|
W32/Alemod Hallo, war lange nicht hier :dummguck: und habe gleich büdde ne Frage: Ich warte mein OS (WinXP, alle Patches) sehr gewissenhaft: Mindestens einmal wöchentlich prüfe ich das System mit Kaspersky KAV Personal 5.0, Ad-Aware, Spybot und Databecker Anti-Spion 2004/2005 (alles aktuellste Versinen mit den aktuellsten Update-Definitionen). Jetzt habe ich ein Problem: Databecker Anti-Spion 2004/2005 findet W32/Alemod(Typ: Spy Registry Value, Details: PendingFileRenameOperations), siehe büdde auch folgenden Screenshot. http://jpg.250kb.de/eb5127ebb4c1e72e...6385372cba.jpg und dann nach dem Entfernen: http://jpg.250kb.de/5f5e4a4578cfa1ee...fd8616e274.jpg Alle anderen oben genannten Tools finden nix aufer Pladde... :schmoll: Wat nu...? Ich kann W32/Alemod mit dem Programm entfernen, aber nach nem Neustart ist es wieder da (nicht immer, nur manchmal - komisch?!). Ich bitte um einen konstruktiven Hinweis. |
Bei McAffee findet man Alemod Zusammengefaßt: Virus überschreibt Systemdateien, um Informationen zu stehlen Er kommt möglicherweise zusammen mit anderen Programmen. oleadm.dll (6,657) wird im Windows-Systemverzeichnis erstellt Der Virus kopiert %SysDir%\wininet.dll als %SysDir%\oleadm32.dll und ändert den Code Folgende Registry-Werte werden geändert/angelegt: * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "AllowProtectedRenames" = 1 * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "PendingFileRenameOperations" = \??\C:\windows\system32\oleadm32.dll !\??\C:\windows\system32\wininet.dll Nach einem Reboot, wird wininet.dll durch oleadm32.dll ersetzt. Wininet.dll wird zusammen mit Programmen gestartet, die Netzwerkaufrufe machen. Die ersetzte DLL, protokolliert diese Aufrufe und sendet das Logfile an bestimmte Internet-Adressen. Der Virus kann ausführbare Programme herunterladen und auf dem PC ausführen. Wenn es also tatsächlich dieser Virus ist, würde ich das System als kompromittiert betrachten und neu aufsetzen. Was mir zu denken gibt, ist dass Kaspersky nichts findet. Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen. Ist bei dem Data Becker Tool vielleicht die Heuristik aktiviert und produziert einen Fehl-Alarm? |
Zitat:
Hallo ladwein et all, beim Data Becker Tool kann man nix händisch aktivieren/deaktivieren - ist wohl nur in der default-Einstellung lauffähig. Kaspersky, ad-aware, spybot..keiner findet was....aber data becker...? :dummguck: ...ist schon komisch. Habe gerade noch nen Scan gemacht, jetzt findet Data Becker "meinen" W32/Alemod nicht mehr; auch eine Suche nach "oleadm32.dll" blieb erfolglos. Ich muß das Problem weiter beobachten und gebe erst mal Entwarnung :schmoll: Danke |
könntest hier mal dein System online Scannen lassen. Ist aber nur mit dem IE möglich. www.pandasoftware.de lg heli |
Zitat:
Danke, der Panda-Online-Test hat nüx gefunden. Dann mal gleich hin zum Onine-test von McAfee.... :dummguck: ...auch der findet nüx... Ich bleibe am Ball :) |
Sieht mir inzwischen doch sehr nach einem Fehlalarm aus. Alemod ist nicht mehr so neu. Die neueste Variante dürfte Alemod.E sein. Kaspersky führt ihn unter dem Namen Trojan-Dropper.Win32.Agent.ns Er wird von Kaspersky seit dem 15. Juni 2005 erkannt und ich nehme nicht an, dass die Virendefinitionen auf deinem System älter sind. |
Zitat:
Aber es gibt doch auch Viren/Trojaner, die den Antivirenschutz aushebeln, sodaß sie nicht erkannt werden können. Möchte gerne an einen Fehlalarm glauben wollen, aus verständlichen Gründen, ..mal sehen... :schmoll: |
