|
W32/Alemod Hallo, war lange nicht hier :dummguck: und habe gleich büdde ne Frage: Ich warte mein OS (WinXP, alle Patches) sehr gewissenhaft: Mindestens einmal wöchentlich prüfe ich das System mit Kaspersky KAV Personal 5.0, Ad-Aware, Spybot und Databecker Anti-Spion 2004/2005 (alles aktuellste Versinen mit den aktuellsten Update-Definitionen). Jetzt habe ich ein Problem: Databecker Anti-Spion 2004/2005 findet W32/Alemod(Typ: Spy Registry Value, Details: PendingFileRenameOperations), siehe büdde auch folgenden Screenshot. http://jpg.250kb.de/eb5127ebb4c1e72e...6385372cba.jpg und dann nach dem Entfernen: http://jpg.250kb.de/5f5e4a4578cfa1ee...fd8616e274.jpg Alle anderen oben genannten Tools finden nix aufer Pladde... :schmoll: Wat nu...? Ich kann W32/Alemod mit dem Programm entfernen, aber nach nem Neustart ist es wieder da (nicht immer, nur manchmal - komisch?!). Ich bitte um einen konstruktiven Hinweis. |
Bei McAffee findet man Alemod Zusammengefaßt: Virus überschreibt Systemdateien, um Informationen zu stehlen Er kommt möglicherweise zusammen mit anderen Programmen. oleadm.dll (6,657) wird im Windows-Systemverzeichnis erstellt Der Virus kopiert %SysDir%\wininet.dll als %SysDir%\oleadm32.dll und ändert den Code Folgende Registry-Werte werden geändert/angelegt: * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "AllowProtectedRenames" = 1 * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "PendingFileRenameOperations" = \??\C:\windows\system32\oleadm32.dll !\??\C:\windows\system32\wininet.dll Nach einem Reboot, wird wininet.dll durch oleadm32.dll ersetzt. Wininet.dll wird zusammen mit Programmen gestartet, die Netzwerkaufrufe machen. Die ersetzte DLL, protokolliert diese Aufrufe und sendet das Logfile an bestimmte Internet-Adressen. Der Virus kann ausführbare Programme herunterladen und auf dem PC ausführen. Wenn es also tatsächlich dieser Virus ist, würde ich das System als kompromittiert betrachten und neu aufsetzen. Was mir zu denken gibt, ist dass Kaspersky nichts findet. Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen. Ist bei dem Data Becker Tool vielleicht die Heuristik aktiviert und produziert einen Fehl-Alarm? |
Zitat:
Hallo ladwein et all, beim Data Becker Tool kann man nix händisch aktivieren/deaktivieren - ist wohl nur in der default-Einstellung lauffähig. Kaspersky, ad-aware, spybot..keiner findet was....aber data becker...? :dummguck: ...ist schon komisch. Habe gerade noch nen Scan gemacht, jetzt findet Data Becker "meinen" W32/Alemod nicht mehr; auch eine Suche nach "oleadm32.dll" blieb erfolglos. Ich muß das Problem weiter beobachten und gebe erst mal Entwarnung :schmoll: Danke |
könntest hier mal dein System online Scannen lassen. Ist aber nur mit dem IE möglich. www.pandasoftware.de lg heli |
Zitat:
Danke, der Panda-Online-Test hat nüx gefunden. Dann mal gleich hin zum Onine-test von McAfee.... :dummguck: ...auch der findet nüx... Ich bleibe am Ball :) |
Sieht mir inzwischen doch sehr nach einem Fehlalarm aus. Alemod ist nicht mehr so neu. Die neueste Variante dürfte Alemod.E sein. Kaspersky führt ihn unter dem Namen Trojan-Dropper.Win32.Agent.ns Er wird von Kaspersky seit dem 15. Juni 2005 erkannt und ich nehme nicht an, dass die Virendefinitionen auf deinem System älter sind. |
