Hallo,
seit eben meldet mein NOD32 Smart Security mehrfach, dass es möglicherweise eine Variante "Unknown Virus" gefunden habe und zwar beim Aufruf durch svchost.exe oder WerFault.exe (beide im System32 Verzeichnis). Die Dateien um die es sich handelt sind verschiedene .exe,.cab oder .dll Dateien von Programmen oder Spielen (Nero-Dateien, Photoshop DLL, Need for Speed Start-exe).
Wenn ich ein Fenster wegklicke, taucht bald das nächste auf.
Ansonsten scheint der PC normal zu laufen, nur die ständigen Funde belasten ihn.
Kann da wirklich ein Virus am Werk sein?
Das einzig besondere, was ich vor dem Auftreten der Meldungen gemacht hab, war dass ich versucht hab, eine IE6 Standalone zu starten, was aber nicht geklappt hat weil Systemdateien fehlten.
Ich vermute ja eher da hat NOD ein zu gründliches Update bekommen?

mfg

Hier noch ein Hijackthis-log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:17, on 22.05.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Windows\Explorer.EXE
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANOTIF.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\ASScrPro.exe
C:\Program Files\Synaptics\SynTP\SynAsus.exe
C:\Program Files\egui.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
D:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ASUSTeK Computer
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ASUSTeK Computer
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALuNotify.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Taskbar Shuffle] C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ASUS Security Protect Manager e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8505 bytes

Hi,
lass bitte mal eine der bemängelten Dateien bei virustotal auswerten und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

Welches Vista hast du? (Genaue Bezeichnung )

Es ist durchaus möglich, dass ein Virus deine exe,cab oder dll Dateien modifiziert hat und sich so bei dir breitmachen will.
Aber vorerst möchte ich da noch keine Progrnose stellen.

Was ist mit dem IE6 Standalone? Wofür brauchtest du den? Stammt es aus ner vertrauenswürdigen Quelle?

lg myrtille

Vista 32bit SP1

Ich werd mal schauen, wie ich die einreichen kann, schließlich blockt NOD32 das immer

Es betrifft irgendwie nur ausgewählte Dateien (8 Stück wenn ich richtig zähle) und breitet sich anscheinend nicht aus.

IE6 Standalone zum Webseiten testen, Link hatte ich aus nen Blog wo zahlreiche Leute das Tool gelobt haben, also wohl vertrauenswürdig.

Hi,
kannst du beim Upload nicht den Zugriff auf die Datei zulassen?


Wie groß ist die Standalone? Kannst du mir den Link zukommen lassen? (per PM)

lg myrtille

EDIT2: Eben nochmal Virendefinitionen aktualisiert und anscheinend meldet sich NOD32 nun nichtmehr.



Werds versuchen und den Link hab ich geschickt.

EDIT:
Hier eine Überprüfung: Virustotal. MD5: a3c1056285e8ebe8ada2a324199c5b40 Suspicious:W32/Malware!Gemini Suspicious file Virus.Win32.FileInfector.gen (suspicious)

Komisch, dass dort NOD32v2 mit selber Signaturdatenbank nichts gefunden hat (ich hab ja Smart Security 3).

Übrigens haben sich die Meldungen inzwischen gelegt, nur wenn ich irgendwie selber auf die Datei zugreife meldet sich NOD32.

Hier nochmal konkrete Fundstellen:

Zitat:

C:\Program Files\Tony Hawk's American Wasteland\Game\THAW.exe - möglicherweise Variante von Unknown Virus
C:\Program Files\VirtualBox\vboxwebsrv.exe - möglicherweise Variante von Unknown Virus
C:\Program Files\Adobe\Adobe Bridge CS3\AdobeLM_libFNP.dll - möglicherweise Variante von Unknown Virus
C:\Program Files\Adobe\Adobe Device Central CS3\AdobeLM_libFNP.dll - möglicherweise Variante von Unknown Virus
C:\Program Files\Common Files\Ahead\DSFilter\NeDVD.ax - möglicherweise Variante von Unknown Virus
C:\Program Files\EA GAMES\Need for Speed Most Wanted\speed.exe - möglicherweise Variante von Unknown Virus

Die Standalone scheint in der Tat sauber zu sein
Hast du heute schon deine NOD-Signaturen aktualisiert? Vielleicht legen sich die Meldungen ja dann

Es sieht auf jedenfall schwer nach Fehlalarm aus. Was ich mir eventuell vorstellen kann, ist das einige Systemdateien für den IE6 verändert wurden und NOD32 jetzt auf das aufrufen mit den veränderten Systemdateien reagiert.
Wenn die Meldung auch mit den aktualisierten Signaturen weiterbesteht, würde ich mich mal an NOD32 wenden und bei denen nachhaken, was du tun kannst/sollst.

Lass eventuell auch mal

Zitat:

svchost.exe oder WerFault.exe

bei virustotal auswerten.
Wurden die Dateien als du die Standalone ausgeführt hast?

lg myrtille

EDIT: Ich war wohl zu langsam
Wenn jetzt ruhe ist, dann ist ja gut

Siehe zweiter Edit, mir fällt ein Stein vom Herzen

Ja, ich aktualisiere alle 30min. Gerade eben nochmal aktualisiert, und siehe da, neue verfügbar und keine Meldung, egal was ich mit den Dateien anstelle.
Svchost und werfault waren zu keiner Zeit als verseucht angezeigt, nur als Aufrufer.

Zitat:

Ja, ich aktualisiere alle 30min. Gerade eben nochmal aktualisiert, und siehe da, neue verfügbar und keine Meldung, egal was ich mit den Dateien anstelle.

Schön zu hören.

Siehe auch mein Edit