|
setup40.exe im Outlook Express Ordner ein Invader? Hey! Mein Betriebssystem: Microsoft Windows XP Professional SP2 Mein Anti-Viren Programm: Kaspersky Anti-Virus 7 Seit kurzem bekomm ich bei meiner AV ganz oft (ca. alle 10 Sekunden) die Meldung: Code: Prozess C:\Programme\Outlook Express\setup40.exe (PID: 3664):Und dabei öffnet sich ein Fenster mit: Code: setup40.exe hat ein Problem festgestellt und muss beendet werden.Auf CIAC Malicious Code Hoax Warnings hab ich folgenes gelesen: Zitat:
Hier meine HiJackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 14:52:01, on 25.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\igfxpers.exe C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\Programme\Sandboxie\Control.exe C:\Programme\Free Download Manager\fdm.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\VisualTaskTips\VisualTaskTips.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Sandboxie\SandboxieServer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Downloads\_extracted\hijackthis.zip.extracted\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/]Google R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe O4 - HKLM\..\Run: [FuzLez WheelsOfVolume] "C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: VisualTaskTips.lnk = C:\Programme\VisualTaskTips\VisualTaskTips.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{0D93ED79-7C37-4FB7-9AF5-45519CEA3ACA}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0D93ED79-7C37-4FB7-9AF5-45519CEA3ACA}: NameServer = 192.168.2.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Programme\Sandboxie\SandboxieServer.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Ich bitte um Hilfe! Langsam kann hab ich kein Bock mehr ständig dieses Fenster zu schließen! Wer ein Screenshot von den Fehlermeldungen braucht, kann bescheid sagen, dann lade ich es noch hoch... MfG Stammi94 |
Hi, habe in deinem Log jetzt nichts bedenkliches gefunden (gehe aber bitte noch hin und editiere die Links! (http->h**p)). Lade die besagte setup40.exe bitte mal bei virustotal und poste das endgültige Ergebnis mit Namen der Datei, der Dateigröße und Hashwert hier. Dann lässt sich vllt besser erkennen, was das Problem ist. lg myrtille |
Danke für die schnelle Antwort! Links editiert, danke, hatte ich vergessen :heulen: Hier die Ergebnisse von VirusTotal: File size: 94302 bytes MD5: 73436ecc480dba951a02a27dd8765a7d SHA1: 5b23740baccd01c76996f6eef5f73ffe949a734c Ergebnisse von den AV's: http://stammi94.ja-nee.de/Bilder/hc_015.jpg EDIT: Mir ist gerade aufgefallen, das bei "Proaktiver Schutz" bei meiner AV das steht: Code: 25.07.2007 14:37:56 C:\Programme\Outlook Express\setup40.exe Aktion wurde verboten.Die Daten von der drwtsn32.exe: File size: 96256 bytes MD5: 3c1ada3c6cd91b6b6442806dd0263660 SHA1: 7a7046f654d6502e70cc634df69e3f4dd8f03bef Kein AV-Scanner hat da einen Virus, Trojaner oder sowas stehen... Alles "no virus found". MfG Stammi94 |
Hi, also entweder hast du dir was ganz neues eingefangen, oder Kaspersky blockiert einen legitimen Prozess. Da ich aus dem Ergebnis weder das eine noch das andere folgern kann, würde ich dir empfehlen, die Datei mal an Kapersky zu schicken. (Dateien einsenden) Eventuell schreibst du noch einen Satz dazu, was dein Problem ist und wartest ab, ob sie in der Datei was finden. Wenn die Datei sauber zurückkommt, ist es wahrscheinlich einfach ein Outlookupdate, dass Programmdateien modifizieren will, was von Kapersky nicht zugelassen wird. Zu der Datei selber habe ich bisher auch noch nichts gefunden. lg myrtille |
ok danke Aber ich denke nicht, das es ein Update von Outlook ist, da ich das automatische Update deaktiviert habe! Nutze kein Outlook ;) Ich melde mich dann, wenn ein Ergebnis von Kaspersky vorliegt! EDIT: HALT STOPP!^^ Ich hab was übersehen: Die Datei drwtsn32.exe ist anscheinend doch ein Virus!! Ergebnis von Webwasher Gateway: Win32.Malware.gen!24(suspicious) Soll ich die Date mal löschen? MfG Stammi94 |
Hallo, du erinnerst dich noch ? Zitat:
Zitat:
Google weiß da sicher mehr...:rolleyes: Irrlicht |
Zitat:
EDIT: Zitat:
Also lieber nicht löschen^^ |
Hi, ich bin mir zwar nicht ganz sicher all deine Edits gelesen zu haben, aber zuerst mal soviel: drwtsn32.exe ist Bestandteil von Windows (erklärung) und solange sich die Datei im system32-Ordner befindet ist die Wahrscheinlichkeit sehr sehr klein, dass es sich um Malware handelt. Aber was red ich mit den Mund fusselig, da war mal wieder jemand schneller. :p lg myrtille |
