|
hal32.dll Schönen guten Abend, ich habe einen relativ neuen Laptop (2 Monate) und bis jetzt nie Sicherheitsprobleme gehabt. Seit ein paar tagen zeigt mir AntiVir allerdings eine am 08.10.08 veränderte Datei aus dem System32 Ordner als Trojaner an und zwar die Datei "hal32.dll" und zwar als TR/Hijack.AE an. Wenn ich auf Beschreibung schaue kann er mir garnichts darüber anbieten. Ich vermute nun einen Fehlalarm allerdings reagiert Antivir IMMER wenn ich den System32 Ordner öffne. Auch im Internet kann ich keinerlei Berichte zu der Datei finden ausser das sie was mit dem Booten zu tun hat. Was denkt ihr ? Anti-Malware hat auch nicht angeschlagen. Danke schonmal im Vorraus. Mein Betriebssystem : Windows Vista 32bit. Antivir ist auf tagesaktuellem Stand hal32.dll wird als TR/Hijack.AE erkannt von Antivir Sobald ich den System32 Ordner im Windowsverzeichnis öffne kommt die warnung von Antivir aber auch ab und zu zwischendurch. |
Poste doch mal zunächst nur ein Hijackthis Logfile. Dann sehen wir weiter. |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:33, on 14.11.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\TOOLS\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\taskeng.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\TOOLS\TuneUp\RegistryCleaner.exe C:\TOOLS\Firefox\firefox.exe C:\TOOLS\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\TOOLS\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\TOOLS\ICQ\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\TOOLS\ICQ\ICQ6\ICQ.exe O13 - Gopher Prefix: O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\TOOLS\Adaware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\TOOLS\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\TOOLS\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe -- End of file - 5694 bytes |
Das Logfile sieht sauber aus. Werte die hal32.dll mal bitte bei Virustotal.com aus und poste alle Ergebnisse. Mach danach auch mal einen Durchlauf mit MalwareBytes Antimalware (AntiVir-Wächter ausschalten!!) |
File size: 19456 bytes MD5...: 8ca3759d828e07fc186a4be0485ce2cb SHA1..: db28b36f31714c4afaecfa9093a16bec74cd82be SHA256: 03503637134d46dba77e16f88668c02f56dd1d7e1d4f60bd3efa7458c1fedd74 SHA512: 3fd724e32a3ae164bd8ee7e76125f876b22239e8db1611853d506e9bd04f6aca d65836698b31b467d8dc3d29b9ec277dbe87baccec1f9e88302870819749b141 PEiD..: Armadillo v1.xx - v2.xx TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x36004151 timedatestamp.....: 0xde392d31L (invalid) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3c82 0x3e00 6.33 6006c52f9cf842968506a7882ba5de7c .data 0x5000 0x13c 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d .rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca .reloc 0x7000 0x264 0x400 3.58 7dd464be2db863e1d0cf011fa39024f2 ( 5 imports ) > ADVAPI32.dll: GetUserNameA > USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA > KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime > WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState > MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy ( 31 exports ) TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall |
Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1373 Windows 6.0.6001 Service Pack 1 15.11.2008 18:05:11 mbam-log-2008-11-15 (18-05-11).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 41857 Laufzeit: 3 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Hat Virustotal nix gefunden? :confused: |
hmm also iwie anscheinend nicht oder ?Ich meine, das frage ich euch ;) . Die warnung kommt immer noch ab und an |