Zitat:
Aber es gibt doch auch Viren/Trojaner, die den Antivirenschutz aushebeln, sodaß sie nicht erkannt werden können. Möchte gerne an einen Fehlalarm glauben wollen, aus verständlichen Gründen, ..mal sehen... :schmoll: |
Hallo, lade dir mal Regseeker und reinige damit die Registry, Haken unten links muss gesetzt sein wegen Backup. Wenn du das gemacht hast wird der Fund noch angezeigt? |
Zitat:
Nebenbei bemerkt: So clever ist Alemod dann doch nicht. |
Zitat:
Nö, findet nix. Habe unter "Suchen" nach "oleadm32.dll" gesucht, kein Fund. Die Suche ging sogar superschnell, ganz wenige Sekunden. Gaaaaanz anders als die XP eigene Suche. Anschließend habe ich noch die Regisrty entrümpelt, natürlich das Häkchen nicht vergessen. |
Zitat:
Ich habe tatsächlich keine Auffälligkeiten am Rechner, alles läuft ruhig und absolut stabil. Bin vllt. etwas paranoid, angestochen durch DataBecker... :kloppen: |
Ich hatte heute am Samstag mal ein büsken Zeit und guggte mal ganz genau nach...ich weiß, daß ich lästig bin, aber ich brauche büdde nochmal eure Hülfe: Zuerst scannte ich mein OS (WinXP, alle Patches) mit DataBecker 2004/2005(natürlich neueste Definition), hier der Screenshot: http://jpg.250kb.de/dce245c9a40c4bd2...ce1e590bf5.jpg "Er" fand W32/Alemod...*gäääääääääääääääääääääääääähn* siehe Screenshot: http://jpg.250kb.de/ddfd2ce507af6e59...96aff4c61f.jpg ..jetzt könnte ich W32 löschen, aber ich will es wissen.... :schmoll: also suche ich mit Regseeker nach dem Übeltäter..und er wird fündig, hier das Ergebnis: http://jpg.250kb.de/27d2a92492572d84...a1c0992800.jpg OK, jetzt mal mit KAV Personal 5.0 scannen.... :heulen: o-gott---nüxxxxx http://jpg.250kb.de/d54d0037775efee1...e913a6c27f.jpg jetzt scanne ich mein OS noch mit DataBecker Maximum Protection Antivirus 2005(alles neueste Definitionen)....schaun mir mal: http://jpg.250kb.de/4eafb7fa7a87f3c1...b915de7d26.jpg Watt nu...? Bin echt ratlos und bitte um konstruktive Hinweise. Danke |
Hallo Lisa-Marie klicke im Regseeker mal doppelt auf den Eintrag dann sollte sich die Registrierung öffnen und du solltest gleich bei dem richtigen Pfad sein. Kontrolliere mal ob dort was von der oleadm.dll steht Dann markierst du den Eintrag und löschst ihn mit Regseeker. Führe jetzt mal folgendes aus: Start--> Ausführen--> cmd einzeln reinkopieren: (dann alles abkopieren, was im Editor erscheint und ins Forum posten) -->kopiere nur die Einträge der letzten 50 Tage raus cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit |
[OT]@ gigamail Kannst du den Leuten nicht mal eine Batch Datei für sowas schreiben?Man,man,man... :kloppen: :huepp: ;) :)[/OT] SCNR BTT |
Zitat:
Moin Giga et all, probieren wir es mal: OK, den Schurken hamma gefunden :schmoll: http://jpg.250kb.de/eea2a507c218c54c...c1ea461832.jpg Jetzt Doppelklick auf den Eintrag: http://jpg.250kb.de/d0a08dfef458745e...7c30adf02a.jpg Der Registrierungs-Editor öffnet also ...\Enum\FDC statt wie ich es jetzt erwartet hätte: ....\Enum\SCSI...? also rutsche ich mal ein büsken tiefer in der Registry nach ...\Enum\SCSI http://jpg.250kb.de/65276c9513717176...4ffa576dda.jpg Da is aber nüxxx mit oleadm32.dll OK, dann durchsuche ich händisch die Registry nach "oleadm32.dll" - wird nix gefunden. Dann wieder zurück zum Regseeker, den Schurken löschen http://jpg.250kb.de/d040f7e4e7cb66e4...4001cdfa3b.jpg Mit "OK" bestätigt, weg isser: http://jpg.250kb.de/15801b4b9db9d295...41f7faf5fd.jpg Jetzt taste ich mich mal an den zweiten Giga-Hinweis im nächsten Posting heran |
