Hallo,

ich habe vor kurzem mein Pc neu aufgesetzt.
Nun war ich dabei sämtliche Treiber zu installieren und dabei hat avast ein (ich glaube) Malware erkannt, als ich den Usb Treiber von Intel installieren wollte.
Name vom Virus: owcstp16.dll
Ursprünglicher Ort: C:\WINDOWS\TEMP\~vis0000
Virus Beschreibung: Other:Malware-gen

Mein System: Windows XP, SP 3

Hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:21, on 12.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 2853 bytes
         

Ich hab den erkannten Virus zunächst mal in Quarantäne verschoben bzw. bei avast in den Container.
Was soll ich jetzt noch tun, bitte um Hilfe.

MfG arikari

Verzeihung für den Doppelpost!

Ist das etwa immer noch zu ungenau, oder warum bekomme ich keine Hilfe.
Sorry wenn ich zu aufdringlich bin!

Danke ..

Hallo Arikari,

Vermutlich handelt es sich um ein false positive. Lasse die Datei owcstp16.dll bei Virustotal.com auswerten und poste alle Ergebnisse, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen.

ciao, andreas

Danke

Nur ist das Problem, dass avast mir sagt der Virus oder diese Malware hat den Namen owcstp16.dll und ich hatte nach dem Fund diese Datei ja in den Container verschoben.

Also ich finde die Datei irgendwie nicht.

Ursprünglicher Ort sollte dieser sein, wobei die datei da am Ende wohl auch von avast bisschen abgeändert ist oder täusch ich mich da.
- C:\WINDOWS\~vis0000

Soll ich die Datei wiederherstellen und aus dem Container herausholen und dann hochladen oder was soll ich tun?

Danke

Noch was! Was ist mit diesen Dateien hier:

1. kernel32.dll , C:\WINDOWS\system32
2. winsock.dll , C:\WINDOWS\system32
3. winsock32.dll , C:\WINDOWS\system32

Diese Dateien finde ich ebenfalls im avast Viren Container unter der Kategorie "System-Dateien".
Was hat es mit den Dateien auf sich, oder sind sie harmlos, da sie ja nicht unter der Kategorie "Infizierte Dateien" sind.

Zitat:

Soll ich die Datei wiederherstellen und aus dem Container herausholen und dann hochladen

Ja. Schalte vorher den Guard von Avast aus.

ciao, andreas

Hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Datei owcstp16.dll empfangen 2009.01.07 22:46:21 (CET)
Status: Beendet
Ergebnis: 6/39 (15.38%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.0.0.73 	2009.01.07 	-
AhnLab-V3 	2009.1.8.0 	2009.01.07 	-
AntiVir 	7.9.0.45 	2009.01.07 	-
Authentium 	5.1.0.4 	2009.01.07 	-
Avast 	4.8.1281.0 	2009.01.07 	Other:Malware-gen
AVG 	8.0.0.199 	2009.01.07 	-
BitDefender 	7.2 	2009.01.07 	-
CAT-QuickHeal 	10.00 	2009.01.06 	-
ClamAV 	0.94.1 	2009.01.07 	-
Comodo 	891 	2009.01.07 	-
DrWeb 	4.44.0.09170 	2009.01.07 	-
eSafe 	7.0.17.0 	2009.01.06 	-
eTrust-Vet 	31.6.6296 	2009.01.07 	-
Ewido 	4.0 	2008.12.31 	-
F-Prot 	4.4.4.56 	2009.01.07 	-
F-Secure 	8.0.14470.0 	2009.01.07 	-
Fortinet 	3.117.0.0 	2009.01.07 	-
GData 	19 	2009.01.07 	Other:Malware-gen
Ikarus 	T3.1.1.45.0 	2009.01.07 	-
K7AntiVirus 	7.10.581 	2009.01.07 	-
Kaspersky 	7.0.0.125 	2009.01.07 	-
McAfee 	5488 	2009.01.07 	-
McAfee+Artemis 	5488 	2009.01.07 	-
Microsoft 	1.4205 	2009.01.07 	-
NOD32 	3749 	2009.01.07 	-
Norman 	5.99.02 	2009.01.07 	Smalldoor.GRT
Panda 	9.0.0.4 	2009.01.07 	Generic Backdoor
PCTools 	4.4.2.0 	2009.01.07 	Backdoor.Generic
Prevx1 	V2 	2009.01.07 	Worm
Rising 	21.11.22.00 	2009.01.07 	-
SecureWeb-Gateway 	6.7.6 	2009.01.07 	-
Sophos 	4.37.0 	2009.01.07 	-
Sunbelt 	3.2.1809.2 	2008.12.22 	-
Symantec 	10 	2009.01.07 	-
TheHacker 	6.3.1.4.211 	2009.01.07 	-
TrendMicro 	8.700.0.1004 	2009.01.07 	-
VBA32 	3.12.8.10 	2009.01.07 	-
ViRobot 	2009.1.7.1548 	2009.01.07 	-
VirusBuster 	4.5.11.0 	2009.01.07 	-
weitere Informationen
File size: 16056 bytes
MD5...: 9dc66c2428a20d52c30d6c5e553710c0
SHA1..: 1e8c422402323544a1392f03e7d752080235db33
SHA256: 38f70b9439bbb3e87d62deeee254e8f96b7a35414c46a600cb190169fe11235c
SHA512: 69fb63da2c6f932d1a7ffd9e069481ee828880cd1c5c36bf59437774bf0cee0f
1dc7a3d297a41e02f1e3b914794a71c1c314fb5df2e7f2f8c73a88d706e0bf83
ssdeep: 192:x0h8UP11GWHHFbj2IEpY3l4jqSf3mCnju4g6jN6ZqheaQAETlwLjWoDfz7se
E0MY:+OhWHHn3lwMCq4P6K8WLO0JZEHfhw9
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (87.9%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: -
ThreatExpert info: h**p://www.threatexpert.com/report.aspx?md5=9dc66c2428a20d52c30d6c5e553710c0
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=9DC66C24B828A20D3E5200C30D6C5E00553710C0
CWSandbox info: h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9dc66c2428a20d52c30d6c5e553710c0
         

Schicke diese Datei bitte an meine Emailadresse, die ich dir per PN zugeschickt habe. Ändere die Endung von dll auf jpg, sonst kommt sie nicht an.

ciao, andreas

Definitiv Falschmeldungen. Einfach ignorieren.

ciao, andreas

Ok, ich vertrau dir mal!

Soll ich des dann mit avast löschen, oder wird die Datei anderweitig verwendet?
Oder einfach im Container belassen?

lg

Da es ein Treiber ist, benötigst du ihn oder USB kann nicht richtig funktionieren. Aktuellen Mainboardtreiber von der Herstellersite downloaden und installieren.

ciao, andreas

Den Mainboardtreiber hatt ich schon vor dem Usb Treiber installiert gehabt.
Das war's?
Dann bedank ich mich für deine Hilfe! TOP!

Gruß