst mit IIS-Abhängigkeit oder Features wie WAS/IIS installiert sind, ist der Fund meist harmlos. Der häufigste Fehler ist, den Ordner wegen `temp` für entbehrlich zu halten. Genau das kann später Startprobleme verursachen. ([serverfault.com](https://serverfault.com/questions/591190/deleted-deleted-temp-apppools-folder/702120)) ## Klare Empfehlung **Nicht einfach löschen.** Wenn du prüfen willst, ob es wirklich zu IIS gehört, schau in den Windows-Features nach **Internet Information Services** bzw. **Windows Process Activation Service**. Ist das aktiv, passt der Fund sehr gut dazu. Ist beides deaktiviert und die Datei wirkt trotzdem auffällig, dann ist eher eine Prozess- oder Virenscanner-Prüfung sinnvoll als blindes Löschen.