|
Plagegeister aller Art und deren Bekämpfung: Wie gefährlich ist ADSpy/Stud.A.30Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.07.2009, 19:05 | #1 |
| Wie gefährlich ist ADSpy/Stud.A.30 Liebe Forummitglieder Avira meldet folgendes: C:\WINDOWS\system32\devenumd.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Stud.A.29 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac1eb11.qua' verschoben! C:\WINDOWS\system32\mmcthext.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Stud.A.29 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaeeb19.qua' verschoben! devenumd.dll ist meines Wissens eine Systemdatei von MSOFT. Sollte ich devenumd.dll und mmcthext.dll dennoch löschen um sicherzugehen dass keine Beeinträchtigung besteht. Angenommen es ist kein Fehlalarm: Weiss jemand wie ADSPY/Stud.A.29 einzustufen ist: Eher als nervende Spyware oder als etwas gefährliches dass vertrauliche Daten (z.B. PINs) nach aussen leitet ?Genügt es die Dateien im abgesicherten Modus zu entfernen oder ist es erforderlich zu formatieren. Geändert von Jedi (08.07.2009 um 19:28 Uhr) |
08.07.2009, 19:46 | #2 |
| Wie gefährlich ist ADSpy/Stud.A.30 Hallo und
__________________1.) Lade die Dateien Code:
ATTFilter C:\WINDOWS\system32\devenumd.dll C:\WINDOWS\system32\mmcthext.dll 2.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Danach werde ich deine Fragen beantworten. ciao, andreas
__________________ |
08.07.2009, 22:45 | #3 |
| Wie gefährlich ist ADSpy/Stud.A.30 Hallo Andreas,
__________________Danke die Antwort. Habe beide Dateien hochgeladen. (Mir ist nicht ganz klar wie die Dateien einseits noch im System Ordner sind und gleichzeitig eine zugeordnete Datei im Quarantäneordner von Avira) Ich habe schon am Nachmittag einen Hijack This Log gemacht und bei Hijackthis.de automatisch analysieren lassen. Dabei wurde nichts verdächtiges angezeigt. Es wurde lediglich moniert dass ich eine alte Java Version habe. ich habe bislang nicht verdächtiges am Rechner fsetstellen können, nur eine langsamesInternet-Performance (kann aber auch andere Gründe haben) und gelegentliche Geräusche (die auch vom Windows Tierchen kommen könnten) gruss Philip |
08.07.2009, 22:53 | #4 | ||
| Wie gefährlich ist ADSpy/Stud.A.30Zitat:
Code:
ATTFilter Datei mmcshext.dll empfangen 2009.07.08 21:54:32 (UTC) Status: Beendet Ergebnis: 0/41 (0%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.18 2009.07.08 - AhnLab-V3 5.0.0.2 2009.07.08 - AntiVir 7.9.0.204 2009.07.08 - Antiy-AVL 2.0.3.1 2009.07.08 - Authentium 5.1.2.4 2009.07.08 - Avast 4.8.1335.0 2009.07.08 - AVG 8.5.0.386 2009.07.08 - BitDefender 7.2 2009.07.08 - CAT-QuickHeal 10.00 2009.07.08 - ClamAV 0.94.1 2009.07.08 - Comodo 1584 2009.07.08 - DrWeb 5.0.0.12182 2009.07.08 - eSafe 7.0.17.0 2009.07.08 - eTrust-Vet 31.6.6604 2009.07.08 - F-Prot 4.4.4.56 2009.07.08 - F-Secure 8.0.14470.0 2009.07.08 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.08 - Ikarus T3.1.1.64.0 2009.07.08 - Jiangmin 11.0.706 2009.07.08 - K7AntiVirus 7.10.787 2009.07.08 - Kaspersky 7.0.0.125 2009.07.08 - McAfee 5670 2009.07.08 - McAfee+Artemis 5670 2009.07.08 - McAfee-GW-Edition 6.8.5 2009.07.08 - Microsoft 1.4803 2009.07.08 - NOD32 4225 2009.07.08 - Norman 6.01.09 2009.07.08 - nProtect 2009.1.8.0 2009.07.08 - Panda 10.0.0.14 2009.07.08 - PCTools 4.4.2.0 2009.07.08 - Prevx 3.0 2009.07.08 - Rising 21.37.24.00 2009.07.08 - Sophos 4.43.0 2009.07.08 - Sunbelt 3.2.1858.2 2009.07.08 - Symantec 1.4.4.12 2009.07.08 - TheHacker 6.3.4.3.363 2009.07.08 - TrendMicro 8.950.0.1094 2009.07.08 - VBA32 3.12.10.7 2009.07.08 - ViRobot 2009.7.8.1824 2009.07.08 - VirusBuster 4.6.5.0 2009.07.08 - weitere Informationen File size: 61440 bytes MD5...: 58fe863562fbbb4836d1dcd074199b79 SHA1..: eeca607ace08bbcb0e723c378fc94682a4063cfb SHA256: 4904f746f508a23463c6ed5ed4ee4118fc2f23eec166773570fb029780ef9192 ssdeep: 1536:5KBSR7OgoREm4H5Gih1efcp/CW9VykWK1oJfUDQpL:5KBSR7O9T4HMG1efc p/r7WK1oJfUDc PEiD..: - TrID..: File type identification DirectShow filter (43.0%) Windows OCX File (26.3%) Win64 Executable Generic (18.2%) Win32 Executable MS Visual C++ (generic) (8.0%) Win32 Executable Generic (1.8%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xb2a0 timedatestamp.....: 0x4802bfa4 (Mon Apr 14 02:21:24 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xba95 0xbc00 6.18 b05b7675e38de196a49a4743e3f5600b .data 0xd000 0xce4 0x600 4.88 c4e09c379c4a00a47b3302ff1a4f3420 .rsrc 0xe000 0x1418 0x1600 4.75 0c1cbfda25238a5b9626458fc5c0b559 .reloc 0x10000 0x126a 0x1400 4.76 d6eb783b7f60b459e5727844c41bf7ad ( 8 imports ) > msvcrt.dll: _onexit, __dllonexit, __1type_info@@UAE@XZ, _terminate@@YAXXZ, _adjust_fdiv, _initterm, _CxxThrowException, __3@YAXPAX@Z, wcsrchr, wcschr, wcslen, _purecall, _wcsnicmp, __2@YAPAXI@Z, realloc, free, malloc, __CxxFrameHandler, _except_handler3, _callnewh > msvcp60.dll: _nothrow@std@@3Unothrow_t@1@B, __4_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV01@PBG@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, _erase@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@II@Z, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@ABV_$allocator@G@1@@Z, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ > KERNEL32.dll: Sleep, HeapFree, HeapAlloc, RaiseException, InterlockedExchange, HeapCreate, GetProcessHeap, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, CreateFileMappingW, CloseHandle, GetModuleHandleA, GetModuleHandleW, GetProcAddress, GetFileAttributesW, GetVersion, LocalFree, LocalAlloc, LoadLibraryW, GetLastError, SetLastError, GetModuleFileNameW, OutputDebugStringA, FreeLibrary, GetVersionExW, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, MultiByteToWideChar, lstrlenW, lstrcpyW, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, InterlockedDecrement, lstrcmpiW, LeaveCriticalSection, EnterCriticalSection, HeapDestroy, lstrcpynW, GetSystemDirectoryW, LoadLibraryExW, lstrcatW, DisableThreadLibraryCalls, lstrlenA, SizeofResource, LoadResource, FindResourceW, LoadLibraryA, WideCharToMultiByte, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, UnmapViewOfFile, GetFileSize, MapViewOfFile, CreateFileW > USER32.dll: CopyImage, CopyIcon, LoadImageW, CharNextW, CharPrevW, DestroyIcon > ole32.dll: CLSIDFromString, StgOpenStorage, CreateStreamOnHGlobal, StringFromCLSID, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree > OLEAUT32.dll: -, -, -, -, -, - > ADVAPI32.dll: RegEnumKeyExW, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegEnumValueW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, TraceEvent > hhsetup.dll: _AddTitle@CCollection@@QAEPAVCTitle@@PBG0000GIPAVCLocation@@PAKH0@Z, _AddFolder@CCollection@@QAEPAVCFolder@@PBGKPAKG@Z, _RemoveCollection@CCollection@@QAEKH@Z, _Close@CCollection@@QAEKXZ, _Open@CCollection@@QAEKPBG@Z, __0CCollection@@QAE@XZ, __1CCollection@@QAE@XZ, _Save@CCollection@@QAEKXZ ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer PDFiD.: - RDS...: NSRL Reference Data Set Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
10.07.2009, 05:37 | #5 |
| Wie gefährlich ist ADSpy/Stud.A.30 Habe jetzt nochmal die devenum.dll hochgeladen. Was soll ich mit der mmcshext.dll machen. LÖschen? oder kann es dann sein dass dann etwas wichtiges in Windows nicht mehr tut? Wieso meldet Antivir einerseits einen Virus im Gesamtscan, wenn man die Datei aber einzeln untersucht wird nicht gemeldet? Kann es sein dass Antivir den schädlichen Teil der Datei extrahiert hat und in die Quarantäne verschoben hat und nur der unschädliche im System32 verblieben ist? Fragen über Fragen... Gruss David |
10.07.2009, 15:46 | #6 | |||
| Wie gefährlich ist ADSpy/Stud.A.30 Moin David, Zitat:
Code:
ATTFilter Datei devenum.dll empfangen 2009.07.10 14:38:11 (UTC) Status: Beendet Ergebnis: 0/41 (0%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.18 2009.07.10 - AhnLab-V3 5.0.0.2 2009.07.10 - AntiVir 7.9.0.204 2009.07.10 - Antiy-AVL 2.0.3.1 2009.07.10 - Authentium 5.1.2.4 2009.07.09 - Avast 4.8.1335.0 2009.07.09 - AVG 8.5.0.387 2009.07.10 - BitDefender 7.2 2009.07.10 - CAT-QuickHeal 10.00 2009.07.10 - ClamAV 0.94.1 2009.07.10 - Comodo 1604 2009.07.10 - DrWeb 5.0.0.12182 2009.07.10 - eSafe 7.0.17.0 2009.07.09 - eTrust-Vet 31.6.6607 2009.07.10 - F-Prot 4.4.4.56 2009.07.09 - F-Secure 8.0.14470.0 2009.07.10 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.10 - Ikarus T3.1.1.64.0 2009.07.10 - Jiangmin 11.0.706 2009.07.09 - K7AntiVirus 7.10.788 2009.07.09 - Kaspersky 7.0.0.125 2009.07.10 - McAfee 5671 2009.07.09 - McAfee+Artemis 5671 2009.07.09 - McAfee-GW-Edition 6.8.5 2009.07.10 - Microsoft 1.4803 2009.07.10 - NOD32 4232 2009.07.10 - Norman 6.01.09 2009.07.09 - nProtect 2009.1.8.0 2009.07.10 - Panda 10.0.0.14 2009.07.09 - PCTools 4.4.2.0 2009.07.10 - Prevx 3.0 2009.07.10 - Rising 21.37.44.00 2009.07.10 - Sophos 4.43.0 2009.07.10 - Sunbelt 3.2.1858.2 2009.07.10 - Symantec 1.4.4.12 2009.07.10 - TheHacker 6.3.4.3.363 2009.07.08 - TrendMicro 8.950.0.1094 2009.07.10 - VBA32 3.12.10.8 2009.07.10 - ViRobot 2009.7.10.1829 2009.07.10 - VirusBuster 4.6.5.0 2009.07.09 - weitere Informationen File size: 59904 bytes MD5...: 69c7004e9df2246926e73931272c524a SHA1..: 9e79b2a6d1fbf24baa08833086abc17c2aef929a SHA256: 0bc3b7729fcfe377a29727d7af69659218b3aad2af2daae8fe5403d04c6b6f6c ssdeep: 768:NmxCEG18cAIAaIVOYjipary1epnyzswXSIVNAK4/QrDQdRC3VrjZ:4gEG1dA 08o91eaXSYA1orDQdRC3VrjZ PEiD..: - TrID..: File type identification - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x494c