Liebe Forummitglieder
Avira meldet folgendes:
C:\WINDOWS\system32\devenumd.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Stud.A.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac1eb11.qua' verschoben!
C:\WINDOWS\system32\mmcthext.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Stud.A.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaeeb19.qua' verschoben!

devenumd.dll ist meines Wissens eine Systemdatei von MSOFT. Sollte ich devenumd.dll und mmcthext.dll dennoch löschen um sicherzugehen dass keine Beeinträchtigung besteht. Angenommen es ist kein Fehlalarm: Weiss jemand wie ADSPY/Stud.A.29 einzustufen ist: Eher als nervende Spyware oder als etwas gefährliches dass vertrauliche Daten (z.B. PINs) nach aussen leitet ?Genügt es die Dateien im abgesicherten Modus zu entfernen oder ist es erforderlich zu formatieren.

Hallo und

1.) Lade die Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\devenumd.dll
C:\WINDOWS\system32\mmcthext.dll
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

2.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Danach werde ich deine Fragen beantworten.

ciao, andreas

Hallo Andreas,

Danke die Antwort. Habe beide Dateien hochgeladen. (Mir ist nicht ganz klar wie die Dateien einseits noch im System Ordner sind und gleichzeitig eine zugeordnete Datei im Quarantäneordner von Avira) Ich habe schon am Nachmittag einen Hijack This Log gemacht und bei Hijackthis.de automatisch analysieren lassen. Dabei wurde nichts verdächtiges angezeigt. Es wurde lediglich moniert dass ich eine alte Java Version habe.
ich habe bislang nicht verdächtiges am Rechner fsetstellen können, nur eine langsamesInternet-Performance (kann aber auch andere Gründe haben) und gelegentliche Geräusche (die auch vom Windows Tierchen kommen könnten)

gruss
Philip

Zitat:

Habe beide Dateien hochgeladen.

Nur die mmcthext.dll ist angekommen. So richtig gefährlich sieht die nicht aus.

Code: Alles auswählenAufklappen

ATTFilter

Datei mmcshext.dll empfangen 2009.07.08 21:54:32 (UTC)
Status:    Beendet 
Ergebnis: 0/41 (0%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.18	2009.07.08	-
AhnLab-V3	5.0.0.2	2009.07.08	-
AntiVir	7.9.0.204	2009.07.08	-
Antiy-AVL	2.0.3.1	2009.07.08	-
Authentium	5.1.2.4	2009.07.08	-
Avast	4.8.1335.0	2009.07.08	-
AVG	8.5.0.386	2009.07.08	-
BitDefender	7.2	2009.07.08	-
CAT-QuickHeal	10.00	2009.07.08	-
ClamAV	0.94.1	2009.07.08	-
Comodo	1584	2009.07.08	-
DrWeb	5.0.0.12182	2009.07.08	-
eSafe	7.0.17.0	2009.07.08	-
eTrust-Vet	31.6.6604	2009.07.08	-
F-Prot	4.4.4.56	2009.07.08	-
F-Secure	8.0.14470.0	2009.07.08	-
Fortinet	3.117.0.0	2009.07.03	-
GData	19	2009.07.08	-
Ikarus	T3.1.1.64.0	2009.07.08	-
Jiangmin	11.0.706	2009.07.08	-
K7AntiVirus	7.10.787	2009.07.08	-
Kaspersky	7.0.0.125	2009.07.08	-
McAfee	5670	2009.07.08	-
McAfee+Artemis	5670	2009.07.08	-
McAfee-GW-Edition	6.8.5	2009.07.08	-
Microsoft	1.4803	2009.07.08	-
NOD32	4225	2009.07.08	-
Norman	6.01.09	2009.07.08	-
nProtect	2009.1.8.0	2009.07.08	-
Panda	10.0.0.14	2009.07.08	-
PCTools	4.4.2.0	2009.07.08	-
Prevx	3.0	2009.07.08	-
Rising	21.37.24.00	2009.07.08	-
Sophos	4.43.0	2009.07.08	-
Sunbelt	3.2.1858.2	2009.07.08	-
Symantec	1.4.4.12	2009.07.08	-
TheHacker	6.3.4.3.363	2009.07.08	-
TrendMicro	8.950.0.1094	2009.07.08	-
VBA32	3.12.10.7	2009.07.08	-
ViRobot	2009.7.8.1824	2009.07.08	-
VirusBuster	4.6.5.0	2009.07.08	-
weitere Informationen
File size: 61440 bytes
MD5...: 58fe863562fbbb4836d1dcd074199b79
SHA1..: eeca607ace08bbcb0e723c378fc94682a4063cfb
SHA256: 4904f746f508a23463c6ed5ed4ee4118fc2f23eec166773570fb029780ef9192
ssdeep: 1536:5KBSR7OgoREm4H5Gih1efcp/CW9VykWK1oJfUDQpL:5KBSR7O9T4HMG1efc
p/r7WK1oJfUDc
PEiD..: -
TrID..: File type identification
DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb2a0
timedatestamp.....: 0x4802bfa4 (Mon Apr 14 02:21:24 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xba95 0xbc00 6.18 b05b7675e38de196a49a4743e3f5600b
.data 0xd000 0xce4 0x600 4.88 c4e09c379c4a00a47b3302ff1a4f3420
.rsrc 0xe000 0x1418 0x1600 4.75 0c1cbfda25238a5b9626458fc5c0b559
.reloc 0x10000 0x126a 0x1400 4.76 d6eb783b7f60b459e5727844c41bf7ad

