Avira Support Forum

Hallo zusammen,

Rescue CD findet Adware/InstallCore.5.73virus

Was ist das?
Kann ich von der Bezeichnung Adware von etwas Werbung ausgehen?

Gefunden in einem Temp. Ordner

Kannst du den kompletten Pfad posten bitte und den Dateinamen ?

Hallo,

media/Devices/hda1/Dokumente und Einstellungen/Besitzer/Lokale Einstellungen/Temp9890609.Uninstall/Uninstall.exe

Sieht nach nem Fehlalarm aus.

Bitte die Datei über das Webformular (link in meiner Signatur) zu Avira einsenden und im Webformular Verdacht auf Fehlalarm eingeben. Die Antwort bitte posten.

Danke Nighthawk,


zusätzlich findet die Panda CD

/mnt/hda1/Dokumente und Einstellungen/Besitzer/Lokale Einstellungen/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/32/148d8660-41ff1837

Found virus :Exploit/CVE-2011-3544

Habe das bei Jottis Malwarescanner gegen geprüft . Dort ist Panda der einzige Scanner der was findet

Kannst trotzdem löschen - keine wichtige Datei.

Danke, wird gelöscht

die /Uninstall.exe habe ich bei Virus Total gegen geprüft.
9 Scanner finden etwas

AntiVir Adware/InstallCore.5.73
Antiy-AVL WebToolbar/Win32.InstallCore.gen
BitDefender Gen:Variant.Application.InstallCore.5
ClamAV W32.Adware.InstallCore
DrWeb Adware.InstallCore.40
Emsisoft Riskware.Win32.InstallCore.AMN!A2
GData Gen:Variant.Application.InstallCore.5
Kaspersky not-a-virus:HEUR:WebToolbar.Win32.InstallCore.gen
NOD32 a variant of Win32/InstallCore.Q

Kaspersky sagt schon Toolbar, das wird es sein.
Gleichzeitig habe ich die Datei an Avira gesendet

Das Avira Labor bestätigt den Fund.

MALWARE Adware/InstallCore.5.73

was fehlt ist eine genauer möglicher Schadensbericht.
Bleibt es bei einem Werbemodul das einfach gelöscht werden kann?

Quoted from "Elektro"

Bleibt es bei einem Werbemodul das einfach gelöscht werden kann?

Ja - da wird dann wohl eine dieser Toolbars zur Installation mitangeboten - aber nix gefährliches.

Mache auch mal folgendes:

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Starte den Vollständigen Suchlauf
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten

Danke für die Antwort.
Ich kenne Malwarebytes.
Bringt es etwas neue Software zu Installieren wenn der PC schon möglicherweise befallen ist?

Ich habe die neue Boot DVD vom PC-Magazin 06-2012
Da sind neben Avira Antivir noch 6 weitere Scanner die von der DVD starten können.
Den Panda und Antivir Scanner hatte ich schon ausgeführt.
Auch habe ich den Defender Offline auf dem Stick.

Soll ich von der DVD noch weitere Scanner Starten?

Das ist nix befallen - alles harmlose Adware - möchte nur mal drüberschauen was Malwarebytes an Adware noch findet .

Ok dauert bis Morgen,
Danke

Hallo, hier die Ergebnisse.


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.08.06

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Besitzer :: TOWER [Administrator]

08.05.2012 16:52:29
mbam-log-2012-05-08 (18-35-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 231816
Laufzeit: 1 Stunde(n), 31 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{65bcd620-07dd-012f-819f-073cf1b8f7c6} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\CROSSRIDER (Adware.GamePlayLab) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\Software\Crossrider|215AppVerifier (Adware.GamePlayLab) -> Daten: 05e3d12e8f81683d1b8406ab12749ece -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\System Volume Information\_restore{D2FF40D3-43C9-437B-A79E-B55C2A29412E}\RP17\A0006207.dll (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D2FF40D3-43C9-437B-A79E-B55C2A29412E}\RP17\A0006208.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D2FF40D3-43C9-437B-A79E-B55C2A29412E}\RP17\A0006211.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D2FF40D3-43C9-437B-A79E-B55C2A29412E}\RP17\A0006212.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D2FF40D3-43C9-437B-A79E-B55C2A29412E}\RP28\A0010010.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.

(Ende)

Alles entfernen lassen und dann ist es gut.

Hier noch ein paar Tipps für die Zukunft:

Rüste dein System mit Secunia und Updatechecker von Filehippo aus um immer auf dem aktuellsten Stand zu sein. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (z.B. McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware und Malwarebytes und lasse sie gelegentlich mal scannen - ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar - darauf schauen das du sie bei Programminstallationen abwählst.

Danke für die Tipps,

einige davon sind bei mir schon Standard,

Ps. beim Autorun Problem habe ich die Kostenlose Lösung von Panda USB Vaccine
Da wird einmal der Autorun am PC abgeschaltet sowie auf ausgewählten USB Sticks eine Autorun.inf verhindert.

Quoted from "Elektro"

sowie auf ausgewählten USB Sticks eine Autorun.inf verhindert.

Es wird eine "eigene" geschrieben - die nichts ausführt - aber schreibgeschützt ist - so das kein Platz mehr da ist für eine "böse"


Rajo

Hallo Rajo ,

wobei diese Lösung nur durch ein Formatieren des USB Stick schnell wieder zu beseitigen ist.
Also etwas besser wie die Bit.....er Lösung.

Das hört sich ja fast an wie der Wunsch nach der "Quadratur de Kreises". Das Tool erfüllt seine Aufgabe. Durch Formatierung lässt sich (fast) alles revidieren, schon klar..