Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   „Win32:Malware-gen“ in C:\HP\HPQWare\aim_icq\triton_fr_fr\aoldlmgr.exe (https://www.trojaner-board.de/96552-win32-malware-gen-c-hp-hpqware-aim_icq-triton_fr_fr-aoldlmgr-exe.html)

HairPolice 16.03.2011 05:59

„Win32:Malware-gen“ in C:\HP\HPQWare\aim_icq\triton_fr_fr\aoldlmgr.exe
 
Liebe Leute,

ich würde mich sehr freuen, wenn mir jemand von Euch bei einem Virus-Problem helfen könnte. Nach einem Virenscan mit Avast 4.8 hat das Programm mehrere Meldungen über „Win32:Malware-gen“ gemacht und die betroffenen Dateien in Quarantäne gesteckt. Folgende Dateien laut Avast sind betroffen:

C:\HP\HPQWare\aim_icq\triton_fr_fr\aoldlmgr.exe
C:\HP\HPQWare\aim_icq\triton_it_it\aoldlmgr.exe
C:\HP\HPQWare\aim_icq\triton_nl_nl\aoldlmgr.exe
C:\HP\HPQWare\aim_icq\triton_de_de\aoldlmgr.exe
C:\HP\HPQWare\aim_icq\triton_en_db\aoldlmgr.exe
C:\HP\HPQWare\aim_icq\triton_fr_fr\aoldlmgr.exe
C:\HP\HPQWare\aim_icq\triton_es_es\aoldlmgr.exe

Da die betroffenen Dateien alle in einem Ordner enthalten waren, habe ich den Scan erstmal (leicht panisch) abgebrochen und kein Protokoll gespeichert. Avast läuft gerade erneut auf „Thorough Scan“ durch (ist immer noch bei gerade 4%). Ich gehe mal davon aus, dass das Programm mir nichts meldet, da die Dateien ja schon Quarantäne sind (?).

Da ich mich nicht auskenne habe ich im Netz recherchiert. Zur Datei „aoldlmgr.exe“ habe ich leider nur englische Beiträge entdeckt, die ich nicht verstanden habe. Daraufhin habe ich Folgendes gemacht:

Ich habe eine der Dateien wiederhergestellt und insgesamt zwei Mal bei „virus total“ durchlaufen lassen. Beim ersten Mal habe ich eine Trefferquote von 18% gehabt. Nachdem ich dieses Forum hier gefunden habe, habe ich den Vorgang wiederholt, um das Protokoll speichern zu können. Dabei habe ich nur 4,8% bekommen. Das Ergebnis befindet sich im Anhang.

Danach habe ich die Datei wieder in Quarantäne versetzt, per drag&drop in den Ordner „user files“ im Virus Chest. Ich kann die Datei dann allerdings immer noch im Originalverzeichnis sehen.

Wenn ich nun auf „all files in chest“ klicke, sind dort noch mehr Dateien:

3x kernel32.dll
winsock dll
wsock32.dll

die sollen da allerdings laut Avast seit 2008 und 2009 drin sein, was mich etwas verwirrt, weil ich nicht weiß, wie sie da rein gekommen sind.

Danach habe ich dieses Forum gefunden. Auf den Hinweis des Einführungsbeitrages hier im Forum habe ich mir „Malwarebytes-Anti-Malware“ und „OTL-Systemscan“ heruntergeladen, nach Anleitung installiert und durchlaufen lassen.

MBAM findet nichts, der Bericht ist mit den OTL.Txt-Dateien im Anhang. Ich hoffe, ich habe so erstmal alles richtig gemacht.

Nun möchte ich Euch um Rat fragen, wie ich weiter vorgehen soll. Ich habe leider keine Ahnung, um was für Dateien es sich da handelt und wie die Ergebnisse der Programme zu interpretieren sind. Kann ich sie einfach löschen? Muss ich noch andere Schritte einleiten?

Über Antworten würde ich mich sehr freuen.

Schöne Grüße
Jan

cosinus 16.03.2011 11:59

Hast du die Links zu Virustotal noch? Wenn ja posten.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

HairPolice 16.03.2011 12:28

Hallo Arne,

vielen Dank für Deine schnelle Antwort. Ich habe heute nacht/morgen noch einen dritten Versuch bei virustotal gestartet. Der erste Link ist das Ergebnis, was ich oben angehängt habe:

hxxp://www.virustotal.com/file-scan/report.html?id=9ecd3ef7e47293343ee7c7a7c172e788e45d42b9ece208cbe2f1ebf1f9ac6e38-1300248054

Der nächste Versuch ist hier:

hxxp://www.virustotal.com/file-scan/report.html?id=9ecd3ef7e47293343ee7c7a7c172e788e45d42b9ece208cbe2f1ebf1f9ac6e38-1300248695

Den ersten finde ich leider nicht mehr. Was mir noch eingefällt: Es könnte auch sein, dass ich beim zweiten und dritten Versuch eine andere der von Avast angezeigten aoldlmgr.exe dort hochgeladen habe. Es hat gestern etwas gedauert, bis ich einen Überblick über alles bekommen habe...

