You are not logged in.

Thursday, July 31st 2014, 11:26am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "TZs777" started this thread

Date of registration:
Jan 22nd 2010

  • Send private message

1

Friday, May 4th 2012, 11:01am

ADWARE/Adware.Gen gefunden

Hallo Zusammen,

hätte gerne kurz ein Statement ob das ungefährlich/gefährlich ist und ob die Datei noch vorhanden ist? Ich persönlich gehe mal von Werbung aus...?

Hab mir gestern über das Downloadportal von computerbase.de die Anwendung PDFCreator heruntergeladen (über sourceforge.net). Bei der Installation des Programmes erhalte ich folgende Meldung:
In der Datei 'C:\Users\XXX\AppData\Local\Temp\is-9HIS0.tmp\InstallManager.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware] gefunden.
Ausgeführte Aktion: Zugriff verweigern (1.Meldung)/Ausgeführte Aktion: Übergeben an Scanner (2.Meldung)
Statt Zugriff verweigern habe ich Details ansehen geklickt und es begann ein Systemsuchlauf, denn ich aber dann abgebrochen hatte.
Stattdessen habe ich alles vorhandene zunächst auf Updates geprüft und die 2 bekannten Suchläufe durchgeführt (hab währenddessen verschiedene Anwendungen genutzt)

Ergebnis des 1. Suchlauf:

Ende des Suchlaufs: Donnerstag, 3. Mai 2012 22:40
Benötigte Zeit: 4:15:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

31094 Verzeichnisse wurden überprüft
576598 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
576598 Dateien ohne Befall
5840 Archive wurden durchsucht
0 Warnungen
0 Hinweise
143356 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

  • "TZs777" started this thread

Date of registration:
Jan 22nd 2010

  • Send private message

2

Friday, May 4th 2012, 11:01am

Ergebnis des 2. Suchlauf mit der Anzeige der versteckten Objekte:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 4
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 5
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 6
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 7
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 8
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 11
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 12
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 15
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 16
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 17
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 18
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 19
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 20
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 21
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 22
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 23
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 30
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 31
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 32
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 33
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 34
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 35
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 36
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 37
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 38
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 39
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 40
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 41
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 42
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 43
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 44
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 45
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 46
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 47
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 48
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 49
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\File MRU\Item 50
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3368806114-1004158070-2266850250-1000\Software\Microsoft\Office\12.0\Word\Resiliency\DocumentRecovery
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil32_11_2_202_233_ActiveX.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'WPFFontCache_v0400.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'Microsoft.HomeServer.Archive.TransferService.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehsched.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSpeed.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtcmd.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'SharedServiceHost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SharedServiceHost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'SharedServiceHost.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'ProviderRegistryService.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'LANConfigSvc.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSConnectorUpdate.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'WhsMcClient.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtsvc.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSvcHost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'SharedServiceHost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'eEBSVC.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht


Ende des Suchlaufs: Freitag, 4. Mai 2012 00:50
Benötigte Zeit: 2:01:27 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
4860 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4860 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
38 Hinweise
672676 Objekte wurden beim Rootkitscan durchsucht
38 Versteckte Objekte wurden gefunden

Was meint ihr? Sollte ich der Sache noch genauer nachgehen oder handelt es sich einfach um Werbung bei der Anwendung PDFCreator und verschwindet das wieder bei Deinstallation?

3

Friday, May 4th 2012, 6:26pm

Ja es geht hier um unerwünschte Werbung - entfernen und gut ist es.

  • "TZs777" started this thread

Date of registration:
Jan 22nd 2010

  • Send private message

4

Friday, May 4th 2012, 8:54pm

@Nighthawk: Danke für die Info!

Mit Entfernen meinst Du das Programm? Denn die Datei ist ja obwohl ich nicht auf Zugriff verweigern gedrückt habe nicht mehr aufzufinden bzw. wird von Avira nicht mehr gemeldet (siehe Suchläufe), bedeutet dass das die Adware nun mit der Installation Teil der Anwendung wurde und bei Anwendungsstart geladen wird (habe die Anwendung PDFCreator aus Vorsicht noch nicht gestartet) und erst bei Deinstallation wieder entfernt wird?

5

Friday, May 4th 2012, 10:04pm

Zugriff verweigern sollte gereicht haben - im pdfcreator selbst ist es nicht enthalten.

  • "TZs777" started this thread

Date of registration:
Jan 22nd 2010

  • Send private message

6

Saturday, May 5th 2012, 2:31pm

@Nighthawk: Also ich selbst hab ja NICHT auf Zugriff verweigern, sondern auf Details ansehen gedrückt. In der Fundliste steht dann dasselbe Ereignis zuerst mit Zugriff verweigern (macht Avira das selbständig?) und danach 'an Scanner übergeben'. Da Avira die Datei nicht findet, kann wohl davon auch ausgehen das sie definiitv weg ist?!

Wie ist die Adware überhaupt auf meinen Rechner gekommen, wenn das Programm selbst keine Adware enthält? Wird das bei den Downloadportalen der Installer.Exe angefügt um damit Daten zu sammeln und dann später Werbung einzuspielen?

This post has been edited 1 times, last edit by "TZs777" (May 5th 2012, 2:43pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

7

Saturday, May 5th 2012, 3:14pm

Wie ist die Adware überhaupt auf meinen Rechner gekommen, wenn das Programm selbst keine Adware enthält? Wird das bei den Downloadportalen der Installer.Exe angefügt um damit Daten zu sammeln und dann später Werbung einzuspielen?


Ich glaube kaum das unter der GNU Adware verbreitet wird - das will mir nicht (noch) in den Kopf !
Ich vermute eher einen Fehlalarm . :P





edit:
Es Ist adware -




Die Babylon Toolbar - das weiss man leider nicht wenn es
von Chuck äh Avira gleich zu Boden gestreckt wird ehe es piep sagen kann :P

Rajo

This post has been edited 2 times, last edit by "Rajo" (May 5th 2012, 8:41pm)