| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: setup40.exe im Outlook Express Ordner ein Invader?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.07.2007, 14:11
| #1 | |
 |  setup40.exe im Outlook Express Ordner ein Invader? Hey! Mein Betriebssystem: Microsoft Windows XP Professional SP2 Mein Anti-Viren Programm: Kaspersky Anti-Virus 7 Seit kurzem bekomm ich bei meiner AV ganz oft (ca. alle 10 Sekunden) die Meldung: Code:
ATTFilter Prozess C:\Programme\Outlook Express\setup40.exe (PID: 3664):
Versuch zum Eindringingen in einen anderen Prozess wurde blockiert.
Und dabei öffnet sich ein Fenster mit: Code:
ATTFilter setup40.exe hat ein Problem festgestellt und muss beendet werden.
Falls Sie Ihre Arbeit noch nicht gespeichert hatten, können Daten möglicherweise verloren gegangen sein.
Für weitere Informationen zu diesem Fehler, klicken Sie hier.
 Auf CIAC Malicious Code Hoax Warnings hab ich folgenes gelesen: Zitat:
Hier meine HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 14:52:01, on 25.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\igfxpers.exe C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\Programme\Sandboxie\Control.exe C:\Programme\Free Download Manager\fdm.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\VisualTaskTips\VisualTaskTips.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Sandboxie\SandboxieServer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Downloads\_extracted\hijackthis.zip.extracted\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/]Google R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe O4 - HKLM\..\Run: [FuzLez WheelsOfVolume] "C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: VisualTaskTips.lnk = C:\Programme\VisualTaskTips\VisualTaskTips.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{0D93ED79-7C37-4FB7-9AF5-45519CEA3ACA}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0D93ED79-7C37-4FB7-9AF5-45519CEA3ACA}: NameServer = 192.168.2.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Programme\Sandboxie\SandboxieServer.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Ich bitte um Hilfe! Langsam kann hab ich kein Bock mehr ständig dieses Fenster zu schließen! Wer ein Screenshot von den Fehlermeldungen braucht, kann bescheid sagen, dann lade ich es noch hoch... MfG Stammi94 Geändert von Stammi94 (25.07.2007 um 14:59 Uhr) |
|
25.07.2007, 14:48
| #2 |
| /// TB-Ausbilder     |  setup40.exe im Outlook Express Ordner ein Invader? Hi,
__________________habe in deinem Log jetzt nichts bedenkliches gefunden (gehe aber bitte noch hin und editiere die Links! (http->h**p)). Lade die besagte setup40.exe bitte mal bei virustotal und poste das endgültige Ergebnis mit Namen der Datei, der Dateigröße und Hashwert hier. Dann lässt sich vllt besser erkennen, was das Problem ist. lg myrtille |
|
25.07.2007, 15:11
| #3 |
| | setup40.exe im Outlook Express Ordner ein Invader? Danke für die schnelle Antwort!
__________________Links editiert, danke, hatte ich vergessen  Hier die Ergebnisse von VirusTotal: File size: 94302 bytes MD5: 73436ecc480dba951a02a27dd8765a7d SHA1: 5b23740baccd01c76996f6eef5f73ffe949a734c Ergebnisse von den AV's:  EDIT: Mir ist gerade aufgefallen, das bei "Proaktiver Schutz" bei meiner AV das steht: Code:
ATTFilter 25.07.2007 14:37:56 C:\Programme\Outlook Express\setup40.exe Aktion wurde verboten.
25.07.2007 14:38:05 C:\WINDOWS\system32\drwtsn32.exe Eindringender Prozess: C:\WINDOWS\system32\drwtsn32.exe Prozess-ID (PID): 1584 Versuch zum Eindringen in Prozess: C:\Programme\Outlook Express\setup40.exe Prozess-ID (PID): 3196
25.07.2007 14:38:05 C:\WINDOWS\system32\drwtsn32.exe Aktion wurde erlaubt (von der Untersuchung ausgeschlossen).
