Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32/Alemod

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.07.2005, 14:36   #1
Lisa-Marie
 
W32/Alemod - Standard

W32/Alemod



Hallo,



war lange nicht hier und habe gleich büdde ne Frage:

Ich warte mein OS (WinXP, alle Patches) sehr gewissenhaft: Mindestens einmal wöchentlich prüfe ich das System mit Kaspersky KAV Personal 5.0, Ad-Aware, Spybot und Databecker Anti-Spion 2004/2005 (alles aktuellste Versinen mit den aktuellsten Update-Definitionen).

Jetzt habe ich ein Problem: Databecker Anti-Spion 2004/2005 findet W32/Alemod(Typ: Spy Registry Value, Details: PendingFileRenameOperations), siehe büdde auch folgenden Screenshot.



und dann nach dem Entfernen:



Alle anderen oben genannten Tools finden nix aufer Pladde...

Wat nu...?

Ich kann W32/Alemod mit dem Programm entfernen, aber nach nem Neustart ist es wieder da (nicht immer, nur manchmal - komisch?!).

Ich bitte um einen konstruktiven Hinweis.

Alt 28.07.2005, 11:43   #2
ladwein
 
W32/Alemod - Standard

W32/Alemod



Bei McAffee findet man Alemod

Zusammengefaßt:

Virus überschreibt Systemdateien, um Informationen zu stehlen
Er kommt möglicherweise zusammen mit anderen Programmen.

oleadm.dll (6,657) wird im Windows-Systemverzeichnis erstellt

Der Virus kopiert %SysDir%\wininet.dll als %SysDir%\oleadm32.dll und ändert den Code

Folgende Registry-Werte werden geändert/angelegt:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"AllowProtectedRenames" = 1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"PendingFileRenameOperations" = \??\C:\windows\system32\oleadm32.dll
!\??\C:\windows\system32\wininet.dll

Nach einem Reboot, wird wininet.dll durch oleadm32.dll ersetzt. Wininet.dll wird zusammen mit Programmen gestartet, die Netzwerkaufrufe machen. Die ersetzte DLL, protokolliert diese Aufrufe und sendet das Logfile an bestimmte Internet-Adressen. Der Virus kann ausführbare Programme herunterladen und auf dem PC ausführen.


Wenn es also tatsächlich dieser Virus ist, würde ich das System als kompromittiert betrachten und neu aufsetzen. Was mir zu denken gibt, ist dass Kaspersky nichts findet. Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen. Ist bei dem Data Becker Tool vielleicht die Heuristik aktiviert und produziert einen Fehl-Alarm?
__________________


Alt 28.07.2005, 17:00   #3
Lisa-Marie
 
W32/Alemod - Standard

W32/Alemod



Zitat:
Zitat von ladwein
.....Was mir zu denken gibt, ist dass Kaspersky nichts findet. Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen. Ist bei dem Data Becker Tool vielleicht die Heuristik aktiviert und produziert einen Fehl-Alarm?


Hallo ladwein et all,

beim Data Becker Tool kann man nix händisch aktivieren/deaktivieren - ist wohl nur in der default-Einstellung lauffähig.

Kaspersky, ad-aware, spybot..keiner findet was....aber data becker...? ...ist schon komisch.

Habe gerade noch nen Scan gemacht, jetzt findet Data Becker "meinen" W32/Alemod nicht mehr; auch eine Suche nach "oleadm32.dll" blieb erfolglos.

Ich muß das Problem weiter beobachten und gebe erst mal Entwarnung

Danke
__________________

Alt 28.07.2005, 19:04   #4
heli2005
 
W32/Alemod - Standard

W32/Alemod



könntest hier mal dein System online Scannen lassen.
Ist aber nur mit dem IE möglich.
www.pandasoftware.de
lg heli

Alt 29.07.2005, 04:51   #5
Lisa-Marie
 
W32/Alemod - Standard

W32/Alemod



Zitat:
Zitat von heli2005
könntest hier mal dein System online Scannen lassen.
...www.pandasoftware.de

Danke, der Panda-Online-Test hat nüx gefunden.
Dann mal gleich hin zum Onine-test von McAfee.... ...auch der findet nüx...

