ThreatFire findet C:ADSM_PData_0150

[MacLennan]

Guten Tag

ThreatFire hat bei einem Suchlauf die Versteckte Datei mit dem Namen C:\ADSM_PData_0150 als hohes Risiko erkannt. Ich möchte C:\ADSM_PData_0150 weder in Quarantäne setzen noch löschen lassen, solange ich nicht weiss, ob sie wirklich ein Risiko oder doch unbedingt nötig ist.

Mit Google konnte ich die Buchstaben-/Zahlenfolge zwar finden, aber nicht die Erklärung zur Bedeutung der Datei.

Kann mir jemand sagen, ob die genannte Datei schädlich oder nötig ist?

Mit bestem Dank und freundlichen Grüssen
MacLennan

 

[Swisstreasure]

Hallo MacLennan und herzlich Willkommen im PC-Tipp Forum

Lass die Datei bei www.virustotal.com/de prüfen und poste das Ergebnis.

Gruss Swiss

 

[MacLennan]

Hallo Swiss

Danke für die Antwort. Die Datei ist aber doch versteckt, wie soll ich sie da finden? Deinem Link zu virustotal.com bin ich gefolgt und habe gesehen, dass ich sie dort hochladen könnte.

Gruss MacLennan

 

[Gaby Salvisberg]

Hast Du im Windows-Explorer via Extras/Ordneroptionen/Ansicht alle Dateien (auch versteckte) anzeigen lassen? Siehst Du die Datei dann immer noch nicht?

Falls die Datei (oder ist es nicht eher ein Ordner?) per Rootkit versteckt wurde, dann würde ich das System plattmachen.

Und die wenigen Hinweise, die ich dazu in hauptsächlich französischsprachigen Foren gefunden habe, lassen eher auf ein Rootkit schliessen.

Hast Du eine Linux Live-CD zur Hand, wie z.B. Knoppix oder Ubuntu? Dann würde ich mal mit so einer CD aufstarten. Damit würden allfällige Windows-Rootkits nicht gestartet; und der mutmasslich per Rootkit versteckte Ordner wäre dann sichtbar. Den könntest Du per Live-CD in Ruhe anschauen und die darin liegenden Dateien an Virustotal.com hochladen.

Gaby

 

[MacLennan]

Findet auch PSMENU.EXE

Hallo

Portable Start Menu habe ich - Irrtum vorbehalten - von der PCtipp Seite heruntergeladen. Ich habe damit nur Open Office auf dem USB-Stick benutzt (auf dem Computer befindet sich kein Open Office).

ThreatFire meldet ein sehr hohes Risiko und sagt: Diese Programm versucht, sich selbst in mehrere Standorte in Ihrem Computer zu kopieren.

Weil ich PCtipp und Open Office vertraue, nehme ich dieses Risiko halt in Kauf.

Zum ursprünglichen Problem: Ich habe per Kontakt-eMail bei Virustotal gefragt, ob "C:\ADSM_PData_0150" bekannt sei, aber bisher keine Antwort bekommen.

Mit freundlichen Grüssen
MacLennan

 

[Swisstreasure]

Mac Lennan

Wieso geschickt?

Du musst sie einfach bei www.virustotal.com/de hochladen hochladen dann abwarten dann bekommst du ein Log. Dieses hier posten.

Gruss Swiss

 

[MacLennan]

Hallo Swisstreasure

Ist das Folgende ein Log? (Ich habe das Portable Start Menu meines USB-Sticks hochgeladen.)

Die Datei wurde bereits analysiert:
MD5: f5cfff06f3f31eff11e1f3ef2f50d99c
First received: 2008.07.28 14:58:57 (CET)
Datum 2008.07.28 14:58:57 (CET) [>51D]
Ergebnisse 1/35
Permalink: analisis/d24b90b52cab702edcc3ef7e948b7cf9


Hier noch das Ergebnis eines von offenbar 36 Suchprogrammen (die übrigen konnten nichts finden):

VBA32 3.12.8.5 2008.09.17 suspected of Trojan-PSW.Pinch.83 (paranoid heuristics)

Nennt man das "posten"?


