Sonderbare Desktopmeldung

Seit heute erscheint auf dem Bildschirm die Meldung:

An update package is available, do you want to download it?

ja/nein

Grundsätzlich nein geklickt, da nicht weiter dazu steht wofür und von wem.

Das macht kein normales Programm.
Vermute irgend ein Spam o.ä. Programm.
Kann mir jemand sagen wie ich den Verursacher heraus bekomme.

 

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

 

--gelöscht weil: Falcon war schneller--

 

Danke Falcon37
Installiert, aber nun muss ich mich dumm stellen.
Da laufen die ganzen Prozesse, doch so richtig etwas damit anfangen kann ich nicht.
Wie auswerten?
Wahrscheinlich erfolgt erst eine Meldung wenn sich das "Programm " mal wieder meldet/downloaden will.

Habe ausserdem schon Malwarebytes Anti-Malware (auch intensiv) drüber laufen lassen - findet nichts bis auf :
Malware.Trace Registry Key HKEY_CLASSES_ROOT\WR
Mir die Registry geöffnet und nachgesehen was das eigentlich ist und
unter wr finde ich folgendes:
URL:Web-Recherche-Dokumentenanzeige-Protokoll
DefaultIcon "C:\Programme\Web-Recherche\WRShell.dll",1
shell \ open \ command
"C:\Programme\Web-Recherche\SWRGwet.exe" /wrlink:%1

Das ist aber keine Infektion sondern nach Mailaustausch mit macropool Support eine Fehlmeldung.
Macropool will sich darum kümmern.

wolf11

 

Wenn das Fenster beim nächsten Mal angezeigt wird, nutzt du den von mir markierten Button.

 

Danke mal sehen es mal wieder kommt.
Kann sein auch nur bei Neustart. Bin dann mal offline.
Bis später.

 

Der Button ist schön aber passieren tut nichts.
Das ominöse Fenster ist wieder da und lass es erst mal mit Vorsicht stehen.
Bin mit dem Button auch über / ins Fenster gegangen - nichts.
Doch das Fenster bekommt einen Rand und mehr nicht.
Wo ist der Trick.

 

Alle Prozesse duchgesehen.
Sind alle bekannt und auch die "Hersteller"

Könnte sein, dass das ein Ergebnis von diesem Thread
http://www.pcwelt.de/forum/sicherheit-viren-w-rmer-trojaner-rootkits/319272-antivirus-xp-2008-a.html
ist, indem die Herren dort es ausgeführt haben.
Hatte mal angefragt aber keine Antwort bekommen, wie sie dazu gekommen sind.

 

Wenn das Fenster einen Rand bekommt ist in der Regel der Prozess, der für das Fenster verantwortlich ist, in der Prozessliste markiert.

 

Naja. wenn Du schon selber einen Virus vermutest, dann erstell doch mal ein Hijackthis-Log.

 

Wird irgend etwas anderes sein sonst hätte Malwarebytes Anti-Malware das schon gefunden.

 

Genau das hatte ich eigentlich auch vermutet/erwartet.,
Bin aber im Moment auf einem anderen Rechner.
Melde mich heute abend noch mal.

Gruß wolf11

 

Wo nimmst Du diese Sicherheit her ?
Aber bitte, wenn du nicht willst, auch gut.

 

Aus dem Thread den ich im Link 21:38 Uhr angeführt habe. Da ging es um sonderbare Auswirkungen von antivirus xp 2008 usw.
Das war kein negieren des Angebots doch hinter einem Router, kein Besuch auf ominösen Webseiten usw. bin ich mir ziemlich sicher.
Einen kleinen Verdacht habe ich schon. Muss nun erst mal warten, ob das Fenster wieder kommt.
Habe den ProzessEplorer nebenbei laufen und "sitze" falls es startet.
HijackThis v2.0.2 ist aber trotzdem schon fertig.
Da sind nur bekannte Dinge aufgeführt.

wolf11

19:03
Jetzt erst mal hinter die Bedienung des Prozessexplores gestiegen, um auch zu einem Ergebnis zu kommen.
Bin nur drüber gefahren und da tut sich eben außer Fenstermarkierung nichts..

Aus der ProzessExplorer Hilfe:

Find Window's Process
You can highlight the process that owns a window visible on the desktop by
dragging the target-like toolbar button over the window in question.
___ - and drop off - müsste da noch stehen.___
Process Explorer will select the owning process entry in the process view.

Der Hinweis von Falcon32 war zwar gut, aber das man das "Fadenkreuz" in dem Fenster dann los lassen muss bringt erst ein Ergebnis, der den dazugehörigen Prozess im Explorer dann blau hinterlegt.
Auch als kleiner Hinweis für künftige Nutzer gedacht.
Mein spezieller Prozess war leider nocht nicht wieder dabei.

wolf11

 

Endlich wieder da.
Lag mit meiner Vermutung schon richtig.
Es handelt sich um die Updatemeldung von Notepad++

GUP: a free (LGPL) Generic Updater Don HO don.h@free.fr
Das gehört zu http://notepad-plus.sourceforge.net/de/site.htm von Notepad++

In Notepad++ unter Einstellungen / Diverses kann man den Auto-Updater deaktivieren.

Schlecht ist nur, dass in dem Updatefeldfeld kein Eintrag vorhanden ist, zu welchen Programm es gehört und so zu Missverständnissen führen kann.

Können also alle weiter ruhig schlafen.

Gruß wolf11

 

Kleiner Nachtrag zum unbezeichneten Fenster.
Mit Notepad++ arbeite ich schon lange und habe es auch als Standardanwendung für Textdateien festgelegt.
Schon seit längerem hat Notepad++ eine Meldung bei einer neuen Version als Updateinformation eingebaut und dies erschien dann im Notepadfenster.
Diesmal war es eben so, das auch ohne geöffnetes Programm die Meldung erschien und somit keine Zuordnung herzustellen war.
Auch gestern Abend klappte das Fenster nach 5 Stunden ohne geöffnetes Notepadprogramm auf, obwohl ich in der Zwischenzeit schon mehrfach mit dem Programm gearbeitet hatte oder durch anklicken von Textdaten von selbst gestartet wurde.
Es ist auf mehreren Rechnern installiert und die Updatefunktion ist abgeschaltet. Es ist zwar schön, dass das Programm ständig weiter entwickelt wird, doch inzwischen sind da so viele Funktionen hinzugekommen, die ich als reinen Texteditor nicht brauche und nicht nutze, weil es meine Möglichkeiten übersteigt.
Es ist wie mit Nero. Da sind so viele Funktionen hinzugekommen, die daraus inzwischen ein Multifunktionsprogramm gemacht haben und ich wieder zurück zu einem reinen Brennprogramm gegangen bin.
Da ich alle älteren Versionen von Notepad gespeichert habe, mir die am meisten Zusagende herausgesucht und arbeite nun damit.
Warum hier nun die Updatefunktion plötzlich wieder aktiv war und das Fenster irgendwann irgendwo erschien - ich kann es nicht beantworten.
Dabei dank Falcon37 auch endlich ein vernünftiges Prozessprogramm gefunden. Anzeigen hatte ich schon viele doch das mit der Zuordnung finden war nicht immer so einfach. Nachdem auch das Problem mit dem "Fadenkreuz" gelöst wurde, war der Rest dann einfach. Rüberziehend, fallen lassen und schon wurde der dazu gehörende Prozess im Explorer blau hinterlegt.
So die kleinen Stolpersteine, wenn man vielleicht etwas überlesen hat.

Mit welchem Versionsstand der einzelnen Programme gearbeitet wird, muss jeder für sich entscheiden.

Gruß wolf11