timedatestamp.....: 0x4802bf7c (Mon Apr 14 02:20:44 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xb904 0xba00 6.41 785171a73b3a28ac96f3d74d3ad6039f .data 0xd000 0x6fc 0x600 3.39 fe5e93c5077b92dcb918360dd7a9eaf3 .rsrc 0xe000 0x142c 0x1600 5.37 54547648fe6264c0564b0af32bb2a73f .reloc 0x10000 0xf0a 0x1000 5.08 b80415bfaefb40edcd42ece213387867 ( 7 imports ) > msvcrt.dll: malloc, realloc, __2@YAPAXI@Z, free, _purecall, _except_handler3, _vsnwprintf, __3@YAXPAX@Z > KERNEL32.dll: GetModuleHandleW, ReleaseMutex, GetVersionExW, DisableThreadLibraryCalls, lstrcmpW, GetProcAddress, LoadLibraryW, CreateMutexW, LocalFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, lstrcmpiW, lstrlenW, lstrcpyW, GetLastError, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, InterlockedDecrement, MultiByteToWideChar, WideCharToMultiByte, LoadLibraryExW, FindResourceW, LoadResource, SizeofResource, FreeLibrary, lstrcpynW, GetModuleFileNameW, lstrcatW, HeapDestroy, WaitForSingleObject, GetCurrentProcess, CloseHandle, GetCurrentThreadId, lstrlenA > USER32.dll: CharNextW, wsprintfW, LoadStringW > ADVAPI32.dll: ConvertSidToStringSidW, RegDeleteValueW, RegEnumKeyExW, RegQueryInfoKeyW, OpenProcessToken, GetTokenInformation, IsValidSid, GetLengthSid, CopySid, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteKeyW, RegEnumKeyW > ole32.dll: CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, StringFromGUID2, CreateBindCtx, CLSIDFromString, CreateAntiMoniker > OLEAUT32.dll: -, -, -, -, -, -, -, -, - > WINMM.dll: midiOutGetDevCapsW, midiOutGetNumDevs, waveInGetDevCapsW, waveOutGetDevCapsW, waveInMessage, waveOutMessage, waveInGetNumDevs ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer PDFiD.: - RDS...: NSRL Reference Data Set Zitat:
Zitat:
Klicke da drauf => Submit your sample Gib als Namen das hier an: http://www.trojaner-board.de/74996-wie-gefaehrlich-ist-adspy-stud-30-a.html Ändere den Typ auf Verdacht auf Fehlalarm und poste beide Links, die du dann bekommst. Damit hilfst du anderen, die die gleiche Fehlermeldung bekommen. Wo bleiben die Logs von Malwarebytes und HJT? ciao, andreas
__________________ --> Wie gefährlich ist ADSpy/Stud.A.30 |
10.07.2009, 16:56 | #7 |
| Wie gefährlich ist ADSpy/Stud.A.30 Hab die Dateien an Avir geschickt. Sie haben gemeldet dass es sich um sichere Dateien aus dem MSOFT SP 3 handelt. Avir meldet den Virus inzwischen nicht mehr. Damit dürfte ich die beiden Dateien wieder aus der Quarantäne wieder rauslassen. Mit dem posten des Hijack this tue ich mich etwas schwer. Was steht da alles drinnen? zb mein Internet Provider samt IP Adresse...ob das alles für alle Ewigkeit ins Internet gehört..! gruss David |
10.07.2009, 17:04 | #8 |
| Wie gefährlich ist ADSpy/Stud.A.30 Genau wie vermutet. Du musst hier gar nichts posten. Du bist entlassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu Wie gefährlich ist ADSpy/Stud.A.30 |
abgesicherten, abgesicherten modus, datei, dateien, daten, entfernen, fehlalarm, folge, folgendes, formatieren, fund, gefährlich, hex, hinweis, leitet, löschen, melde, meldet, modus, namen, nervende, spyware, system, system32, windows, wissens |