Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ad-Aware SE erkennt "Adware.agent" (https://www.trojaner-board.de/41090-ad-aware-se-erkennt-adware-agent.html)

Lorott 19.07.2007 17:23
Ad-Aware SE erkennt "Adware.agent"
 
Hallo,

seitdem ich mir das letzte Ad-Aware SE Update vom 16.7.2007 geholt habe findet das Programm auf meinem Rechner "Adware.Agent". Kurz nachdem der Schädling entdeckt wird bekomme ich immer folgende Meldung, welche mein System herunterfahren lässt.

Zitat:
Zitat von Die System-Benachrichtigung
This system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT-AUTORITÄT\SYSTEM.

Windows muss neu gestart werden, da der Dienst Remoteprozessaufruf (RPC) unerwartet beendet wurde.
Bei dem Fund handelt es sich um die
SHELL32.DLL bzw. SHELL.DLL aus dem Systemordner "C:\Windows\system32\". Meines Wissens nach sind diese DLL's aber vom Betriebssystem und somit für die Funktionalität das ganzen notwendig. Von daher steht das Herunterfahren des System eventuell nicht mit irgendeinem Schädling, sondern mit der durch Ad-Aware ausgeübten Beeinflussung dieser Datei im Zusammenhang (womöglich werden Funde/Dateien/Prozesse von Ad-Aware kurz nach der Entdeckung temporär deaktiviert, somit auch die DLL's).

Wie dem auch sei. Ich hab nachdem ich meinen Pc wieder hochgefahren habe die SHELL.dll, die shell.dll, die SHELL32.dll und die shell32.dll (man beachte die Differzenz bei der Schreibweise; es handelt sich hierbei um zwei Dateien, wobei nur die groß geschriebene Variante von Ad-Aware erkannt wird) bei Virustotal und Jotti's Malwarescan hochgeladen. Beide Scanner haben keinen einzigen Schädling entdecken können. Das gleiche gilt übrigens auch für mein AntiVir und den Spybot.

Ich habe ebenso einen Scan mit Hijackthis gemacht, doch auch dieser war für mich nicht sehr aufschlüssig. Alle dort angezeigten Prozesse sind mir bekannt, aber vielleicht findet ihr ja noch was.
Zitat:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\t77-h44\Eigene Dateien\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Ist es möglich das es sich hierbei um eine Fehlmeldung von Ad-Aware SE handelt? Mehr Informationen zu diesem angeblichen Schädling konnte ich leider nicht auftreiben. Des weiteren konnte ich weder bei Lavasoft selbst, noch in deren Forum etwas über ein fehlerhaftes Update erfahren. Vielleicht habe ich ja "Glück" und wer anders steht vor dem selben Problem.

cosinus 19.07.2007 17:46
Zitat:
die SHELL32.dll und die shell32.dll (man beachte die Differzenz bei der Schreibweise
Windows unterscheidet im Dateisystem nicht zwischen Lower- und Uppercase, das machen m.W. nur unixoide Betriebssysteme. Es geht also unter Windows nicht, dass SHELL.DLL und shell.dll in demselben Verzeichnis liegen, unter Linux wäre das aber möglich.

Dein Logfile sieht sauber aus, allerdings fehlt der Kopf mit den Angaben über das System und Patchstand. Reich das bitte nach.

Vllt. könntest du auch mal einen Check mit eScan (MWAV) machen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131