Trojaner-Board - Wie gefährlich ist ADSpy/Stud.A.30

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wie gefährlich ist ADSpy/Stud.A.30 (https://www.trojaner-board.de/74996-gefaehrlich-adspy-stud-a-30-a.html)

Wie gefährlich ist ADSpy/Stud.A.30

Liebe Forummitglieder
Avira meldet folgendes:
C:\WINDOWS\system32\devenumd.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Stud.A.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac1eb11.qua' verschoben!
C:\WINDOWS\system32\mmcthext.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Stud.A.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaeeb19.qua' verschoben!

devenumd.dll ist meines Wissens eine Systemdatei von MSOFT. Sollte ich devenumd.dll und mmcthext.dll dennoch löschen um sicherzugehen dass keine Beeinträchtigung besteht. Angenommen es ist kein Fehlalarm: Weiss jemand wie ADSPY/Stud.A.29 einzustufen ist: Eher als nervende Spyware oder als etwas gefährliches dass vertrauliche Daten (z.B. PINs) nach aussen leitet ?Genügt es die Dateien im abgesicherten Modus zu entfernen oder ist es erforderlich zu formatieren.

Hallo und :hallo:

1.) Lade die Dateien

Code:

C:\WINDOWS\system32\devenumd.dll

C:\WINDOWS\system32\mmcthext.dll

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

2.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Danach werde ich deine Fragen beantworten.

ciao, andreas

Hallo Andreas,

Danke die Antwort. Habe beide Dateien hochgeladen. (Mir ist nicht ganz klar wie die Dateien einseits noch im System Ordner sind und gleichzeitig eine zugeordnete Datei im Quarantäneordner von Avira) Ich habe schon am Nachmittag einen Hijack This Log gemacht und bei Hijackthis.de automatisch analysieren lassen. Dabei wurde nichts verdächtiges angezeigt. Es wurde lediglich moniert dass ich eine alte Java Version habe.
ich habe bislang nicht verdächtiges am Rechner fsetstellen können, nur eine langsamesInternet-Performance (kann aber auch andere Gründe haben) und gelegentliche Geräusche (die auch vom Windows Tierchen kommen könnten)

gruss
Philip

Zitat:

Habe beide Dateien hochgeladen.

Nur die mmcthext.dll ist angekommen. So richtig gefährlich sieht die nicht aus.

Code:

Datei mmcshext.dll empfangen 2009.07.08 21:54:32 (UTC)

Status:    Beendet 

Ergebnis: 0/41 (0%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.5.0.18        2009.07.08        -