Hallo, lade dir mal Regseeker und reinige damit die Registry, Haken unten links muss gesetzt sein wegen Backup. Wenn du das gemacht hast wird der Fund noch angezeigt? |
Zitat:
Nebenbei bemerkt: So clever ist Alemod dann doch nicht. |
Zitat:
Nö, findet nix. Habe unter "Suchen" nach "oleadm32.dll" gesucht, kein Fund. Die Suche ging sogar superschnell, ganz wenige Sekunden. Gaaaaanz anders als die XP eigene Suche. Anschließend habe ich noch die Regisrty entrümpelt, natürlich das Häkchen nicht vergessen. |
Zitat:
Ich habe tatsächlich keine Auffälligkeiten am Rechner, alles läuft ruhig und absolut stabil. Bin vllt. etwas paranoid, angestochen durch DataBecker... :kloppen: |
Ich hatte heute am Samstag mal ein büsken Zeit und guggte mal ganz genau nach...ich weiß, daß ich lästig bin, aber ich brauche büdde nochmal eure Hülfe: Zuerst scannte ich mein OS (WinXP, alle Patches) mit DataBecker 2004/2005(natürlich neueste Definition), hier der Screenshot: http://jpg.250kb.de/dce245c9a40c4bd2...ce1e590bf5.jpg "Er" fand W32/Alemod...*gäääääääääääääääääääääääääähn* siehe Screenshot: http://jpg.250kb.de/ddfd2ce507af6e59...96aff4c61f.jpg ..jetzt könnte ich W32 löschen, aber ich will es wissen.... :schmoll: also suche ich mit Regseeker nach dem Übeltäter..und er wird fündig, hier das Ergebnis: http://jpg.250kb.de/27d2a92492572d84...a1c0992800.jpg OK, jetzt mal mit KAV Personal 5.0 scannen.... :heulen: o-gott---nüxxxxx http://jpg.250kb.de/d54d0037775efee1...e913a6c27f.jpg jetzt scanne ich mein OS noch mit DataBecker Maximum Protection Antivirus 2005(alles neueste Definitionen)....schaun mir mal: http://jpg.250kb.de/4eafb7fa7a87f3c1...b915de7d26.jpg Watt nu...? Bin echt ratlos und bitte um konstruktive Hinweise. Danke |
Hallo Lisa-Marie klicke im Regseeker mal doppelt auf den Eintrag dann sollte sich die Registrierung öffnen und du solltest gleich bei dem richtigen Pfad sein. Kontrolliere mal ob dort was von der oleadm.dll steht Dann markierst du den Eintrag und löschst ihn mit Regseeker. Führe jetzt mal folgendes aus: Start--> Ausführen--> cmd einzeln reinkopieren: (dann alles abkopieren, was im Editor erscheint und ins Forum posten) -->kopiere nur die Einträge der letzten 50 Tage raus cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit |
[OT]@ gigamail Kannst du den Leuten nicht mal eine Batch Datei für sowas schreiben?Man,man,man... :kloppen: :huepp: ;) :)[/OT] SCNR BTT |
Zitat:
Moin Giga et all, probieren wir es mal: OK, den Schurken hamma gefunden :schmoll: http://jpg.250kb.de/eea2a507c218c54c...c1ea461832.jpg Jetzt Doppelklick auf den Eintrag: http://jpg.250kb.de/d0a08dfef458745e...7c30adf02a.jpg Der Registrierungs-Editor öffnet also ...\Enum\FDC statt wie ich es jetzt erwartet hätte: ....\Enum\SCSI...? also rutsche ich mal ein büsken tiefer in der Registry nach ...\Enum\SCSI http://jpg.250kb.de/65276c9513717176...4ffa576dda.jpg Da is aber nüxxx mit oleadm32.dll OK, dann durchsuche ich händisch die Registry nach "oleadm32.dll" - wird nix gefunden. Dann wieder zurück zum Regseeker, den Schurken löschen http://jpg.250kb.de/d040f7e4e7cb66e4...4001cdfa3b.jpg Mit "OK" bestätigt, weg isser: http://jpg.250kb.de/15801b4b9db9d295...41f7faf5fd.jpg Jetzt taste ich mich mal an den zweiten Giga-Hinweis im nächsten Posting heran |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board