Zitat:
Verzeichnis von C:\WINDOWS\system32 30.07.2005 14:08 102 PowerNow.log 29.07.2005 07:19 1.158 wpa.dbl 12.07.2005 18:04 520.456 LegitCheckControl.dll 12.07.2005 18:04 23.304 GWFSPidGen.dll 09.07.2005 19:16 248 systemdrv32.aso 07.07.2005 04:21 1.375.064 MRT.exe 29.06.2005 03:49 254.976 icm32.dll 29.06.2005 03:49 74.240 SET1FF.tmp 29.06.2005 03:49 74.240 SET1D8.tmp 09.06.2005 22:32 692.736 DivX.dll 06.06.2005 23:13 356.436 DivXMedia.ax 29.05.2005 01:35 692.224 divxdec.ax |
Zitat:
Verzeichnis von C:\DOKUME~1\LIMA~1\LOKALE~1\Temp 31.07.2005 06:59 222 jusched.log 1 Datei(en) 222 Bytes 0 Verzeichnis(se), 3.874.172.928 Bytes frei |
Zitat:
Verzeichnis von C:\WINDOWS 31.07.2005 07:19 487 win.ini 31.07.2005 07:00 62 ad_av_2_h_0001.ini 31.07.2005 06:59 159 wiadebug.log 31.07.2005 06:59 50 wiaservc.log 31.07.2005 06:59 2.048 bootstat.dat 31.07.2005 06:51 639.232 WindowsUpdate.log 30.07.2005 21:26 3.000 setupact.log 30.07.2005 21:25 40 avfile_h.ini 30.07.2005 18:25 64 avfile_dir.ini 30.07.2005 18:02 116 NeroDigital.ini 30.07.2005 13:34 227 system.ini 29.07.2005 08:39 1.125 winamp.ini 29.07.2005 07:21 28.141 KB901214.log 29.07.2005 07:21 8.822 updspapi.log 15.07.2005 09:13 80.421 iis6.log 15.07.2005 09:13 117.054 ntdtcsetup.log 15.07.2005 09:13 221.106 tsoc.log 15.07.2005 09:13 25.308 ocmsn.log 15.07.2005 09:13 26.946 msgsocm.log 15.07.2005 09:13 522.438 FaxSetup.log 15.07.2005 09:11 1.374 imsins.BAK 15.07.2005 09:11 3.777 KB903235.log 08.07.2005 18:24 25 DEIZCWU.TXT 01.07.2005 10:03 6.855 KB898461.log 30.06.2005 21:32 54.839 PowerDVD Setup Log.txt 17.06.2005 07:25 25.768 KB893066.log 17.06.2005 07:25 19.280 KB883939.log 17.06.2005 07:25 13.589 KB896428.log 17.06.2005 07:25 13.923 KB896422.log 17.06.2005 07:24 13.998 KB890046.log 17.06.2005 07:24 13.668 KB896358.log 17.06.2005 07:24 8.674 KB893803v2.log 13.06.2005 14:58 145.258 UNNeroVision.cfg 27.05.2005 01:22 10.752 hh.exe |
Zitat:
Verzeichnis von C:\ 31.07.2005 08:04 0 sys.txt 31.07.2005 08:01 8.632 system.txt 31.07.2005 07:59 289 systemtemp.txt 31.07.2005 07:56 96.498 system32.txt 31.07.2005 06:58 352.321.536 pagefile.sys 30.07.2005 13:34 211 boot.ini 16.06.2005 12:24 12.149 hpfr3320.log 08.09.2004 19:19 47.564 NTDETECT.COM 08.09.2004 19:19 251.184 ntldr 20.05.2004 11:03 16 win2.log Wie geht es jetzt weiter? Vielen Dank schon mal vorab! Lisa-Marie |
Hallo, ich habe mir die Dateien angeschaut, aber es ist nichts dabei was mit der oleadm32.dll im Zusammenhang steht. Führe mal noch folgendes aus Windowstaste+R --> sfc /scannow --> <enter> du wirst nach der Orginal-CD gefragt, einlegen und ausführen lassen. Es werden dabei wichtige Systemdateien überprüft und gegebenenfalls neu geschrieben. Mehr kann ich dir leider auch nicht sagen, als weiter beobachten |