C:\ADSM_PData_0150 konnte ich nicht hochladen, weil ich weder einen Ordner noch eine Datei dieses Namens finden konnte - nicht mit dem Suchfeld noch durch direktes Öffnen der Festplatte Boot C. ("Alle Dateien und Ordner anzeigen" hatte ich vorher via Extras/Ordneroptionen/Ansicht eingeschaltet.)
Die von Gaby Salvisberg freundlicherweise vorgeschlagene Übung mit der Linux-CD traue ich mir nicht zu (abgesehen davon , dass ich keine solche CD habe).

Mit freundlichen Grüssen
MacLennan

 

[Swisstreasure]

Mac Lennan

>>
Erstelle ein HiJACKThis Log und poste es hier:
Anleitung

Gruss Swiss

 

[MacLennan]

HiJackThis - Log

Lieber Swiss

Heute habe ich HiJackThis gestartet und versuche, hier die .log Datei wiederzugeben:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:05:26, on 23.09.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\ASScrPro.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\IRReceive\IRReceive.exe
C:\Program Files\ThreatFire\TFTray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\C-CHANNEL\PayPen\PayPen.exe
C:\Program Files\ArcSoft\TotalMedia 3\TMMonitor.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\C-CHANNEL\PayPen\CPenDesk.exe
C:\Program Files\C-CHANNEL\PayPen\CPenOCR.exe
C:\Users\Lukas\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\ASUSTek\ASUSDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IRReceive] "C:\Program Files\IRReceive\IRReceive.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = C:\Program Files\C-CHANNEL\OnlineUpdate\PeOnlineUpdate.exe
O4 - Global Startup: PayPen.lnk = ?
O4 - Global Startup: TMMonitor.lnk = C:\Program Files\ArcSoft\TotalMedia 3\TMMonitor.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe

--
End of file - 5972 bytes

Mit freundlichen Grüssen
MacLennan

 

[Swisstreasure]

MacLennan

Ich kann nichts verdächtiges erkennen.

Aber die fragliche Datei stammt von:
ADSM = Asus Data Security Manager utility

Hast du zwei Virenscanner aktiv? Einer ist hier zuviel. Bitte entscheide Dich für einen ansonsten kommt es zu Konflikten.

Mach folgendes:

>>
Scanne mit Antivir:
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
Nach dem Scann die Heuristik auf "mittel" zurückdrehen

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

 

[MacLennan]

Lieber Swiss

Ich bedanke mich für die letzte Antwort. Natürlich: adsm bedeutet Asus security manager (darauf hätte ich eigentlich fast selber kommen müssen).

Ich habe mit Avira Antivir nach Rootkits gesucht. Das Programm hat 11 versteckte Dateien gefunden, nämlich (in dieser Reihenfolge):

c:\program files\asus\asus data security manager\driver\x86
c:\adsm_pdata_0150\db
c:\adsm_pdata_0150
c:\program files\asus\asus data security manager\driver\x86\_avt
c:\program files\asus\asus data security manager\driver\adsn.sys
c:\adsm_pdata_0150\db\avt
c:\adsm_pdata_0150\db\ul.db
c:\adsm_pdata_0150\db\vl.db
c:\adsm_pdata_0150\_avt
c:\adsm_pdata_0150\db\si.db
c:\adsm_pdata_0150\dragwait.exe

Antivir hat diese Dateien unter Quarantäne gestellt.
Ein Anruf bei ASUS hat mir die Empfehlung eingebracht, ich solle diese Dateien dort lassen.

Ich habe wie gesagt Avira Antivir und Threatfire auf dem Computer. Eine solche Kombination wird auch empfohlen. Ein drittes Virenschutzprogramm habe ich nicht, zumindest nicht bewusst.