AhnLab-V3        5.0.0.2        2009.07.08        -

AntiVir        7.9.0.204        2009.07.08        -

Antiy-AVL        2.0.3.1        2009.07.08        -

Authentium        5.1.2.4        2009.07.08        -

Avast        4.8.1335.0        2009.07.08        -

AVG        8.5.0.386        2009.07.08        -

BitDefender        7.2        2009.07.08        -

CAT-QuickHeal        10.00        2009.07.08        -

ClamAV        0.94.1        2009.07.08        -

Comodo        1584        2009.07.08        -

DrWeb        5.0.0.12182        2009.07.08        -

eSafe        7.0.17.0        2009.07.08        -

eTrust-Vet        31.6.6604        2009.07.08        -

F-Prot        4.4.4.56        2009.07.08        -

F-Secure        8.0.14470.0        2009.07.08        -

Fortinet        3.117.0.0        2009.07.03        -

GData        19        2009.07.08        -

Ikarus        T3.1.1.64.0        2009.07.08        -

Jiangmin        11.0.706        2009.07.08        -

K7AntiVirus        7.10.787        2009.07.08        -

Kaspersky        7.0.0.125        2009.07.08        -

McAfee        5670        2009.07.08        -

McAfee+Artemis        5670        2009.07.08        -

McAfee-GW-Edition        6.8.5        2009.07.08        -

Microsoft        1.4803        2009.07.08        -

NOD32        4225        2009.07.08        -

Norman        6.01.09        2009.07.08        -

nProtect        2009.1.8.0        2009.07.08        -

Panda        10.0.0.14        2009.07.08        -

PCTools        4.4.2.0        2009.07.08        -

Prevx        3.0        2009.07.08        -

Rising        21.37.24.00        2009.07.08        -

Sophos        4.43.0        2009.07.08        -

Sunbelt        3.2.1858.2        2009.07.08        -

Symantec        1.4.4.12        2009.07.08        -

TheHacker        6.3.4.3.363        2009.07.08        -

TrendMicro        8.950.0.1094        2009.07.08        -

VBA32        3.12.10.7        2009.07.08        -

ViRobot        2009.7.8.1824        2009.07.08        -

VirusBuster        4.6.5.0        2009.07.08        -

weitere Informationen

File size: 61440 bytes

MD5...: 58fe863562fbbb4836d1dcd074199b79

SHA1..: eeca607ace08bbcb0e723c378fc94682a4063cfb

SHA256: 4904f746f508a23463c6ed5ed4ee4118fc2f23eec166773570fb029780ef9192

ssdeep: 1536:5KBSR7OgoREm4H5Gih1efcp/CW9VykWK1oJfUDQpL:5KBSR7O9T4HMG1efc

p/r7WK1oJfUDc

PEiD..: -

TrID..: File type identification

DirectShow filter (43.0%)

Windows OCX File (26.3%)

Win64 Executable Generic (18.2%)

Win32 Executable MS Visual C++ (generic) (8.0%)

Win32 Executable Generic (1.8%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0xb2a0

timedatestamp.....: 0x4802bfa4 (Mon Apr 14 02:21:24 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xba95 0xbc00 6.18 b05b7675e38de196a49a4743e3f5600b

.data 0xd000 0xce4 0x600 4.88 c4e09c379c4a00a47b3302ff1a4f3420

.rsrc 0xe000 0x1418 0x1600 4.75 0c1cbfda25238a5b9626458fc5c0b559

.reloc 0x10000 0x126a 0x1400 4.76 d6eb783b7f60b459e5727844c41bf7ad
 

( 8 imports ) 

> msvcrt.dll: _onexit, __dllonexit, __1type_info@@UAE@XZ, _terminate@@YAXXZ, _adjust_fdiv, _initterm, _CxxThrowException, __3@YAXPAX@Z, wcsrchr, wcschr, wcslen, _purecall, _wcsnicmp, __2@YAPAXI@Z, realloc, free, malloc, __CxxFrameHandler, _except_handler3, _callnewh

> msvcp60.dll: _nothrow@std@@3Unothrow_t@1@B, __4_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV01@PBG@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, _erase@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@II@Z, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@ABV_$allocator@G@1@@Z, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ

> KERNEL32.dll: Sleep, HeapFree, HeapAlloc, RaiseException, InterlockedExchange, HeapCreate, GetProcessHeap, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, CreateFileMappingW, CloseHandle, GetModuleHandleA, GetModuleHandleW, GetProcAddress, GetFileAttributesW, GetVersion, LocalFree, LocalAlloc, LoadLibraryW, GetLastError, SetLastError, GetModuleFileNameW, OutputDebugStringA, FreeLibrary, GetVersionExW, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, MultiByteToWideChar, lstrlenW, lstrcpyW, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, InterlockedDecrement, lstrcmpiW, LeaveCriticalSection, EnterCriticalSection, HeapDestroy, lstrcpynW, GetSystemDirectoryW, LoadLibraryExW, lstrcatW, DisableThreadLibraryCalls, lstrlenA, SizeofResource, LoadResource, FindResourceW, LoadLibraryA, WideCharToMultiByte, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, UnmapViewOfFile, GetFileSize, MapViewOfFile, CreateFileW

> USER32.dll: CopyImage, CopyIcon, LoadImageW, CharNextW, CharPrevW, DestroyIcon

> ole32.dll: CLSIDFromString, StgOpenStorage, CreateStreamOnHGlobal, StringFromCLSID, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree

> OLEAUT32.dll: -, -, -, -, -, -

> ADVAPI32.dll: RegEnumKeyExW, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegEnumValueW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, TraceEvent

