PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Win32: tiny-ADJ



Steffi
30.08.09, 11:22
Betriebssytem: WinXP 64, SP 3
kostenlose Avast Version für private Nutzung

Sofort nachdem Windows gestartet wird meldet Avast, dass eine Probe des Trojaners Win32: tiny-ADJ in der Datei d3ca203219.exe gefunden wurde. Es ist aber nie möglich, diese Datei zu löschen, umzubennen oder zu verschieben. Stattdessen kommt die gleiche Meldung immer wieder bis man Avast abstellt. Ich habe versucht, die Datei von Hand zu löschen und sie mit Hijack This zu deaktivieren. Nach jedem Systemstart ist sie wieder da und aktiv.

Der Trojaner befindet sich laut Avast in C:\documents&settings\administrator\application data\macromedia\common\d3ca203219.exe

Der Onlinescanner von F-Secure findet nichts. Die kostenlose Testversion von Kaspersky auch nicht. Existiert dieser Trojaner überhaupt? Warum meldet Avast, dass "eine Probe" gefunden wurden? Könnte es sich um eine falsch positive Meldung handeln? Wie kann ich den Trojaner loswerden, wenn er denn existiert?

Vielen Dank im Voraus für jede Hilfe!

Merlin
30.08.09, 11:51
Hallo,

der Dateiname und der Ablageort sprechen eigentlich dafür, dass es sich um einen Virus handelt. Die Übersetzung von avast! aus dem Englischen ist nicht immer perfekt. Ich würde jetzt die Systemwiederherstellung ausschalten und einen Bootzeitscan durchführen, weiss allerdings nicht, ob dieser in der WinXP 64-bit Version verfügbar ist, in der Vista 64-bit Version ist er es nicht.

Systemwiederherstellung ausschalten: viewtopic.php?f=20&t=941#p3530 (http://forum.avast.de/viewtopic.php?f=20&t=941#p3530)
Bootzeitscan durchführen: viewtopic.php?f=20&t=941#p3539 (http://forum.avast.de/viewtopic.php?f=20&t=941#p3539)

Wenn das nichts hilft, könnte man noch versuchen, den Virus im abgesicherten Modus von Windows selbst zu entfernen (auch hier mit vorher abgestellter Systemwiederherstellung). Dann müsste man im abgesicherten Modus starten, die Datei manuell löschen und auch in der Systemregistrierung die Datei entfernen. Dazu startet man regedit.exe und sucht dort nach dem Dateinamen. Den gefundenen Eintrag (bzw. die gefundenen Einträge) sollte man dann löschen. Bitte jedoch beachten, dass die falsche Handhabung des Registrierungseditors zu Schäden an Windows führen kann und wir keine Verantwortung dafür übernehmen.

Hnes
30.08.09, 19:43
Ich habe das selbe Problem. Systemwiederherstellung aus + Boot-Time-Scan waren bei mir nicht erfolgreich. Es wurden zwar ne mehrere infizierte Dateien gefunden und auch gelöscht, das Problem trat aber wieder auf.
Die besagte Anwendung schreibt sich mit jedem Öffnen und Schließen eines beliebigen Programmes wieder neu.
Der Trojaner wird erst seit dem letzten Update erkannt. Ich habe die Datei bei VirusTotal durchgecheckt und der Trojaner wird nur bei 8 von 41 der gängisten Antivirusprogramme erkannt.

a-squared 4.5.0.24 => Trojan.Win32.Riern!IK
Ikarus=> Trojan.Win32.Riern
McAfee+Artemis=> Artemis!7460B28A4276
Microsoft 1.5005=> Trojan:Win32/Riern.A
Norman=> Smalltroj.PMXP
Panda 10.0.2.2=> Generic Trojan
Prevx 3.0=> Medium Risk Malware
Sophos 4.45.0=> Mal/Generic-A
Bisher liefert keines der Programme eine anständige Beschreibung über das Verhalten. Microsoft erkennt ihn auch erst seit letzter Woche.
Neben c458c00a19.exe befindet sich auch eine DLL datei mit namen c458c00a1.dll im Ordner, die ebenfalls zum Trojaner dazugehört. Sie wird zwar nicht von Avast, aber von anderen Programmen (in meinem Fall Prevx 3.0) als schädlich wahrgenommen und schreibt sich genau wie die .exe immer wieder neu.

Hnes
31.08.09, 10:37
Malwarebytes Anti-Maleware Resultate


C:\Dokumente und Einstellungen\MUSTERMANN\Anwendungsdaten\Macromed ia\Common\c458c00a1.dll (Hijack.Sound) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\MUSTERMANN\ANWEND~1\MACROM~1\Common\ c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.


Sieht nach ner Mutation oder so vom silent banker aus.
Naja, werd wohl System neuaufsetzen und ebay anrufen...

Steffi
31.08.09, 11:21
Nachdem ich die Systemwiederherstellung abgeschaltet und die Dateien d3ca20321.dll und d3ca203219.exe von Hand gelöscht habe, sind sie nach dem nächsten Systemstart nicht wieder aufgetaucht. Dann habe ich sämtliche Einträge in der Systemregistrierung gesucht und gelöscht. Habe die Systemwiederherstellung wieder angestellt und neu gebootet. Jetzt scheint alles in Ordnung zu sein.

Danke noch einmal für die hilfreichen Beiträge. Hoffentlich ist der Trojaner nun entgültig verschwunden.

Catweezel
31.08.09, 17:40
Naja, werd wohl System neuaufsetzen und ebay anrufen...
diese Entscheidung kann ich nur voll und ganz unterstützen. Die ganze Sache hat sich bei dir schon zu tief eingegraben in dein System.

btw.
es ist immer besser, den Ratschlägen einen Threads erst mal zu folgen, als gleich zu posten.
Sich mittendrin "reinzuhängen" ist nicht sehr übersichtlich... auch für die, die helfen wollen.

Gruß Catweezel