Ich frage deswegen weil Du nur den untersten Teil vom Virustotal Ergebnis gepostet hast! Ist da ein Scanner nun angesprungen ja oder nein? Mach danach auch mal bitte einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Code: ComboFix 08-11-22.02 - Babsi 2008-11-23 17:53:19.1 - NTFSx86 |
Ich frage nochmal!! Hat Virustotal nun in der hal32.dll was gefunden oder nicht? Ist da ein Virenscanner angesprungen ja oder nein? :kloppen: |
nein virustotal hat keinen virus angezeigt. |
Ok. Dann vermute ich einen Fehlalarm. Über diese Seite hast Du die Möglichkeit bei Avira verdächtige Dateien hochzuladen oder mögliche Fehlalarme zu melden. Mach das mal und sende denen die hal32.dll zu. |
Also nu weiss ich nich mehr weiter... Antivir stuft die datei hal32.dll als Malware ein.... Und nu ? |
Werte sie bitte noch mal bei Virustotal aus und poste die Ergebnisse. Vllt wäre es auch ganz nett, wenn Du mir sie mal schicken könntest. Zippen, mit nem Passwort versehen (infected) und dann an root240@arcor.de |
Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.28.2 2008.11.28 - AntiVir 7.9.0.36 2008.11.28 TR/Hijack.AE Authentium 5.1.0.4 2008.11.28 - Avast 4.8.1281.0 2008.11.28 - AVG 8.0.0.199 2008.11.29 - BitDefender 7.2 2008.11.29 - CAT-QuickHeal 10.00 2008.11.29 - ClamAV 0.94.1 2008.11.29 - DrWeb 4.44.0.09170 2008.11.29 - eSafe 7.0.17.0 2008.11.27 - eTrust-Vet 31.6.6234 2008.11.28 - Ewido 4.0 2008.11.28 - F-Prot 4.4.4.56 2008.11.28 - F-Secure 8.0.14332.0 2008.11.29 - Fortinet 3.117.0.0 2008.11.29 - GData 19 2008.11.29 - Ikarus T3.1.1.45.0 2008.11.29 Win32.Outbreak K7AntiVirus 7.10.537 2008.11.28 - Kaspersky 7.0.0.125 2008.11.29 - McAfee 5448 2008.11.28 - McAfee+Artemis 5448 2008.11.28 - Microsoft 1.4104 2008.11.29 - NOD32 3650 2008.11.28 - Norman 5.80.02 2008.11.28 - Panda 9.0.0.4 2008.11.29 - PCTools 4.4.2.0 2008.11.28 - Prevx1 V2 2008.11.29 - Rising 21.05.51.00 2008.11.29 - SecureWeb-Gateway 6.7.6 2008.11.28 Trojan.Hijack.AE Sophos 4.36.0 2008.11.29 - Sunbelt 3.1.1832.2 2008.11.27 - Symantec 10 2008.11.29 - TheHacker 6.3.1.1.166 2008.11.28 - TrendMicro 8.700.0.1004 2008.11.28 - VBA32 3.12.8.9 2008.11.28 - ViRobot 2008.11.28.1491 2008.11.28 - VirusBuster 4.5.11.0 2008.11.28 - weitere Informationen File size: 19456 bytes MD5...: 8ca3759d828e07fc186a4be0485ce2cb SHA1..: db28b36f31714c4afaecfa9093a16bec74cd82be SHA256: 03503637134d46dba77e16f88668c02f56dd1d7e1d4f60bd3efa7458c1fedd74 SHA512: 3fd724e32a3ae164bd8ee7e76125f876b22239e8db1611853d506e9bd04f6aca d65836698b31b467d8dc3d29b9ec277dbe87baccec1f9e88302870819749b141 ssdeep: 384:Y4y/FZnNmk1hounra/ERk4T2mwcRTPlDArOdTYISxK8v/b:DkFZNuYra/ERk DoAyTYdXz PEiD..: Armadillo v1.xx - v2.xx TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x36004151 timedatestamp.....: 0xde392d31L (invalid) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3c82 0x3e00 6.33 6006c52f9cf842968506a7882ba5de7c .data 0x5000 0x13c 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d .rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca .reloc 0x7000 0x264 0x400 3.58 7dd464be2db863e1d0cf011fa39024f2 ( 5 imports ) > ADVAPI32.dll: GetUserNameA > USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA > KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime > WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState > MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy ( 31 exports ) TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall |
Das scheint tatsächlich Malware zu sein. Lösch die Datei bitte. |
hmmm würd ich gern tun, aber ich weiss nicht wie. er sagt mir immer ich hätte keine berechtigungen usw. ...also der einfach löschweg funktioniert nicht. ich wollte dazu noch sagen das ich hier einen laptop habe und keinen desktop. |
Mach es so: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: files to delete:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board