Hallo,
seitdem ich mir das letzte Ad-Aware SE Update vom 16.7.2007 geholt habe findet das Programm auf meinem Rechner "Adware.Agent". Kurz nachdem der Schädling entdeckt wird bekomme ich immer folgende Meldung, welche mein System herunterfahren lässt.
Zitat:
Zitat von Die System-Benachrichtigung This system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT-AUTORITÄT\SYSTEM.
Windows muss neu gestart werden, da der Dienst Remoteprozessaufruf (RPC) unerwartet beendet wurde. |
Bei dem Fund handelt es sich um die
SHELL32.DLL bzw. SHELL.DLL aus dem Systemordner "C:\Windows\system32\". Meines Wissens nach sind diese DLL's aber vom Betriebssystem und somit für die Funktionalität das ganzen notwendig. Von daher steht das Herunterfahren des System eventuell nicht mit irgendeinem Schädling, sondern mit der durch Ad-Aware ausgeübten Beeinflussung dieser Datei im Zusammenhang (womöglich werden Funde/Dateien/Prozesse von Ad-Aware kurz nach der Entdeckung temporär deaktiviert, somit auch die DLL's).
Wie dem auch sei. Ich hab nachdem ich meinen Pc wieder hochgefahren habe die SHELL.dll, die shell.dll, die SHELL32.dll und die shell32.dll (man beachte die Differzenz bei der Schreibweise; es handelt sich hierbei um zwei Dateien, wobei nur die groß geschriebene Variante von Ad-Aware erkannt wird) bei Virustotal und Jotti's Malwarescan hochgeladen. Beide Scanner haben keinen einzigen Schädling entdecken können. Das gleiche gilt übrigens auch für mein AntiVir und den Spybot.
Ich habe ebenso einen Scan mit
HijackThis gemacht, doch auch dieser war für mich nicht sehr aufschlüssig. Alle dort angezeigten Prozesse sind mir bekannt, aber vielleicht findet ihr ja noch was.
Zitat:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\t77-h44\Eigene Dateien\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
|
Ist es möglich das es sich hierbei um eine Fehlmeldung von Ad-Aware SE handelt? Mehr Informationen zu diesem angeblichen Schädling konnte ich leider nicht auftreiben. Des weiteren konnte ich weder bei Lavasoft selbst, noch in deren Forum etwas über ein fehlerhaftes Update erfahren. Vielleicht habe ich ja "Glück" und wer anders steht vor dem selben Problem.