Die Daten von der drwtsn32.exe: File size: 96256 bytes MD5: 3c1ada3c6cd91b6b6442806dd0263660 SHA1: 7a7046f654d6502e70cc634df69e3f4dd8f03bef Kein AV-Scanner hat da einen Virus, Trojaner oder sowas stehen... Alles "no virus found". MfG Stammi94 Geändert von Stammi94 (25.07.2007 um 15:23 Uhr) |
|
25.07.2007, 15:23
| #4 |
| /// TB-Ausbilder | setup40.exe im Outlook Express Ordner ein Invader? Hi, also entweder hast du dir was ganz neues eingefangen, oder Kaspersky blockiert einen legitimen Prozess. Da ich aus dem Ergebnis weder das eine noch das andere folgern kann, würde ich dir empfehlen, die Datei mal an Kapersky zu schicken. (Dateien einsenden) Eventuell schreibst du noch einen Satz dazu, was dein Problem ist und wartest ab, ob sie in der Datei was finden. Wenn die Datei sauber zurückkommt, ist es wahrscheinlich einfach ein Outlookupdate, dass Programmdateien modifizieren will, was von Kapersky nicht zugelassen wird. Zu der Datei selber habe ich bisher auch noch nichts gefunden. lg myrtille |
|
25.07.2007, 15:27
| #5 |
| | setup40.exe im Outlook Express Ordner ein Invader? ok danke Aber ich denke nicht, das es ein Update von Outlook ist, da ich das automatische Update deaktiviert habe! Nutze kein Outlook  Ich melde mich dann, wenn ein Ergebnis von Kaspersky vorliegt! EDIT: HALT STOPP!^^ Ich hab was übersehen: Die Datei drwtsn32.exe ist anscheinend doch ein Virus!! Ergebnis von Webwasher Gateway: Win32.Malware.gen!24(suspicious) Soll ich die Date mal löschen? MfG Stammi94 |
|
25.07.2007, 15:42
| #6 | ||
| | setup40.exe im Outlook Express Ordner ein Invader? Hallo, du erinnerst dich noch ? Zitat:
Zitat:
 Google weiß da sicher mehr...  Irrlicht |
|
25.07.2007, 15:44
| #7 | ||
| | setup40.exe im Outlook Express Ordner ein Invader?Zitat:
EDIT: Zitat:
Also lieber nicht löschen^^ |
|
25.07.2007, 15:45
| #8 |
| /// TB-Ausbilder | setup40.exe im Outlook Express Ordner ein Invader? Hi, ich bin mir zwar nicht ganz sicher all deine Edits gelesen zu haben, aber zuerst mal soviel: drwtsn32.exe ist Bestandteil von Windows (erklärung) und solange sich die Datei im system32-Ordner befindet ist die Wahrscheinlichkeit sehr sehr klein, dass es sich um Malware handelt. Aber was red ich mit den Mund fusselig, da war mal wieder jemand schneller.  lg myrtille |
|
25.07.2007, 15:46
| #9 |
| | setup40.exe im Outlook Express Ordner ein Invader? Dann warte ich mal ab, was Kaspersky dazu sagt... Wie lange dauert das so ungefähr? |
|
25.07.2007, 17:27
| #10 |
| | setup40.exe im Outlook Express Ordner ein Invader? Wer es wissen will, wie lange es gedauert hat: Ca. 2 Stunden |
|
25.07.2007, 17:28
| #11 |
| /// TB-Ausbilder | setup40.exe im Outlook Express Ordner ein Invader? Dann scheint ja bei Kapersky heute nicht viel los zu sein.  Und was hat Kapersky gesagt? lg myrtille |
|
25.07.2007, 17:39
| #12 |
| | setup40.exe im Outlook Express Ordner ein Invader? Dass sie die Datei nicht bekommen haben Nachtrag: Und ich hatte ganz vergessen auf Englisch zu schreiben Der hats aber trotzdem verstanden... |
|
25.07.2007, 18:09
| #13 |
| | setup40.exe im Outlook Express Ordner ein Invader? maaaaaaaaaaaaaan! Die schreiben mir immer, dass das Archiv angeblich nicht Passwortgeschützt wäre, obwohl es Passwortgeschützt ist!!! Guckt mal bitte, ob bei euch ein Passwort ist http://stammi94.ja-nee.de/Dateien/setup40.rar |
|
25.07.2007, 18:23
| #14 |
| /// TB-Ausbilder | setup40.exe im Outlook Express Ordner ein Invader? Archiv ist nicht passwortgeschützt. Die Datei wollte ich dann allerdings nicht ausführen. Solltest du Winrar benutzen, wähle beim Passwortschutz auch die Option "dateinamen verschlüsseln", dann sollte das Passwort abgefragt werden bevor sich winrar öffnet. (Das kannst du dann ja auch einfach selbst testen )lg myrtille |
|
25.07.2007, 18:54
| #15 |
| | setup40.exe im Outlook Express Ordner ein Invader? achso, ok, danke =) Werde es jetzt nochmal verschicken Wo ich es entpacken wollte, musste man ja ein Passwort eingeben... Deswegen hab ich mich ja so gewundert^^ |
|
| Themen zu setup40.exe im Outlook Express Ordner ein Invader? |
| adobe, anti-viren programm, appinit_dlls, attention, bho, bitte um hilfe, bonjour, computer, e-mail, excel, explorer, fehler, firefox, free download, hijack, hijackthis, hijackthis log, internet, internet explorer, internet security, kaspersky, langsam, malicious code, mozilla, mozilla firefox, outlook express, problem, programm, prozess, saving, security, sekunden, software, t-online, tuneup utilities, unknown file in winsock lsp, windows, windows xp |
Linear-Darstellung