Ich bleibe am Ball


Alt 29.07.2005, 13:14   #6
ladwein
 
W32/Alemod - Standard

W32/Alemod



Sieht mir inzwischen doch sehr nach einem Fehlalarm aus. Alemod ist nicht mehr so neu. Die neueste Variante dürfte Alemod.E sein. Kaspersky führt ihn unter dem Namen Trojan-Dropper.Win32.Agent.ns
Er wird von Kaspersky seit dem 15. Juni 2005 erkannt und ich nehme nicht an, dass die Virendefinitionen auf deinem System älter sind.

Alt 31.07.2005, 15:29   #7
Rene-gad
 
W32/Alemod - Standard

W32/Alemod



@ladwein
Zitat:
Wenn es also tatsächlich dieser Virus ist, würde ich das System als kompromittiert betrachten und neu aufsetzen.
FULL ACK! Die Zeit, die Lisa-Marie schon erfolglos verbracht hat, um den Virus zu entfernen, würde für Neuaufsetzen von 3 PCs reichen .
Zitat:
Was mir zu denken gibt, ist dass Kaspersky nichts findet.
Ich vermute, die Datei selbst ist schon weg, Reg-Schlüssel blieb aber. Somit ist dein Vorschalg:
Zitat:
Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen.
sehr zu empfehlen. Nach dem Jotti-Scan wissen wir bestimmt mehr.

Alt 31.07.2005, 15:54   #8
Lisa-Marie
 
W32/Alemod - Standard

W32/Alemod



Zitat:
Zitat von Rene-gad
....FULL ACK! Die Zeit, die Lisa-Marie schon erfolglos verbracht hat, um den Virus zu entfernen, würde für Neuaufsetzen von 3 PCs reichen .
Ne....so lerne ich noch wat dazu
Ich halte das Neuaufsetzen für Second Best, ist wie Surrender


Zitat:
Zitat von Rene-gad

Ich vermute, die Datei selbst ist schon weg, Reg-Schlüssel blieb aber. Somit ist dein Vorschalg:

sehr zu empfehlen. Nach dem Jotti-Scan wissen wir bestimmt mehr.

Jau, das hört sich gut an und erklärt auch warum KAV nüx fündet.

Aber ich stehe immer noch auffem Schlauch, denn Regseeker findet oleadm32.dll in HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\oleadm32.dll...

Aber wo ist das auffer Pladde...?

Ich müßte doch die *.dll-Datei irgendwie nach jotti.org uppen, um den Jotti-Scan durchführen zu lassen?!

Vielleicht ist meine Frage zu trivial, aber ich weiß wirklich nicht die Lösung.

Soll ich jetzt mit der XP-eigenen-Suche nach "oleadm32.dll" suchen?

Alt 31.07.2005, 16:03   #9
Lisa-Marie
 
W32/Alemod - Standard

W32/Alemod



Zitat:
Zitat von Lisa-Marie
......Soll ich jetzt mit der XP-eigenen-Suche nach "oleadm32.dll" suchen?

Suche ist beendet, hat ein büsken gedauert.



Das überrascht jetzt nicht wirklich, oder?

Fündig wurde die Suche im Backup von Regseeker...

Habe ich "falsch" gesucht( Systemordner und versteckte Ordner wurden in die Suche einbezogen)?



Danke, Lisa-Marie

Alt 31.07.2005, 18:17   #10
Rene-gad
 
W32/Alemod - Standard

W32/Alemod



@Lisa-Marie
Bereinge Backup von Regseeker. Ich gehe davon aus, dass diese DLL wirklich weg ist.
Spaßes halber könntest du noch eScan duchführen.
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Antwort

Themen zu W32/Alemod
ad-aware, aktuellsten, andere, anderen, entferne, entfernen, folge, folgende, frage, gewisse, hinweis, kaspersky, komisch, lange, neustart, patches, personal, problem, programm, registry, registry value, spybot, system, tools, value, winxp





Zum Thema W32/Alemod - Hallo, war lange nicht hier und habe gleich büdde ne Frage: Ich warte mein OS (WinXP, alle Patches) sehr gewissenhaft: Mindestens einmal wöchentlich prüfe ich das System mit Kaspersky KAV - W32/Alemod...
Archiv
Du betrachtest: W32/Alemod auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.