Wurmbefall oder kein Wurmbefall

[JackSparrow]

Hallo ihr,

Habe mal nach langer zeit wieder mal einen Scan mit Ad-Aware gemacht.
Und siehe da er zeigte mir tatsächlich an das in einer DLL-Datei ein Wurm vorhanden ist.
Ort der Datei
unter prg\gemeinsame dateien\installshield\profesional\RunTime\0700\intel32
dort soll in der datei setup.dll
der wurm: Email-Worm.Win32.Brontok.q vorhanden sein.
Darauf hin habe ich mal mit S&D die datei gescannt und der hatte nichts daran auszusetzten.
schliesslich machte ich einen onlinescann mit Virus Total. Und in den Ergebnissen zeigte nur 1von39 das in der betreffenden Datei ein Wurm vorhanden ist.
wie hier zu sehen ist
http://www.virustotal.com/de/analisis/4bfff0418887070dbf26534bd4f40fbc

Jetzt nun meine frage kann ich diese datei einfach löschen. Oder ist es ein Fehlalarm
In der beschreibung zu diesem Wurm steht ja das es es mail wurm ist der sich Anhang von Mails verbreitet.
Eine rechnerinfizierung besteht aber glaube ich nicht da auch in der beschreibung steht das beim öffnen des Regedit ein fenster öffnet.
http://www.viruslist.com/en/viruses/encyclopedia?virusid=121383
aber sowas kommt bei mir nicht.
auch alles andere was dieser wurm anstellen soll ist bei mir nicht.

Kann ich also diese datei einfach löschen ohne das probleme auftauchen.

 

[Purdy]

lösch doch einfach die Datei.
Könnte aber durchaus ne falsche Definition sein!

 

[h3@d1355_h0r53]

Lade mal Malwarebytes und mache einen Scan. Eventuell noch Hijackthis Scan & Logfileauswertung.

 

[Kraligor]

Bei einer möglicherweise infizierten Datei empfiehlt sich das Hochladen auf eine Seite wie www.virscan.org. Dort wird sie automatisch von einer Menge aktueller Scanengines getestet. Wenn nur max. ~10% etwas finden, dürfte es sich um Fehlalarm handeln.

 

[JackSparrow]

hochgeladen hatte ich ja diese datei und nur einer zeigte an das in der datei ein wurm ist.
Eine Logauswertung mit Hijackthis hatt nichts ergeben.

habe die datei mal in quarantaine geschickt von ad-aware, mal sehen ob beim nähsten update der gleiche fehler kommt.
Und so wichtig ist diese datei ja nicht, die gibts es so oft auf dem PC
aber danke für eure hilfe

 

[Kraligor]

Oh sorry. Hatte ich überlesen. Ich würde auf false positive tippen, bringt die Heuristik so mit sich..

 

[RuPyY]

Also. . .
ich habe auch diesen wurm "Brontok" bei mir auf dem PC. . . zumindest sagt mir das ein programm das nicht meins ist und alle 5 min nervt es habe einen Virus gefunden. . .das programm möchte das ich was runterlade um den virus loszuwerden was ich nicht tuen werde. . .hab bei google schon gesucht und zumindest rausgefunden das ich den eigentlicehn wurm mit diesem Programm runterladen würde. . . jez ist meine frage: wie werde ich dieses sich immer wieder öffnende fenster wieder los???

das ist das fenster das sich immer wieder öffnet und nervt. . .
ich wäre wirklich dankbar über eure hilfe

 

[Agi Hammerklau]

Und was passiert wenn Du "Enable Protection" drückst?

 

[RuPyY]

nichts...
manchmal aber auch(wenn sich firefox öffnen lässt) wieder die seite wo ich mir dieses eine programm runter laden soll

 

[Agi Hammerklau]

Also ein Fake-Programm daß Dir teuren Software-Müll andrehen will und zum Dank noch nen Wurm nachläd? Du müßtest mal Deinen ganze Autostart durchforsten und sehen ob Du es findest und deaktivierst, dann müßte Ruhe sein.

 

[RuPyY]

also ich hab alles durchforstet und nichts gefunden...
ich mein das programm tut mir so nichts es nervt halt nur...
ich glaube ich werde wenn ich mal etwas mehr zeit habe meinen comp so oder mal aufräumen müssen...
von daher...
Danke für eure/deine Hilfe!!!

 

[markus1234]

Aufräumen hilft da nicht mehr viel.
Du hast eine der neusten Varianten dieses Fake-Schädlings auf dem Rechner.

Es gaukelt dir permanent vor, dass du einen Schädling hast, welcher sich aber natürlich nur mit einer Vollversion einer kostenpflichtigen Antiviren-Software entfernen lässt.

Im Grunde ist all das ein Virus, die Definition stimmt und es entsteht ein Schaden.

