Hallo,



war lange nicht hier und habe gleich büdde ne Frage:

Ich warte mein OS (WinXP, alle Patches) sehr gewissenhaft: Mindestens einmal wöchentlich prüfe ich das System mit Kaspersky KAV Personal 5.0, Ad-Aware, Spybot und Databecker Anti-Spion 2004/2005 (alles aktuellste Versinen mit den aktuellsten Update-Definitionen).

Jetzt habe ich ein Problem: Databecker Anti-Spion 2004/2005 findet W32/Alemod(Typ: Spy Registry Value, Details: PendingFileRenameOperations), siehe büdde auch folgenden Screenshot.



und dann nach dem Entfernen:



Alle anderen oben genannten Tools finden nix aufer Pladde...

Wat nu...?

Ich kann W32/Alemod mit dem Programm entfernen, aber nach nem Neustart ist es wieder da (nicht immer, nur manchmal - komisch?!).

Ich bitte um einen konstruktiven Hinweis.

Bei McAffee findet man Alemod

Zusammengefaßt:

Virus überschreibt Systemdateien, um Informationen zu stehlen
Er kommt möglicherweise zusammen mit anderen Programmen.

oleadm.dll (6,657) wird im Windows-Systemverzeichnis erstellt

Der Virus kopiert %SysDir%\wininet.dll als %SysDir%\oleadm32.dll und ändert den Code

Folgende Registry-Werte werden geändert/angelegt:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"AllowProtectedRenames" = 1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"PendingFileRenameOperations" = \??\C:\windows\system32\oleadm32.dll
!\??\C:\windows\system32\wininet.dll

Nach einem Reboot, wird wininet.dll durch oleadm32.dll ersetzt. Wininet.dll wird zusammen mit Programmen gestartet, die Netzwerkaufrufe machen. Die ersetzte DLL, protokolliert diese Aufrufe und sendet das Logfile an bestimmte Internet-Adressen. Der Virus kann ausführbare Programme herunterladen und auf dem PC ausführen.


Wenn es also tatsächlich dieser Virus ist, würde ich das System als kompromittiert betrachten und neu aufsetzen. Was mir zu denken gibt, ist dass Kaspersky nichts findet. Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen. Ist bei dem Data Becker Tool vielleicht die Heuristik aktiviert und produziert einen Fehl-Alarm?

Zitat:

Zitat von ladwein

.....Was mir zu denken gibt, ist dass Kaspersky nichts findet. Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen. Ist bei dem Data Becker Tool vielleicht die Heuristik aktiviert und produziert einen Fehl-Alarm?

Hallo ladwein et all,

beim Data Becker Tool kann man nix händisch aktivieren/deaktivieren - ist wohl nur in der default-Einstellung lauffähig.

Kaspersky, ad-aware, spybot..keiner findet was....aber data becker...? ...ist schon komisch.

Habe gerade noch nen Scan gemacht, jetzt findet Data Becker "meinen" W32/Alemod nicht mehr; auch eine Suche nach "oleadm32.dll" blieb erfolglos.

Ich muß das Problem weiter beobachten und gebe erst mal Entwarnung

Danke

könntest hier mal dein System online Scannen lassen.
Ist aber nur mit dem IE möglich.
www.pandasoftware.de
lg heli

Zitat:

Zitat von heli2005

könntest hier mal dein System online Scannen lassen.
...www.pandasoftware.de

Danke, der Panda-Online-Test hat nüx gefunden.
Dann mal gleich hin zum Onine-test von McAfee.... ...auch der findet nüx...

Ich bleibe am Ball

Sieht mir inzwischen doch sehr nach einem Fehlalarm aus. Alemod ist nicht mehr so neu. Die neueste Variante dürfte Alemod.E sein. Kaspersky führt ihn unter dem Namen Trojan-Dropper.Win32.Agent.ns
Er wird von Kaspersky seit dem 15. Juni 2005 erkannt und ich nehme nicht an, dass die Virendefinitionen auf deinem System älter sind.

Zitat:

Zitat von ladwein

.....
Er wird von Kaspersky seit dem 15. Juni 2005 erkannt und ich nehme nicht an, dass die Virendefinitionen auf deinem System älter sind.

Ne, immer ganz frische Update-Definitionen.
Aber es gibt doch auch Viren/Trojaner, die den Antivirenschutz aushebeln, sodaß sie nicht erkannt werden können.

Möchte gerne an einen Fehlalarm glauben wollen, aus verständlichen Gründen, ..mal sehen...