Im Anhang sind drei Logs von Malwarebytes, sind das die richtigen?

Wahrscheinlich ist es wichtig: Malwarebytes ist erst durchgelaufen (mit "quick scan"), seit ich die eventuell infizierten Datein schon in Quarantäne gesteckt habe.

Mir sind übrigens keine besonderen Fehlfunktionen meines Rechners aufgefallen, außer, das Firefox manchmal meldet, er sei noch geöffnet, ich könne ihn daher nicht aufrufen, obwohl das Programm geschlossen ist. Das ist aber in den letzten drei Wochen etwa 2-3 Mal passiert.

Danke + Schöne Grüße
Jan

cosinus 16.03.2011 12:33

Du hast doch den AIM drauf? Dann ist das ein Fehlalarm. Nur sehr wenige und doch eher exotische Scanner sind angesprungen.

cosinus 16.03.2011 12:49

Zitat:

Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

HairPolice 16.03.2011 14:05

Ich habe jetzt nochmal einen Vollscan mit Malwarebytes gemacht (s. Anhang), das Programm hat nichts gefunden.

(Ist AIM der AOL-Instant-Messenger? Habe ich noch nie benutzt.)

Soll ich die Dateien einfach in Quarantäne lassen? Oder das ganze an Avast mailen?

Entschuldige bitte meine wahrscheinlich trivialen Fragen, das ist meine erste wirkliche Erfahrung mit so einem Problem. Deine Einschätzung als Fehlalarm beruhigt mich auf jeden Fall ungemein.

Ich danke Dir ganz herzlich für Deine Zeit und Deinen Rat.

Jan

cosinus 16.03.2011 14:12

Zitat:

(Ist AIM der AOL-Instant-Messenger? Habe ich noch nie benutzt.)
Wenn du den eh nicht nutzt, kann der auch deinstalliert werden. Um die Fehlalarme brauchst du dich nicht zu kümmern.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:

:OTL
[2010.06.01 17:17:22 | 001,556,992 | ---- | C] () -- C:\Windows\is-T78JQ.exe
@Alternate Data Stream - 24 bytes -> C:\Windows:FD21E0E8FA0697E1
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

HairPolice 16.03.2011 14:36

Das habe ich jetzt gemacht. Ein Logfile kam allerdings nicht, als ich "fix" gedrückt habe. Der Rechner musste neu gestartet werden. Im neuen Ordner "OTL" ist eine .txt-Datei, die ist im Anhang.

Außerdem sind in dem Ordner "Moved Files" eine Install-Datei mit Namen "is-T78JQ und ein Ordner System32\drivers\etc\host

cosinus 16.03.2011 14:49

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

HairPolice 16.03.2011 15:38

So, ich habe alles ausgeführt. ComboFix hat meinen Rechner neu gestartet und eine Log-Datei angezeigt und wurde beendet. Dann wollte ich die Firewall wieder starten, das ging aber nicht. Firefox reagiert auch nicht. Ich benutze gerade einen anderen Rechner. Wenn ich ein Programm öffnen möchte, kommt folgende Warnmeldung:

"Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde"

Habe ich etwas falsch gemacht? Was kann ich nun machen?

Schöne Grüße
Jan

cosinus 16.03.2011 16:14

Wo ist denn das Logfile?

HairPolice 16.03.2011 16:17

Das befindet sich auf meinem Rechner, auf dem ich gerade keine Programme öffnen kann. Ich benutze gerade einen anderen Rechner um zu posten. Auf meinem Rechner kann ich das wordpad nicht mehr öffnen. Ich versuche mal, das Logfile auf meinem USB-Stick zu speichern und hier auf den Rechner zu ziehen.

cosinus 16.03.2011 16:20

Wordpad brauchen wir auch nicht, sondern den Editor (notepad). Eigentlich braucht es nichtmal den, es reicht wenn du das Log hier als Anhang postest.

HairPolice 16.03.2011 16:22

OK, habe die Datei hier, ist im Anhang.

cosinus 16.03.2011 16:27

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131