Die neue Variante lässt sich nur unglaublich schwer - bis gar nicht entfernen. Dahinter stecken verdammt helle Köpfchen. Bei den ersten Varianten konnte man teils noch mit SpyBot Search&Destroy auf Erfolg hoffen. Probier es mal. Ansonsten empfehle ich dir dringlichst die Kiste platt zu machen, sprich Formatieren und Neu Installieren.

mfg,
Markus

 

[The0d0or]

Ich habe den Scheiß auch drauf und scheinbar bin ich nicht der einzige, denn ich habe mehrere Foren durchforstet und fand es bei vielen.
Der Fake-Virus muss recht neu sein, denn es gibt erste Meldungen erst seit 05./06.2009.
Ich probier es gleich einmal mit Spybot.

Achso und Malwarebytes bringt nix -.-

Ergänzung (8. Juli 2009)

Also, für jene die das selbe Problem haben:
Spybot S&D bringt auch nichts, ich denke nun muss ich wie markus schon sagte alles formatieren.

 

[Agi Hammerklau]

So nen Schieet-Kerl der das verzapft würde ich gern mal in meiner Jauchengrube überwintern lassen......wenn einer unbedingt solchen Müll (Viren, Rootkits,Trojaner,Würmer) schreiben will soll er das auf seinen eigenen Rechner austoben lassen.

 

[markus1234]

Naja, da geht es nicht um Kiddies in Garagen die sich über die Opfer halb tot lachen, sondern um Millionenbeträge.

 

[Housechen]

Hijackthis-Logfile posten und ebenso das von GMER.
Software über Google zu finden.

 

[The0d0or]

Ich habe es geschafft .
Heute früh um 4:20 war es dann soweit, keine nachricht von Firewall, mein Firefox stürzt nicht mehr ab und auch sonst alles super .

Also ich habe was gefunden:
und zwar, im Ordner Google (Cokumente und Einstellungen\"Benutzerkonto"\Anwendungsdaten\Google) waren zwei Files die dort nicht hingehörten: "Shell32.dll" und noch die zlgai50494.exe.
Ich hatte aus mehreren Foren entnommen das diese Dateien irgendetwas damit zu tun haben (also das sie infiziert seien), jedoch habe ich sie probiert mit AntiVir, Malwarebytes und und und zu identifizieren doch keines der programme konnte es.
Gestern Abend hat AntiVir mir aus "heiterem Himmel" gemeldet es hätte einen Virus bzw. zwei Viren gefunden (endlich ) und sie waren in den besagten Dateien, nachdem ich beide Dateien "repariert" habe war das Problem noch nicht behoben, das Pop-Up kam immer noch.
Also habe ich nochmal nach dieser Anleitung hier gehandelt:
http://topsecretsupport.com/index.php?topic=136.0

Obwohl ich ja wusste das ich den eigentlichen Virus noch nicht einmal hatte.
Und jetzt hatte Malwarebytes im abgesicherten Modus nochmal 3 infizierte dateien gefunden:
1 restry eintrag und 2 trojaner, danach war alles behoben (hoff ich zumindest)!
So hier noch die Logs von Malwarebytes:
Ich weiß nich ob der erste Fund irgendetwas damit zu tun hatte:

Malwarebytes' Anti-Malware 1.38
Database version: 2385
Windows 5.1.2600 Service Pack 3

08.07.2009 14:20:07
mbam-log-2009-07-08 (14-20-07).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 208332
Time elapsed: 2 hour(s), 49 minute(s), 38 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kuamgym (Trojan.Agent.H) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

So hier noch der zweite:

Malwarebytes' Anti-Malware 1.38
Database version: 2385
Windows 5.1.2600 Service Pack 3

09.07.2009 03:58:47
mbam-log-2009-07-09 (03-58-47).txt

Scan type: Quick Scan
Objects scanned: 157084
Time elapsed: 10 minute(s), 32 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\realteks (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Muss ich mir jetzt noch irgendwie sorgen machen, oder ist es jetzt alles behoben?
Also wie gesagt Pop-Ups von Firewall bekomm ich nicht mehr und meine Browser kann ich auch mit meinem "gewöhnlichen" Benutzername benutzen ohne das sie abstürzen.

 

[markus1234]

Warte doch bitte 2, 3 Tage.
Diese Dinger setzen schon seit einigen vorherigen Versionen ein Rootkit.

Quote: "I'll be back".
Solution: Format.

Aus einer lästigen Maleware wurde eine Stahlzecke
Das unterstreicht auch meine These, dass Antivirenprogramme spätestens in 1-2 Jahren überflüssig sind, weil sie dem aktuellen Stand der Virenautoren bereits jetzt keine Paroli mehr bieten können.

mfg,
Markus