Trojaner-Board - avast findet Virus Malware-gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - avast findet Virus Malware-gen (https://www.trojaner-board.de/68499-avast-findet-virus-malware-gen.html)

avast findet Virus Malware-gen

Hallo,

ich habe vor kurzem mein Pc neu aufgesetzt.
Nun war ich dabei sämtliche Treiber zu installieren und dabei hat avast ein (ich glaube) Malware erkannt, als ich den Usb Treiber von Intel installieren wollte.
Name vom Virus: owcstp16.dll
Ursprünglicher Ort: C:\WINDOWS\TEMP\~vis0000
Virus Beschreibung: Other:Malware-gen

Mein System: Windows XP, SP 3

Hier das Logfile:

Code:

Logfile of Trend Micro HiJackThis v2.0.2

Scan saved at 21:22:21, on 12.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Programme\Logitech\iTouch\iTouch.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Programme\Alwil Software\Avast4\ashChest.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

D:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: SATARaid.lnk = ?

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
 

--

End of file - 2853 bytes

Ich hab den erkannten Virus zunächst mal in Quarantäne verschoben bzw. bei avast in den Container.
Was soll ich jetzt noch tun, bitte um Hilfe.

MfG arikari

Verzeihung für den Doppelpost!

Ist das etwa immer noch zu ungenau, oder warum bekomme ich keine Hilfe.
Sorry wenn ich zu aufdringlich bin! ;)

Danke ..

Hallo Arikari,

Vermutlich handelt es sich um ein false positive. Lasse die Datei owcstp16.dll bei Virustotal.com auswerten und poste alle Ergebnisse, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen.

ciao, andreas

Danke ;)

Nur ist das Problem, dass avast mir sagt der Virus oder diese Malware hat den Namen owcstp16.dll und ich hatte nach dem Fund diese Datei ja in den Container verschoben.

Also ich finde die Datei irgendwie nicht.

Ursprünglicher Ort sollte dieser sein, wobei die datei da am Ende wohl auch von avast bisschen abgeändert ist oder täusch ich mich da.
- C:\WINDOWS\~vis0000

Soll ich die Datei wiederherstellen und aus dem Container herausholen und dann hochladen oder was soll ich tun?

Danke

Noch was! Was ist mit diesen Dateien hier:

1. kernel32.dll , C:\WINDOWS\system32
2. winsock.dll , C:\WINDOWS\system32
3. winsock32.dll , C:\WINDOWS\system32

Diese Dateien finde ich ebenfalls im avast Viren Container unter der Kategorie "System-Dateien".
Was hat es mit den Dateien auf sich, oder sind sie harmlos, da sie ja nicht unter der Kategorie "Infizierte Dateien" sind.

Zitat:

Soll ich die Datei wiederherstellen und aus dem Container herausholen und dann hochladen

Ja. Schalte vorher den Guard von Avast aus.

ciao, andreas

Hier das Ergebnis:

Code:

Datei owcstp16.dll empfangen 2009.01.07 22:46:21 (CET)

Status: Beendet

Ergebnis: 6/39 (15.38%)

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared         4.0.0.73         2009.01.07         -

AhnLab-V3         2009.1.8.0         2009.01.07         -

AntiVir         7.9.0.45         2009.01.07         -

Authentium         5.1.0.4         2009.01.07         -

Avast         4.8.1281.0         2009.01.07         Other:Malware-gen

AVG         8.0.0.199         2009.01.07         -

BitDefender         7.2         2009.01.07         -

CAT-QuickHeal         10.00         2009.01.06         -

ClamAV         0.94.1         2009.01.07         -

Comodo         891         2009.01.07         -

DrWeb         4.44.0.09170         2009.01.07         -

eSafe         7.0.17.0         2009.01.06         -

eTrust-Vet         31.6.6296         2009.01.07         -

Ewido         4.0         2008.12.31         -

F-Prot         4.4.4.56         2009.01.07         -

F-Secure         8.0.14470.0         2009.01.07         -

Fortinet         3.117.0.0         2009.01.07         -

GData         19         2009.01.07         Other:Malware-gen

Ikarus         T3.1.1.45.0         2009.01.07         -

K7AntiVirus         7.10.581         2009.01.07         -

Kaspersky         7.0.0.125         2009.01.07         -

McAfee         5488         2009.01.07         -

McAfee+Artemis         5488         2009.01.07         -

Microsoft         1.4205         2009.01.07         -

NOD32         3749         2009.01.07         -

Norman         5.99.02         2009.01.07         Smalldoor.GRT

Panda         9.0.0.4         2009.01.07         Generic Backdoor

PCTools         4.4.2.0         2009.01.07         Backdoor.Generic

Prevx1         V2         2009.01.07         Worm

Rising         21.11.22.00         2009.01.07         -

SecureWeb-Gateway         6.7.6         2009.01.07         -

Sophos         4.37.0         2009.01.07         -

Sunbelt         3.2.1809.2         2008.12.22         -

Symantec         10         2009.01.07         -

TheHacker         6.3.1.4.211         2009.01.07         -

TrendMicro         8.700.0.1004         2009.01.07         -

VBA32         3.12.8.10         2009.01.07         -

ViRobot         2009.1.7.1548         2009.01.07         -

VirusBuster         4.5.11.0         2009.01.07         -

weitere Informationen

File size: 16056 bytes

MD5...: 9dc66c2428a20d52c30d6c5e553710c0

SHA1..: 1e8c422402323544a1392f03e7d752080235db33

SHA256: 38f70b9439bbb3e87d62deeee254e8f96b7a35414c46a600cb190169fe11235c

SHA512: 69fb63da2c6f932d1a7ffd9e069481ee828880cd1c5c36bf59437774bf0cee0f

1dc7a3d297a41e02f1e3b914794a71c1c314fb5df2e7f2f8c73a88d706e0bf83

ssdeep: 192:x0h8UP11GWHHFbj2IEpY3l4jqSf3mCnju4g6jN6ZqheaQAETlwLjWoDfz7se

E0MY:+OhWHHn3lwMCq4P6K8WLO0JZEHfhw9

PEiD..: -

TrID..: File type identification

Win32 Dynamic Link Library (generic) (87.9%)

Generic Win/DOS Executable (6.0%)

DOS Executable Generic (6.0%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: -

ThreatExpert info: h**p://www.threatexpert.com/report.aspx?md5=9dc66c2428a20d52c30d6c5e553710c0

Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=9DC66C24B828A20D3E5200C30D6C5E00553710C0

CWSandbox info: h**p://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9dc66c2428a20d52c30d6c5e553710c0

Schicke diese Datei bitte an meine Emailadresse, die ich dir per PN zugeschickt habe. Ändere die Endung von dll auf jpg, sonst kommt sie nicht an.

ciao, andreas

Definitiv Falschmeldungen. Einfach ignorieren.

ciao, andreas

Ok, ich vertrau dir mal! ;)

Soll ich des dann mit avast löschen, oder wird die Datei anderweitig verwendet?
Oder einfach im Container belassen?

lg

Da es ein Treiber ist, benötigst du ihn oder USB kann nicht richtig funktionieren. Aktuellen Mainboardtreiber von der Herstellersite downloaden und installieren.

ciao, andreas

Den Mainboardtreiber hatt ich schon vor dem Usb Treiber installiert gehabt.
Das war's?
Dann bedank ich mich für deine Hilfe! TOP! :daumenhoc

Gruß