> hhsetup.dll: _AddTitle@CCollection@@QAEPAVCTitle@@PBG0000GIPAVCLocation@@PAKH0@Z, _AddFolder@CCollection@@QAEPAVCFolder@@PBGKPAKG@Z, _RemoveCollection@CCollection@@QAEKH@Z, _Close@CCollection@@QAEKXZ, _Open@CCollection@@QAEKPBG@Z, __0CCollection@@QAE@XZ, __1CCollection@@QAE@XZ, _Save@CCollection@@QAEKXZ
 

( 4 exports ) 

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

PDFiD.: -

RDS...: NSRL Reference Data Set

Zitat:

ch habe bislang nicht verdächtiges am Rechner fsetstellen können

Arbeite trotzdem die Liste ab, wer weiß, was noch so alles gefunden bzw. festgestellt wird. ;)

ciao, andreas

Habe jetzt nochmal die devenum.dll hochgeladen. Was soll ich mit der mmcshext.dll machen. LÖschen? oder kann es dann sein dass dann etwas wichtiges in Windows nicht mehr tut? Wieso meldet Antivir einerseits einen Virus im Gesamtscan, wenn man die Datei aber einzeln untersucht wird nicht gemeldet? Kann es sein dass Antivir den schädlichen Teil der Datei extrahiert hat und in die Quarantäne verschoben hat und nur der unschädliche im System32 verblieben ist? Fragen über Fragen...

Gruss David

Moin David,

Zitat:

Habe jetzt nochmal die devenum.dll hochgeladen.

Auch die Datei sieht nicht so wirklich gefährlich aus, abgesehen davon, dass sie zu DirectX gehört.

Code:

Datei devenum.dll empfangen 2009.07.10 14:38:11 (UTC)

Status:    Beendet 

Ergebnis: 0/41 (0%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.5.0.18        2009.07.10        -

AhnLab-V3        5.0.0.2        2009.07.10        -

AntiVir        7.9.0.204        2009.07.10        -

Antiy-AVL        2.0.3.1        2009.07.10        -

Authentium        5.1.2.4        2009.07.09        -

Avast        4.8.1335.0        2009.07.09        -

AVG        8.5.0.387        2009.07.10        -

BitDefender        7.2        2009.07.10        -

CAT-QuickHeal        10.00        2009.07.10        -

ClamAV        0.94.1        2009.07.10        -

Comodo        1604        2009.07.10        -

DrWeb        5.0.0.12182        2009.07.10        -

eSafe        7.0.17.0        2009.07.09        -

eTrust-Vet        31.6.6607        2009.07.10        -

F-Prot        4.4.4.56        2009.07.09        -

F-Secure        8.0.14470.0        2009.07.10        -

Fortinet        3.117.0.0        2009.07.03        -

GData        19        2009.07.10        -

Ikarus        T3.1.1.64.0        2009.07.10        -

Jiangmin        11.0.706        2009.07.09        -

K7AntiVirus        7.10.788        2009.07.09        -

Kaspersky        7.0.0.125        2009.07.10        -

McAfee        5671        2009.07.09        -

McAfee+Artemis        5671        2009.07.09        -

McAfee-GW-Edition        6.8.5        2009.07.10        -

Microsoft        1.4803        2009.07.10        -

NOD32        4232        2009.07.10        -

Norman        6.01.09        2009.07.09        -

nProtect        2009.1.8.0        2009.07.10        -

Panda        10.0.0.14        2009.07.09        -

PCTools        4.4.2.0        2009.07.10        -

Prevx        3.0        2009.07.10        -

Rising        21.37.44.00        2009.07.10        -

Sophos        4.43.0        2009.07.10        -

Sunbelt        3.2.1858.2        2009.07.10        -

Symantec        1.4.4.12        2009.07.10        -

TheHacker        6.3.4.3.363        2009.07.08        -

TrendMicro        8.950.0.1094        2009.07.10        -

VBA32        3.12.10.8        2009.07.10        -

ViRobot        2009.7.10.1829        2009.07.10        -

VirusBuster        4.6.5.0        2009.07.09        -

weitere Informationen

File size: 59904 bytes

MD5...: 69c7004e9df2246926e73931272c524a

SHA1..: 9e79b2a6d1fbf24baa08833086abc17c2aef929a

SHA256: 0bc3b7729fcfe377a29727d7af69659218b3aad2af2daae8fe5403d04c6b6f6c

ssdeep: 768:NmxCEG18cAIAaIVOYjipary1epnyzswXSIVNAK4/QrDQdRC3VrjZ:4gEG1dA

08o91eaXSYA1orDQdRC3VrjZ

PEiD..: -

TrID..: File type identification

-

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x494c

timedatestamp.....: 0x4802bf7c (Mon Apr 14 02:20:44 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xb904 0xba00 6.41 785171a73b3a28ac96f3d74d3ad6039f

