Artus

Trojan.Win64.AutoStart.AMN (A) in avmadd64.dll

Recommended Posts

Guten Tag!

 

Nach monatelanger Ruhe fand EAM heute bei mir einen Trojaner mit dem Namen Trojan.Win64.AutoStart.AMN (A) in der Datei avmadd64.dll im Ordner C:\Windows\System32\.

 

Der Trojaner lässt sich weder entfernen noch in Quarantäne schicken, d.h. beim nächsten Scan taucht er immer wieder auf. Auch die Recovery mittels Arconis-Datensicherung von vor 10 Tagen half nicht. Offensichtlich muß der Trojaner schon länger dagewesen und die Signatur erst jetzt dazugekommen sein.

 

Interessanterweise erklärt ein Scan der einzelnen Datei avmadd64.dll mittels rechter Maustaste diese als sauber. Bei einem Scan des gesamten System32-Ordners hingegen wird der Trojaner in genau dieser Datei wieder aufgespürt. Die Datei gehört m.E. zur Software meines AVM-Wifi-USB-Sticks.

 

Anbei noch zwei aktuelle Logs: 1. nach Scan des gesamten Systems und 2. nach Scan der einzelnen, angeblich infizierten Datei, die übrigens trotz 'Löschung' immer noch vorhanden war.

 

Wie bekomme ich den wieder los ohne mein System komplett wieder aufbauen zu müssen?

 

Schon mal Danke für die Hilfe, die mir in diesem Forum hoffentlich zuteil werden wird.

 

Mein System:

Windows 7 64 bit

Emsisoft Anti-Malware

Online-Armor

 

 

Share this post


Link to post
Share on other sites

Hi und Willkommen beim Emsisoft Support Forum!

 

Bitte mal Emsisoft öffnen und in den Reiter Quarantäne wechseln. Wird die Datei dort angezeigt? Wenn ja, bitte auf Datei einsenden klicken und als Beschreibung "Fehlalarm" eintippen.

 

Desweiteren bitte mit Rechtsklick auf das Taskleistensymbol von Emsisoft ein manuelles Update durchführen. Wird die Datei bei einem erneuten Scan immer noch erkannt?

Share this post


Link to post
Share on other sites

Danke für die schnelle Antwort.

 

Habe Emsisoft manuell upgedated, einen neuen Scan laufen lassen und das gefundene Objekt nochmals in die Quarantäne gegeben. Danach war die Quarantäne-Liste allerdings immer noch leer. Ein neuer Scan zeigt mir auch den Trojaner wieder.

 

Kann man noch etwas anderes machen?

Share this post


Link to post
Share on other sites

Hi,

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

  • Klicke auf Wählen Sie eine
  • Kopiere nun folgendes in die Suchleiste

    C:\Windows\System32\avmadd64.dll
    
  • und klicke auf Öffnen.
  • Klicke auf Scannen!.
  • Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen

    Diese Datei wurde bereits von VirusTotal analysiert...

    klicke auf Neu analysieren.
  • Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
  • Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Share this post


Link to post
Share on other sites

Hi,

 

das nun stellt mich vor ein neues Problem: Bei Eingabe des o.g. Dateipfades meldet die Box von VT es gäbe eine solche Datei nicht. Ich sehe sie auch nicht, wenn ich von dort ins System32-Verzeichnis gehe. Stattdessen wird mir eine Datei avmadd32.dll angezeigt. Im Windows Explorer ist es genau umgekehrt, da gibt es die avmadd32.dll nicht, nur die avmadd64.dll. (Explorer zeigt auch versteckte und Systemdateien an).

 

Ich weiß, das klingt heftig nach Benutzer-Fehler, ich bin mir aber sicher. Anbei ein Screenshot im gif-Format um dieses Phänomen zu zeigen.

 

Habe die avmadd32.dll bei VT hochgeladen und die ist sauber:

https://www.virustotal.com/de/file/18f46f9a62eb9d2bea4cc67a4bda120bf6fefa1dc127ba81cbff0456cf2e8e36/analysis/1368694924/

 

Habe inzwischen mein System auch mal mit Malwarebytes und ESET online gescannt und beide finden nichts. Mir gehen die Ideen aus ...

 

 

Share this post


Link to post
Share on other sites

Das ist nur die 64bit-Version. Die datei ist sauber, es handelt sich nur um eine Fehlerkennung von Emsisoft. Also kein Grund zur Sorge. Ich werde das weiterleiten.

Sobald es ein Update mit neuer Erkennung gibt lasse ich es Dich wissen :).

Share this post


Link to post
Share on other sites

Dieses Thema scheint erledigt und wird geschlossen.

Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.