( 8 imports ) 
> msvcrt.dll: _onexit, __dllonexit, __1type_info@@UAE@XZ, _terminate@@YAXXZ, _adjust_fdiv, _initterm, _CxxThrowException, __3@YAXPAX@Z, wcsrchr, wcschr, wcslen, _purecall, _wcsnicmp, __2@YAPAXI@Z, realloc, free, malloc, __CxxFrameHandler, _except_handler3, _callnewh
> msvcp60.dll: _nothrow@std@@3Unothrow_t@1@B, __4_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV01@PBG@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, _erase@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@II@Z, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@ABV_$allocator@G@1@@Z, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ
> KERNEL32.dll: Sleep, HeapFree, HeapAlloc, RaiseException, InterlockedExchange, HeapCreate, GetProcessHeap, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, CreateFileMappingW, CloseHandle, GetModuleHandleA, GetModuleHandleW, GetProcAddress, GetFileAttributesW, GetVersion, LocalFree, LocalAlloc, LoadLibraryW, GetLastError, SetLastError, GetModuleFileNameW, OutputDebugStringA, FreeLibrary, GetVersionExW, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, MultiByteToWideChar, lstrlenW, lstrcpyW, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, InterlockedDecrement, lstrcmpiW, LeaveCriticalSection, EnterCriticalSection, HeapDestroy, lstrcpynW, GetSystemDirectoryW, LoadLibraryExW, lstrcatW, DisableThreadLibraryCalls, lstrlenA, SizeofResource, LoadResource, FindResourceW, LoadLibraryA, WideCharToMultiByte, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, UnmapViewOfFile, GetFileSize, MapViewOfFile, CreateFileW
> USER32.dll: CopyImage, CopyIcon, LoadImageW, CharNextW, CharPrevW, DestroyIcon
> ole32.dll: CLSIDFromString, StgOpenStorage, CreateStreamOnHGlobal, StringFromCLSID, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -
> ADVAPI32.dll: RegEnumKeyExW, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegEnumValueW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, TraceEvent
> hhsetup.dll: _AddTitle@CCollection@@QAEPAVCTitle@@PBG0000GIPAVCLocation@@PAKH0@Z, _AddFolder@CCollection@@QAEPAVCFolder@@PBGKPAKG@Z, _RemoveCollection@CCollection@@QAEKH@Z, _Close@CCollection@@QAEKXZ, _Open@CCollection@@QAEKPBG@Z, __0CCollection@@QAE@XZ, __1CCollection@@QAE@XZ, _Save@CCollection@@QAEKXZ

