|
setup40.exe im Outlook Express Ordner ein Invader? Hey! Mein Betriebssystem: Microsoft Windows XP Professional SP2 Mein Anti-Viren Programm: Kaspersky Anti-Virus 7 Seit kurzem bekomm ich bei meiner AV ganz oft (ca. alle 10 Sekunden) die Meldung: Code: Prozess C:\Programme\Outlook Express\setup40.exe (PID: 3664):Und dabei öffnet sich ein Fenster mit: Code: setup40.exe hat ein Problem festgestellt und muss beendet werden.Auf CIAC Malicious Code Hoax Warnings hab ich folgenes gelesen: Zitat:
Hier meine HiJackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 14:52:01, on 25.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\igfxpers.exe C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\Programme\Sandboxie\Control.exe C:\Programme\Free Download Manager\fdm.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\VisualTaskTips\VisualTaskTips.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Sandboxie\SandboxieServer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Downloads\_extracted\hijackthis.zip.extracted\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/]Google R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe O4 - HKLM\..\Run: [FuzLez WheelsOfVolume] "C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: VisualTaskTips.lnk = C:\Programme\VisualTaskTips\VisualTaskTips.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{0D93ED79-7C37-4FB7-9AF5-45519CEA3ACA}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0D93ED79-7C37-4FB7-9AF5-45519CEA3ACA}: NameServer = 192.168.2.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Programme\Sandboxie\SandboxieServer.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Ich bitte um Hilfe! Langsam kann hab ich kein Bock mehr ständig dieses Fenster zu schließen! Wer ein Screenshot von den Fehlermeldungen braucht, kann bescheid sagen, dann lade ich es noch hoch... MfG Stammi94 |
Hi, habe in deinem Log jetzt nichts bedenkliches gefunden (gehe aber bitte noch hin und editiere die Links! (http->h**p)). Lade die besagte setup40.exe bitte mal bei virustotal und poste das endgültige Ergebnis mit Namen der Datei, der Dateigröße und Hashwert hier. Dann lässt sich vllt besser erkennen, was das Problem ist. lg myrtille |
Danke für die schnelle Antwort! Links editiert, danke, hatte ich vergessen :heulen: Hier die Ergebnisse von VirusTotal: File size: 94302 bytes MD5: 73436ecc480dba951a02a27dd8765a7d SHA1: 5b23740baccd01c76996f6eef5f73ffe949a734c Ergebnisse von den AV's: http://stammi94.ja-nee.de/Bilder/hc_015.jpg EDIT: Mir ist gerade aufgefallen, das bei "Proaktiver Schutz" bei meiner AV das steht: Code: 25.07.2007 14:37:56 C:\Programme\Outlook Express\setup40.exe Aktion wurde verboten.Die Daten von der drwtsn32.exe: File size: 96256 bytes MD5: 3c1ada3c6cd91b6b6442806dd0263660 SHA1: 7a7046f654d6502e70cc634df69e3f4dd8f03bef Kein AV-Scanner hat da einen Virus, Trojaner oder sowas stehen... Alles "no virus found". MfG Stammi94 |
Hi, also entweder hast du dir was ganz neues eingefangen, oder Kaspersky blockiert einen legitimen Prozess. Da ich aus dem Ergebnis weder das eine noch das andere folgern kann, würde ich dir empfehlen, die Datei mal an Kapersky zu schicken. (Dateien einsenden) Eventuell schreibst du noch einen Satz dazu, was dein Problem ist und wartest ab, ob sie in der Datei was finden. Wenn die Datei sauber zurückkommt, ist es wahrscheinlich einfach ein Outlookupdate, dass Programmdateien modifizieren will, was von Kapersky nicht zugelassen wird. Zu der Datei selber habe ich bisher auch noch nichts gefunden. lg myrtille |
ok danke Aber ich denke nicht, das es ein Update von Outlook ist, da ich das automatische Update deaktiviert habe! Nutze kein Outlook ;) Ich melde mich dann, wenn ein Ergebnis von Kaspersky vorliegt! EDIT: HALT STOPP!^^ Ich hab was übersehen: Die Datei drwtsn32.exe ist anscheinend doch ein Virus!! Ergebnis von Webwasher Gateway: Win32.Malware.gen!24(suspicious) Soll ich die Date mal löschen? MfG Stammi94 |
Hallo, du erinnerst dich noch ? Zitat:
Zitat:
Google weiß da sicher mehr...:rolleyes: Irrlicht |
Zitat:
EDIT: Zitat:
Also lieber nicht löschen^^ |
Hi, ich bin mir zwar nicht ganz sicher all deine Edits gelesen zu haben, aber zuerst mal soviel: drwtsn32.exe ist Bestandteil von Windows (erklärung) und solange sich die Datei im system32-Ordner befindet ist die Wahrscheinlichkeit sehr sehr klein, dass es sich um Malware handelt. Aber was red ich mit den Mund fusselig, da war mal wieder jemand schneller. :p lg myrtille |
Dann warte ich mal ab, was Kaspersky dazu sagt... Wie lange dauert das so ungefähr? |
Wer es wissen will, wie lange es gedauert hat: Ca. 2 Stunden |
Dann scheint ja bei Kapersky heute nicht viel los zu sein. :D Und was hat Kapersky gesagt? lg myrtille |
Dass sie die Datei nicht bekommen haben :D:D:D:D:D Nachtrag: Und ich hatte ganz vergessen auf Englisch zu schreiben :D Der hats aber trotzdem verstanden... |
maaaaaaaaaaaaaan! Die schreiben mir immer, dass das Archiv angeblich nicht Passwortgeschützt wäre, obwohl es Passwortgeschützt ist!!! Guckt mal bitte, ob bei euch ein Passwort ist http://stammi94.ja-nee.de/Dateien/setup40.rar |
Archiv ist nicht passwortgeschützt. Die Datei wollte ich dann allerdings nicht ausführen. ;) Solltest du Winrar benutzen, wähle beim Passwortschutz auch die Option "dateinamen verschlüsseln", dann sollte das Passwort abgefragt werden bevor sich winrar öffnet. (Das kannst du dann ja auch einfach selbst testen ;)) lg myrtille |
achso, ok, danke =) Werde es jetzt nochmal verschicken ;) Wo ich es entpacken wollte, musste man ja ein Passwort eingeben... Deswegen hab ich mich ja so gewundert^^ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board