Kaspersky Warnung: Trojan.Win32.Patched.dn in User32.dll
 

Hallo Forum,

Vor ein paar Stunden bekam eine Virus Warnung von Kaspersky unter Windows XP:
In C:\windows\system32\user32.dll würde sich der Trojaner Trojan.Win32.Patched.dn befinden. Ein desinfizieren sei nicht möglich.

Ich bin zunächst auf "Überspringen" gegangen, jedoch kam die Warn-Meldung 4xmal hintereinander (jedes Mal auf "überspringen" gegangen ).
Ich bin dann mal in die Details gegangen und der unterste Eintrag (System Volume Information) kam erst nach dem 4-mal-überspringen:

http://img79.imageshack.us/img79/9186/virjt6.jpg
http://img79.imageshack.us/img79/virjt6.jpg/1/w897.png

Jedoch kommt die Meldung jetzt immer wieder in kürzeren Abständen, da kann ich so oft auf "überspringen" klicken, wie ich möchte.

Noch funktioniert scheinbar alles. Avira Personal hat auch nichts zu meckern.
Kasperky hat mir auch schon ein paar Mal anscheinend Fehlalarm gemeldet, wie ihr in den Details seht (AVI Converter z.b. ist Orginal Hersteller Software von meinem MP3-Player)

Hoffe auf eure Hilfe/Aufklärung, da ich mein System vor ein paar Monaten erst neu installieren musste und ich einige wichtige Dateein auf meiner (externen) Platte habe -.-

Danke!

Grüße
Scherbe

Hallo,

User32.dll ist normalerweise legitim.
Führe bitte einen Scan mit den zwei folgenden Tools aus:

1.)
MalwareBytes Anti-Malware:

• Lade dir MalwareBytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

http://saved.im/ndc5njj4d2lr/entfernen.png

• poste das entstandene Logfile

2.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hier schonmal die Malware BYtes Anti Malware Log:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1360
Windows 5.1.2600 Service Pack 3

03.11.2008 23:15:57
mbam-log-2008-11-03 (23-15-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 104231
Laufzeit: 16 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\_004091_.tmp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_004123_.tmp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.





-------------------------------------------------------------------------------

Noch einmal eineFrage zu Kaspersky:
Falls es such um eine Fehlmeldung handeln, kann man dann "Ausschalten", das für die DLL dauernd eine Fehlermeldung kommt?

Hallo,
habe selbiges Problem mit der user32.dll Datei. Ich arbeite mit dem AntivirenKit (AVK). wenn ich Datei desinfizieren bzw. in Quarantäne schicken drücke, dann vertschüsst sich das gesamte Windows...
Würde mich freuen, wenn Ihr eine Lösung findet...
lg, Hannes.

Hab genau den gleichen Fund heute bekommen, sogar die andere Datei A0010....dll ist bei mir auch gefunden worden..


Ich weiß nicht ob ich diese löschen soll, oder ist das nur ein fehlalarm?! antivir sagt nix!

Ich hab dassselbe Problem, was mir eben gemeldet wurde.. user32.dll. Ich wollte sie desinfizieren und mein Computer hat sich neugestartet. Die Datei ist weiterhin infiziert und nun lasse ich dieses Malwarebytes laufen, allerdings weiß ich nicht genau, wie ich das zweite Programm handhaben soll. Gehts auch anders weg?

Wie wär's, wenn ihr wie jeder andere auch ein neues Thema erstellt, statt alle in einen Thread zu posten, sodass keiner mehr durchblickt? :kloppen:

@Silent Shark: Lässt sich denn schon was aus der LOG-Datei erkennen?

(CombiFix möchte erstmal nicht ausführen, wenn die Verwendung so fatal wie beschrieben enden kann)

MBAM hat Adware/Spyware-Reste entfernt.

Kann ich verstehen, aber wenn du dich strikt an die Anleitung haltest, wird nichts passieren. ;)

Aber auch wenn etwas passieren würde, was bisher bei mir z.B. noch nie passiert ist, richten wir das wieder, da Combofix ein Backup anlegt. :)

Sry, wenn ich so blöde Newbie-Fragen stelle:

Aber was hat Spyware/Adware mit dem vermeidlichen Trojaner zu tun?

und muss man zeilen in der log-datei,wie C:\WINDOWS\system32\_004091_.tmp.dll (Trojan.Agent)
auch Spy/Adware zurechnen?

Nein, das mit der user32.dll ist imo ein False Positive.
Eher zu Rogue Software. Aber ich zähle das zu Adware, zu aggressiver Adware. ;)

Also, wenn ich dich richtig verstanden haben, tippst du eher darauf, das es ein Fehlalarm ist!?

(Ist es nicht dahin gehend nicht auch ein 'Gutes Zichen', das auch an anderer User "chrii" HEUTE die gleiche Fehlermeldung bekam und unter dem Stichwort "Trojan.Win32.Patched.dn" absolut nichts bei Google zu finden ist?)

Wennich Kaspersky anmache bekomm ich allerdings immer noch die gleiche Meldung. Kann ich das irgendwie einstellen, das diese nicht mehr kommt bzw ist das empfehlenswert?

Sende die Datei an Kaspersky: newvirus@kaspersky.com

und an Avira AntiVir: Submit your sample
(Wichtig: Bei Typ auf Verdacht auf Fehlalarm umstellen)

Folgendes kommt beim Upload bei Avira heraus:


Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
2243456 user32.dll 565 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
user32.dll MALWARE

Die Datei 'user32.dll' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Patched.BB.3 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster ist mit Version 7.00.00.228 der Virendefinitionsdatei (VDF) hinzugefügt.