.data 0xd000 0x6fc 0x600 3.39 fe5e93c5077b92dcb918360dd7a9eaf3

.rsrc 0xe000 0x142c 0x1600 5.37 54547648fe6264c0564b0af32bb2a73f

.reloc 0x10000 0xf0a 0x1000 5.08 b80415bfaefb40edcd42ece213387867
 

( 7 imports ) 

> msvcrt.dll: malloc, realloc, __2@YAPAXI@Z, free, _purecall, _except_handler3, _vsnwprintf, __3@YAXPAX@Z

> KERNEL32.dll: GetModuleHandleW, ReleaseMutex, GetVersionExW, DisableThreadLibraryCalls, lstrcmpW, GetProcAddress, LoadLibraryW, CreateMutexW, LocalFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, lstrcmpiW, lstrlenW, lstrcpyW, GetLastError, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, InterlockedDecrement, MultiByteToWideChar, WideCharToMultiByte, LoadLibraryExW, FindResourceW, LoadResource, SizeofResource, FreeLibrary, lstrcpynW, GetModuleFileNameW, lstrcatW, HeapDestroy, WaitForSingleObject, GetCurrentProcess, CloseHandle, GetCurrentThreadId, lstrlenA

> USER32.dll: CharNextW, wsprintfW, LoadStringW

> ADVAPI32.dll: ConvertSidToStringSidW, RegDeleteValueW, RegEnumKeyExW, RegQueryInfoKeyW, OpenProcessToken, GetTokenInformation, IsValidSid, GetLengthSid, CopySid, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteKeyW, RegEnumKeyW

> ole32.dll: CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, StringFromGUID2, CreateBindCtx, CLSIDFromString, CreateAntiMoniker

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -

> WINMM.dll: midiOutGetDevCapsW, midiOutGetNumDevs, waveInGetDevCapsW, waveOutGetDevCapsW, waveInMessage, waveOutMessage, waveInGetNumDevs
 

( 4 exports ) 

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

PDFiD.: -

RDS...: NSRL Reference Data Set

Zitat:

Was soll ich mit der mmcshext.dll machen. LÖschen?

Klicke auf den vorletzten Link in meiner Signatur. Lies alles aufmerksam. Lies es nochmal. Dann lerne es auswendig. Der wichtige Satz ist folgender (ist rot markiert):

Zitat:

Was kann man aus dieser Geschichte lernen?

Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.
Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern.

Außerdem gilt:

Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind.

Da dich das sicher nicht beruhigen wird, schicke beide Dateien an Avira (die in letzter Zeit nur noch Falschmeldungen produzieren, so dass man sich ernsthaft fragt, ob man die noch empfehlen soll).

Klicke da drauf => Submit your sample

Gib als Namen das hier an: http://www.trojaner-board.de/74996-wie-gefaehrlich-ist-adspy-stud-30-a.html

Ändere den Typ auf Verdacht auf Fehlalarm und poste beide Links, die du dann bekommst. Damit hilfst du anderen, die die gleiche Fehlermeldung bekommen.

Wo bleiben die Logs von Malwarebytes und HJT?

ciao, andreas

Hab die Dateien an Avir geschickt. Sie haben gemeldet dass es sich um sichere Dateien aus dem MSOFT SP 3 handelt. Avir meldet den Virus inzwischen nicht mehr. Damit dürfte ich die beiden Dateien wieder aus der Quarantäne wieder rauslassen.

Mit dem posten des Hijack this tue ich mich etwas schwer. Was steht da alles drinnen? zb mein Internet Provider samt IP Adresse...ob das alles für alle Ewigkeit ins Internet gehört..!

gruss
David

Genau wie vermutet. Du musst hier gar nichts posten.

Du bist entlassen. :)

ciao, andreas