Wäre Malwarebytes nicht ein dritter Virenschutz? Soll ich vor dem Scan Antivir deaktivieren und lässt sich Malwarebytes nachher wieder problemlos deinstallieren?

Mit freundlichen Grüssen
MacLennan

 

[Swisstreasure]

MacLennan

Ja Malwarebytes kannst du auch drauf lassen dies läuft nicht im Hintergrund. Du hast jkedoch noch Windowsdefender als Guard ?!?

Einfach mit Malwarebytes scannen und Log posten. Wichtig, vorher noch updaten.

Gruss Swiss

 

[MacLennan]

Lieber Swiss

Meinst Du: Windows Defender / Extras / Optionen / Echtzeitschutz deaktivieren und deaktiviert lassen?

Herzliche Grüsse
MacLennan

 

[Swisstreasure]

Nein habe es nochmals angeschaut kannst es so lassen :)

Aber denke dran dass du die Dateien von ASUS nun in Quarantäne hast voN antivir. Falls du Antivir einmal löschts, sind diese Daten auch weg.

Gruss Swiss

 

[Gaby Salvisberg]

Rootkits von Asus?

Ich habe mit Avira Antivir nach Rootkits gesucht. Das Programm hat 11 versteckte Dateien gefunden, nämlich (in dieser Reihenfolge):
c:\program files\asus\asus data security manager\driver\x86
c:\adsm_pdata_0150\db
c:\adsm_pdata_0150
c:\program files\asus\asus data security manager\driver\x86\_avt
[...]

Aber die fragliche Datei stammt von:
ADSM = Asus Data Security Manager utility

Nur aus persönlicher Neugier, weil es mich etwas überrascht, dass die als Rootkit verdächtigten Files offenbar von einem Asus-Tool stammen.

Bedeutet das, dass Asus Rootkit-Technologien benutzt? Man hat schon anderen Firmen (z.B. Sony) vorgeworfen, solche Technologien zu verwenden. Auch die Nutzung des NTFS-Features ADS (Alternate Data Streams) durch Kaspersky wurde in der Security-Szene ziemlich torpediert. Und beide haben ihr Verhalten daraufhin umgestellt.

Die Vorwürfe an Sony (DRM-Rootkit) damals: Der Anwender wurde darüber nicht vorher in Kenntnis gesetzt. Und das Rootkit lässt sich von Schädlingsschreibern missbrauchen.

Falls Asus da also etwas ähnliches wie Sony macht, sollte man das vielleicht mal genauer anschauen.

Leider ist F-Secure Blacklight nicht mehr separat erhältlich. Aber es gibt noch Rootkit-Scanner von Panda, Sophos und Gmer. Was finden denn die in diesen Files?

@McLennan: Ich denke nicht, dass Asus hier etwas Böses will. Aber ich bin halt doch neugierig, ob und (falls ja) warum sie Rootkit-ähnliche Technik einsetzen :)

Noch als Erklärung in Kurzform: Ein Rootkit ist ein Stück Software, das in der Lage ist, Ordner, Dateien, Prozesse, Netzwerkverbindungen usw. im System zu verstecken. Solches wird natürlich in erster Linie gerne von Malwareschreibern eingesetzt, um die Entdeckung unerwünschter Files zu verhindern.

Gaby

 

[AR-GUS]

Blacklight Rootkitscanner von F-secure gibt es noch
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Man muss immer aufpassen,nicht alles was ein scanner findet ist auch ein Rootkit

 

[MacLennan]

Danke

Liebe Gabi Salvisberg
Lieber Swisstreasure

Ihr habt Euch sehr um mich und mein Problem gekümmert. Dafür danke ich Euch herzlich!

Die genannten Dateien werde ich bei Antivir in Quarantäne belassen und sicher gelegentlich wieder gezielt nach Rootkits suchen (wie man das tut, habe ich bei dieser Gelegenheit herausgefunden).

Mit den besten Wünschen
MacLennan