| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: W32/AlemodWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
27.07.2005, 14:36
| #1 |
 |  W32/Alemod Hallo, war lange nicht hier  und habe gleich büdde ne Frage:Ich warte mein OS (WinXP, alle Patches) sehr gewissenhaft: Mindestens einmal wöchentlich prüfe ich das System mit Kaspersky KAV Personal 5.0, Ad-Aware, Spybot und Databecker Anti-Spion 2004/2005 (alles aktuellste Versinen mit den aktuellsten Update-Definitionen). Jetzt habe ich ein Problem: Databecker Anti-Spion 2004/2005 findet W32/Alemod(Typ: Spy Registry Value, Details: PendingFileRenameOperations), siehe büdde auch folgenden Screenshot.  und dann nach dem Entfernen:  Alle anderen oben genannten Tools finden nix aufer Pladde...  Wat nu...? Ich kann W32/Alemod mit dem Programm entfernen, aber nach nem Neustart ist es wieder da (nicht immer, nur manchmal - komisch?!). Ich bitte um einen konstruktiven Hinweis. |
|
28.07.2005, 11:43
| #2 |
| | W32/Alemod Bei McAffee findet man Alemod
__________________Zusammengefaßt: Virus überschreibt Systemdateien, um Informationen zu stehlen Er kommt möglicherweise zusammen mit anderen Programmen. oleadm.dll (6,657) wird im Windows-Systemverzeichnis erstellt Der Virus kopiert %SysDir%\wininet.dll als %SysDir%\oleadm32.dll und ändert den Code Folgende Registry-Werte werden geändert/angelegt: * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "AllowProtectedRenames" = 1 * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "PendingFileRenameOperations" = \??\C:\windows\system32\oleadm32.dll !\??\C:\windows\system32\wininet.dll Nach einem Reboot, wird wininet.dll durch oleadm32.dll ersetzt. Wininet.dll wird zusammen mit Programmen gestartet, die Netzwerkaufrufe machen. Die ersetzte DLL, protokolliert diese Aufrufe und sendet das Logfile an bestimmte Internet-Adressen. Der Virus kann ausführbare Programme herunterladen und auf dem PC ausführen. Wenn es also tatsächlich dieser Virus ist, würde ich das System als kompromittiert betrachten und neu aufsetzen. Was mir zu denken gibt, ist dass Kaspersky nichts findet. Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen. Ist bei dem Data Becker Tool vielleicht die Heuristik aktiviert und produziert einen Fehl-Alarm? |
|
28.07.2005, 17:00
| #3 | |
| | W32/AlemodZitat:
Hallo ladwein et all, beim Data Becker Tool kann man nix händisch aktivieren/deaktivieren - ist wohl nur in der default-Einstellung lauffähig. Kaspersky, ad-aware, spybot..keiner findet was....aber data becker...? ...ist schon komisch.Habe gerade noch nen Scan gemacht, jetzt findet Data Becker "meinen" W32/Alemod nicht mehr; auch eine Suche nach "oleadm32.dll" blieb erfolglos. Ich muß das Problem weiter beobachten und gebe erst mal Entwarnung Danke |
|
28.07.2005, 19:04
| #4 |
| | W32/Alemod könntest hier mal dein System online Scannen lassen. Ist aber nur mit dem IE möglich. www.pandasoftware.de lg heli |
|
29.07.2005, 04:51
| #5 | |
| | W32/AlemodZitat:
Danke, der Panda-Online-Test hat nüx gefunden. Dann mal gleich hin zum Onine-test von McAfee.... ...auch der findet nüx...Ich bleibe am Ball  |
|
29.07.2005, 13:14
| #6 |
| | W32/Alemod Sieht mir inzwischen doch sehr nach einem Fehlalarm aus. Alemod ist nicht mehr so neu. Die neueste Variante dürfte Alemod.E sein. Kaspersky führt ihn unter dem Namen Trojan-Dropper.Win32.Agent.ns Er wird von Kaspersky seit dem 15. Juni 2005 erkannt und ich nehme nicht an, dass die Virendefinitionen auf deinem System älter sind. |
|
31.07.2005, 15:29
| #7 | |||
  | W32/Alemod @ladwein Zitat:
 .Zitat:
Zitat:
|
|
31.07.2005, 15:54
| #8 | ||
| | W32/AlemodZitat:
 Ich halte das Neuaufsetzen für Second Best, ist wie Surrender  Zitat:
Jau, das hört sich gut an und erklärt auch warum KAV nüx fündet. Aber ich stehe immer noch auffem Schlauch, denn Regseeker findet oleadm32.dll in HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\oleadm32.dll... Aber wo ist das auffer Pladde...? Ich müßte doch die *.dll-Datei irgendwie nach jotti.org uppen, um den Jotti-Scan durchführen zu lassen?! Vielleicht ist meine Frage zu trivial, aber ich weiß wirklich nicht die Lösung. Soll ich jetzt mit der XP-eigenen-Suche nach "oleadm32.dll" suchen? |
|
31.07.2005, 16:03
| #9 | |
| | W32/AlemodZitat:
Suche ist beendet, hat ein büsken gedauert.  Das überrascht jetzt nicht wirklich, oder? Fündig wurde die Suche im Backup von Regseeker... Habe ich "falsch" gesucht( Systemordner und versteckte Ordner wurden in die Suche einbezogen)? Danke, Lisa-Marie |
|
31.07.2005, 18:17
| #10 |
| | W32/Alemod @Lisa-Marie Bereinge Backup von Regseeker. Ich gehe davon aus, dass diese DLL wirklich weg ist. Spaßes halber könntest du noch eScan duchführen. 1.Systemwiederherstellung abschalten 2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. 3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen. 4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten. |
|
| Themen zu W32/Alemod |
| ad-aware, aktuellsten, andere, anderen, entferne, entfernen, folge, folgende, frage, gewisse, hinweis, kaspersky, komisch, lange, neustart, patches, personal, problem, programm, registry, registry value, spybot, system, tools, value, winxp |
Hybrid-Darstellung