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
         

Zitat:

ch habe bislang nicht verdächtiges am Rechner fsetstellen können

Arbeite trotzdem die Liste ab, wer weiß, was noch so alles gefunden bzw. festgestellt wird.

ciao, andreas

Habe jetzt nochmal die devenum.dll hochgeladen. Was soll ich mit der mmcshext.dll machen. LÖschen? oder kann es dann sein dass dann etwas wichtiges in Windows nicht mehr tut? Wieso meldet Antivir einerseits einen Virus im Gesamtscan, wenn man die Datei aber einzeln untersucht wird nicht gemeldet? Kann es sein dass Antivir den schädlichen Teil der Datei extrahiert hat und in die Quarantäne verschoben hat und nur der unschädliche im System32 verblieben ist? Fragen über Fragen...

Gruss David

Moin David,

Zitat:

Habe jetzt nochmal die devenum.dll hochgeladen.

Auch die Datei sieht nicht so wirklich gefährlich aus, abgesehen davon, dass sie zu DirectX gehört.

Code: Alles auswählenAufklappen

ATTFilter

Datei devenum.dll empfangen 2009.07.10 14:38:11 (UTC)
Status:    Beendet 
Ergebnis: 0/41 (0%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.18	2009.07.10	-
AhnLab-V3	5.0.0.2	2009.07.10	-
AntiVir	7.9.0.204	2009.07.10	-
Antiy-AVL	2.0.3.1	2009.07.10	-
Authentium	5.1.2.4	2009.07.09	-
Avast	4.8.1335.0	2009.07.09	-
AVG	8.5.0.387	2009.07.10	-
BitDefender	7.2	2009.07.10	-
CAT-QuickHeal	10.00	2009.07.10	-
ClamAV	0.94.1	2009.07.10	-
Comodo	1604	2009.07.10	-
DrWeb	5.0.0.12182	2009.07.10	-
eSafe	7.0.17.0	2009.07.09	-
eTrust-Vet	31.6.6607	2009.07.10	-
F-Prot	4.4.4.56	2009.07.09	-
F-Secure	8.0.14470.0	2009.07.10	-
Fortinet	3.117.0.0	2009.07.03	-
GData	19	2009.07.10	-
Ikarus	T3.1.1.64.0	2009.07.10	-
Jiangmin	11.0.706	2009.07.09	-
K7AntiVirus	7.10.788	2009.07.09	-
Kaspersky	7.0.0.125	2009.07.10	-
McAfee	5671	2009.07.09	-
McAfee+Artemis	5671	2009.07.09	-
McAfee-GW-Edition	6.8.5	2009.07.10	-
Microsoft	1.4803	2009.07.10	-
NOD32	4232	2009.07.10	-
Norman	6.01.09	2009.07.09	-
nProtect	2009.1.8.0	2009.07.10	-
Panda	10.0.0.14	2009.07.09	-
PCTools	4.4.2.0	2009.07.10	-
Prevx	3.0	2009.07.10	-
Rising	21.37.44.00	2009.07.10	-
Sophos	4.43.0	2009.07.10	-
Sunbelt	3.2.1858.2	2009.07.10	-
Symantec	1.4.4.12	2009.07.10	-
TheHacker	6.3.4.3.363	2009.07.08	-
TrendMicro	8.950.0.1094	2009.07.10	-
VBA32	3.12.10.8	2009.07.10	-
ViRobot	2009.7.10.1829	2009.07.10	-
VirusBuster	4.6.5.0	2009.07.09	-
weitere Informationen
File size: 59904 bytes
MD5...: 69c7004e9df2246926e73931272c524a
SHA1..: 9e79b2a6d1fbf24baa08833086abc17c2aef929a
SHA256: 0bc3b7729fcfe377a29727d7af69659218b3aad2af2daae8fe5403d04c6b6f6c
ssdeep: 768:NmxCEG18cAIAaIVOYjipary1epnyzswXSIVNAK4/QrDQdRC3VrjZ:4gEG1dA
08o91eaXSYA1orDQdRC3VrjZ
PEiD..: -
TrID..: File type identification
-
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x494c
timedatestamp.....: 0x4802bf7c (Mon Apr 14 02:20:44 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb904 0xba00 6.41 785171a73b3a28ac96f3d74d3ad6039f
.data 0xd000 0x6fc 0x600 3.39 fe5e93c5077b92dcb918360dd7a9eaf3
.rsrc 0xe000 0x142c 0x1600 5.37 54547648fe6264c0564b0af32bb2a73f
.reloc 0x10000 0xf0a 0x1000 5.08 b80415bfaefb40edcd42ece213387867