Hallo,

lade dir mal Regseeker und reinige damit die Registry, Haken unten links muss gesetzt sein wegen Backup. Wenn du das gemacht hast wird der Fund noch angezeigt?

Zitat:

Aber es gibt doch auch Viren/Trojaner, die den Antivirenschutz aushebeln, sodaß sie nicht erkannt werden können.

Richtig. Findet ein Virenscanner Viren, so hat man mit hoher Wahrscheinlichkeit auch welche (Fehlalarme sind eher selten), findet er keine, so heißt das nicht, dass man keine Viren im System hat. Hier sollte man auf das Systemverhalten achten: Sind keine Auffälligkeiten zu bemerken, bleibt praktisch nur zu hoffen, dass das System virenfrei ist.

Nebenbei bemerkt: So clever ist Alemod dann doch nicht.

Zitat:

Zitat von Gigamail

...[Regseeker]..

Wenn du das gemacht hast wird der Fund noch angezeigt?

Nö, findet nix.

Habe unter "Suchen" nach "oleadm32.dll" gesucht, kein Fund. Die Suche ging sogar superschnell, ganz wenige Sekunden. Gaaaaanz anders als die XP eigene Suche.

Anschließend habe ich noch die Regisrty entrümpelt, natürlich das Häkchen nicht vergessen.

Zitat:

Zitat von ladwein

.....Sind keine Auffälligkeiten zu bemerken, bleibt praktisch nur zu hoffen, dass das System virenfrei ist...

Ich habe tatsächlich keine Auffälligkeiten am Rechner, alles läuft ruhig und absolut stabil. Bin vllt. etwas paranoid, angestochen durch DataBecker...

Ich hatte heute am Samstag mal ein büsken Zeit und guggte mal ganz genau nach...ich weiß, daß ich lästig bin, aber ich brauche büdde nochmal eure Hülfe:


Zuerst scannte ich mein OS (WinXP, alle Patches) mit DataBecker 2004/2005(natürlich neueste Definition), hier der Screenshot:



"Er" fand W32/Alemod...*gäääääääääääääääääääääääääähn*

siehe Screenshot:




..jetzt könnte ich W32 löschen, aber ich will es wissen....

also suche ich mit Regseeker nach dem Übeltäter..und er wird fündig, hier das Ergebnis:




OK, jetzt mal mit KAV Personal 5.0 scannen.... o-gott---nüxxxxx



jetzt scanne ich mein OS noch mit DataBecker Maximum Protection Antivirus 2005(alles neueste Definitionen)....schaun mir mal:




Watt nu...? Bin echt ratlos und bitte um konstruktive Hinweise.


Danke

Hallo Lisa-Marie

klicke im Regseeker mal doppelt auf den Eintrag dann sollte sich die Registrierung öffnen und du solltest gleich bei dem richtigen Pfad sein. Kontrolliere mal ob dort was von der oleadm.dll steht
Dann markierst du den Eintrag und löschst ihn mit Regseeker. Führe jetzt mal folgendes aus:

Start--> Ausführen--> cmd
einzeln reinkopieren: (dann alles abkopieren, was im Editor erscheint und ins Forum posten) -->kopiere nur die Einträge der letzten 50 Tage raus


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

[OT]@ gigamail

Kannst du den Leuten nicht mal eine Batch Datei für sowas schreiben?Man,man,man... [/OT]

SCNR
BTT

Zitat:

Zitat von Gigamail

....klicke im Regseeker mal doppelt auf den Eintrag dann sollte sich die Registrierung öffnen und du solltest gleich bei dem richtigen Pfad sein. Kontrolliere mal ob dort was von der oleadm.dll steht
Dann markierst du den Eintrag und löschst ihn mit Regseeker....

Moin Giga et all,

probieren wir es mal: OK, den Schurken hamma gefunden



Jetzt Doppelklick auf den Eintrag:



Der Registrierungs-Editor öffnet also ...\Enum\FDC statt wie ich es jetzt erwartet hätte: ....\Enum\SCSI...?

also rutsche ich mal ein büsken tiefer in der Registry nach ...\Enum\SCSI



Da is aber nüxxx mit oleadm32.dll

OK, dann durchsuche ich händisch die Registry nach "oleadm32.dll" - wird nix gefunden.

Dann wieder zurück zum Regseeker, den Schurken löschen



Mit "OK" bestätigt, weg isser:



Jetzt taste ich mich mal an den zweiten Giga-Hinweis im nächsten Posting heran