Dann warte ich mal ab, was Kaspersky dazu sagt... Wie lange dauert das so ungefähr? |
Wer es wissen will, wie lange es gedauert hat: Ca. 2 Stunden |
Dann scheint ja bei Kapersky heute nicht viel los zu sein. :D Und was hat Kapersky gesagt? lg myrtille |
Dass sie die Datei nicht bekommen haben :D:D:D:D:D Nachtrag: Und ich hatte ganz vergessen auf Englisch zu schreiben :D Der hats aber trotzdem verstanden... |
maaaaaaaaaaaaaan! Die schreiben mir immer, dass das Archiv angeblich nicht Passwortgeschützt wäre, obwohl es Passwortgeschützt ist!!! Guckt mal bitte, ob bei euch ein Passwort ist http://stammi94.ja-nee.de/Dateien/setup40.rar |
Archiv ist nicht passwortgeschützt. Die Datei wollte ich dann allerdings nicht ausführen. ;) Solltest du Winrar benutzen, wähle beim Passwortschutz auch die Option "dateinamen verschlüsseln", dann sollte das Passwort abgefragt werden bevor sich winrar öffnet. (Das kannst du dann ja auch einfach selbst testen ;)) lg myrtille |
achso, ok, danke =) Werde es jetzt nochmal verschicken ;) Wo ich es entpacken wollte, musste man ja ein Passwort eingeben... Deswegen hab ich mich ja so gewundert^^ |
Hey! Hatte genau das gleich Problem! Ich habs so wegbekommen: 1.Pc heruntergefahren! 2.Abgesicherten Modus Pc gestartet! F8!^^ 3.Adminstrator ausgewählt und dann C:\Programme\Outlook Express\ öffnen. 4. Da ist die hässliche Setup40.exe und die musst du löschen! 5. Dann meldest du dich ab und logist dich mit deinem richtigen Benutzer ein. 6. Anschließend öffnest du die Suchfunktion und gibst dort: Setup40 ein. 7. Eine Datei im Windows ordner wird gefunden und die löscht du! 8. Papierkorb löschen... 9. Pc Neustarten und es müssten keine Meldungen mehr kommen. 10. Nochmal Kaspersky durchlaufen lassen ;) (zur Sicherheit) Bei mir hat er dann nichts mehr gefunden. gruß und viel glück ;) |
Hallo Krusty, was der Inhalt der Datei war wirst du nun aber nie wissen.Ebensowenig ob sie nicht doch für irgend eine Funktion gebraucht würde.... Du wirst es höchstens ahnen können,dann wenn irgend was nicht funzt... Irrlicht |
Danke @ Krusty!!! Aber ich hab es noch anders hinbekommen: 1. PC normal gestartet^^ 2. setup40.exe im Outlook Express Ordner gelöscht 3. firefox.exe im Ordner Mozilla Firefox gelöscht 4. Firefox in einen anderen Ordner installiert 5. Die firefox.exe in den Mozilla Firefox Ordner reinkopiert 6. FERTIG! Die Meldung kommt nicht mehr =) Aber trotzdem thx Krusty =) Kaspersky hat mir ja nicht geantwortet^^ Nachtrag: Ich hab mich mal erkundig, wofür dieser Ordner "Prefetch" ist, weil da ja die Datei gefunden wird... (C:\WINDOWS\Prefetch\SETUP40.EXE - 18C7D545.pf) Zitat:
Deswegen muss man die Datei auch löschen^^ WICHTIGER NACHTRAG: Bin gerade über das gestolpert: One more time: do not clean out your Prefetch folder! | Ed Bott’s Windows Expertise | !!!! MfG |
Warum musstest du die firefox.exe löschen? :eek: Ich vermute ja weiterhin nen Fehlalarm bei Kapersky und hätte dir daher nicht empfohlen, die Datei zu entfernen, da du in dem Fall allerdings scheinbar ne Outlookdatei entfernt hast und das Programm selbst nicht benutzt, wirds wohl wenig Konsequenzen haben. :) Und ja der Prefetchordner ist unser Freund und ich würde ihn nicht löschen. :D Einzelne Dateien von schadhafter Software sind allerdings zum Abschuss freigegeben. ;) (Aber trotzdem bitte nur mit wem der sich auskennt, man kann viel falsch machen.) |
jau^^ Alsooo, die Datei setup40.exe hat meine firefox.exe infiziert! Ich hab bemerkt, immer wenn ich Firefox starte, installiert sich die setup40.exe neu und die ganze Meldungen gehen wieder los! Ach, ich bin so froh, das ich es geschafft habe =) Der war echt anstregend! ^^ |
Könntest du mir bitte mal das Passwort für deine Datei geben? Ich würd sie mir doch ganz gern nochmal näher anschauen. ;) lg myrtille EDIT: Ich glaub nicht das da irgendjemanden irgendwen infiziert hat. ;) Aber solange du jetzt Ruhe hast, ist ja auch ok. ;) |
genau^^ Hmm... weiß das pass gar nicht mehr... Ich glaube das war "Kaspersky" (ohne die "") ^^ |
|
|
Du kannst sehen, was die Datei mit Deinem Rechner macht. Außer besagten Dateien und werden diverse Keys in der Registry angelegt. Daher solltest Du diese bereinigen lassen. Dafür kannst Du Regseeker verwenden. Clean the registry, alle grünen Einträge suchen, dann "Entf" Taste drücken. Bata |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board