( 7 imports ) 
> msvcrt.dll: malloc, realloc, __2@YAPAXI@Z, free, _purecall, _except_handler3, _vsnwprintf, __3@YAXPAX@Z
> KERNEL32.dll: GetModuleHandleW, ReleaseMutex, GetVersionExW, DisableThreadLibraryCalls, lstrcmpW, GetProcAddress, LoadLibraryW, CreateMutexW, LocalFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, lstrcmpiW, lstrlenW, lstrcpyW, GetLastError, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, InterlockedDecrement, MultiByteToWideChar, WideCharToMultiByte, LoadLibraryExW, FindResourceW, LoadResource, SizeofResource, FreeLibrary, lstrcpynW, GetModuleFileNameW, lstrcatW, HeapDestroy, WaitForSingleObject, GetCurrentProcess, CloseHandle, GetCurrentThreadId, lstrlenA
> USER32.dll: CharNextW, wsprintfW, LoadStringW
> ADVAPI32.dll: ConvertSidToStringSidW, RegDeleteValueW, RegEnumKeyExW, RegQueryInfoKeyW, OpenProcessToken, GetTokenInformation, IsValidSid, GetLengthSid, CopySid, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteKeyW, RegEnumKeyW
> ole32.dll: CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, StringFromGUID2, CreateBindCtx, CLSIDFromString, CreateAntiMoniker
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> WINMM.dll: midiOutGetDevCapsW, midiOutGetNumDevs, waveInGetDevCapsW, waveOutGetDevCapsW, waveInMessage, waveOutMessage, waveInGetNumDevs

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
         

Zitat:

Was soll ich mit der mmcshext.dll machen. LÖschen?

Klicke auf den vorletzten Link in meiner Signatur. Lies alles aufmerksam. Lies es nochmal. Dann lerne es auswendig. Der wichtige Satz ist folgender (ist rot markiert):

Zitat:

Was kann man aus dieser Geschichte lernen?

• Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.
• Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern.

Außerdem gilt:

• Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind.

Da dich das sicher nicht beruhigen wird, schicke beide Dateien an Avira (die in letzter Zeit nur noch Falschmeldungen produzieren, so dass man sich ernsthaft fragt, ob man die noch empfehlen soll).

Klicke da drauf => Submit your sample

Gib als Namen das hier an: http://www.trojaner-board.de/74996-wie-gefaehrlich-ist-adspy-stud-30-a.html

Ändere den Typ auf Verdacht auf Fehlalarm und poste beide Links, die du dann bekommst. Damit hilfst du anderen, die die gleiche Fehlermeldung bekommen.

Wo bleiben die Logs von Malwarebytes und HJT?

ciao, andreas

Hab die Dateien an Avir geschickt. Sie haben gemeldet dass es sich um sichere Dateien aus dem MSOFT SP 3 handelt. Avir meldet den Virus inzwischen nicht mehr. Damit dürfte ich die beiden Dateien wieder aus der Quarantäne wieder rauslassen.

Mit dem posten des Hijack this tue ich mich etwas schwer. Was steht da alles drinnen? zb mein Internet Provider samt IP Adresse...ob das alles für alle Ewigkeit ins Internet gehört..!

gruss
David

Genau wie vermutet. Du musst hier gar nichts posten.

Du bist entlassen.

ciao, andreas