Zitat:
Der Rechner war jetzt drei Stunden aus, habe ihn jetzt neu gestartet - aber "oleadm32.dll" ist wieder da... :kloppen: Wie geht es weiter? :dummguck: Danke, Lisa-Marie |
@ladwein Zitat:
Zitat:
Zitat:
|
Zitat:
Ich halte das Neuaufsetzen für Second Best, ist wie Surrender :heilig: Zitat:
Jau, das hört sich gut an und erklärt auch warum KAV nüx fündet. Aber ich stehe immer noch auffem Schlauch, denn Regseeker findet oleadm32.dll in HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\oleadm32.dll... Aber wo ist das auffer Pladde...? Ich müßte doch die *.dll-Datei irgendwie nach jotti.org uppen, um den Jotti-Scan durchführen zu lassen?! Vielleicht ist meine Frage zu trivial, aber ich weiß wirklich nicht die Lösung. Soll ich jetzt mit der XP-eigenen-Suche nach "oleadm32.dll" suchen? |
Zitat:
Suche ist beendet, hat ein büsken gedauert. http://jpg.250kb.de/2767e94fde783fa2...74ac90629f.jpg Das überrascht jetzt nicht wirklich, oder? Fündig wurde die Suche im Backup von Regseeker... ;) Habe ich "falsch" gesucht( Systemordner und versteckte Ordner wurden in die Suche einbezogen)? Danke, Lisa-Marie |
@Lisa-Marie Bereinge Backup von Regseeker. Ich gehe davon aus, dass diese DLL wirklich weg ist. Spaßes halber könntest du noch eScan duchführen. 1.Systemwiederherstellung abschalten 2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. 3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen. 4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten. |
@ Lisa-Marie ich glaube Sache mit eScan kannst du dir sparen ,da du das eh schon durch hast. Lösche die Backup-Datei von Regseeker und suche danach nochmal mit Regseeker ob du dann immer noch was findest |
Zitat:
Hallo Rene et all, es gab bei der Suche eine Fehlermeldung: Object "AltNet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Ist das jetzt was ganz anderes? Oder gehört das zu oleadm32.dll? (Ad-Aware und Spybot ham nix gefunden - jeweils neueste Definition) ..oder einfach nur nen Bug? (Habe hier im Forum mal gesucht... ;) ) und hier noch die eScan_neu.txt-Datei: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Also nüx gefunden, gelle? ..und jetzt nach dem Neustart findet Regseeker trotzdem wieder oleadm32.dll in HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\oleadm32.dll - obwohl ich es vor dem Booten gelöscht hatte (gelöscht mir Regseeker) und auch das Backup habe ich gelöscht, so wie von Euch empfohlen. Danke noch mal für Eur Hülfe |
Zitat:
Rene, nachem Neustart ist das aber wieder da - komisch, oder? :schmoll: |
Zitat:
Hallo Giga, irgendwie wird es jetzt kompliziert, gerade weil oleadm32.dll wiederkommt. Was kann ich noch machen? Danke. |
Hallo, langsam verstehe ich das auch nicht mehr, hier ein letzter Vorschlag von mir, dann fällt mir leider auch nichts mehr ein. Navigierezu dem Schlüssel HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\ mache auf SCSI rechte Maustaste --> Berechtigung ist dort vielleicht der Zugriff verweigert? Wenn ja Haken entfernen Eintrag oleadm32.dll löschen. Wenn das nicht so ist bin ich raus, vielleicht hat dann noch ein anderer einen Vorschlag :balla: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board