Kelihos-S

[pebo]

Guten Abend,

Avast fand einen Trojaner namens "Kelihos-S" (win32:Kelihos-S).
Gefunden in Speicherblöcken von scheduler.exe, sqlservr.exe sowie sqlmangr.exe.

1. Problem: Viel kann ich mit der Info nicht anfangen, zumal Dr. Google über Kelihos nur Rudimentäres ausspuckt.
2. Problem: Avast bietet zu den Einträgen keine Steuermöglichkeit, will heißen, ich kann die Malware nicht isolieren etc.

Hat jemand hier Erfahrung mit Kelihos?

Schöne Grüße
pebo

[TerraX]

Hallo und Willkommen im Forum!

Erfahrung mit dem Kelihos-S habe ich "leider" nicht, habe darüber auch nicht viel gefunden.
Nur über den Kelihos-A habe ich was gefunden, das liest sich aber nicht wirklich beruhigend.
http://translate.google.com/translate?hl=de&sl=en&u=http://about-threats.trendmicro.com/Malware.aspx%3Flanguage%3Dus%26name%3DWORM_KELIHOS.SM&sa=X&oi=translate&resnum=10&ct=result&prev=%2Fsearch%3Fq%3Dwin32:Kelihos-S%20entfernen
Wie sieht es aus, wenn du einen Scan im abgesicherten Modus mit avast! machst.
Alternativ dazu kann ich dir noch MBAM empfehlen, auch bitte im abgesicherten Modus. Hier ein Link und eine kurze Anleitung dazu.
http://www.bremer-treff.de/tipps-und-tricks/sicherheit/umgang-mit-malwarebytes-antimalware.html
Wenn das aber alles nichts hilft, wirst du um eine Neuinstallation von deinem Betriebssystem nicht herum kommen. Aber vielleicht kann dir Asyn mehr sagen....hoffe ich für dich.

[Asyn]

1. Avast fand einen Trojaner namens "Kelihos-S" (win32:Kelihos-S).
Gefunden in Speicherblöcken von scheduler.exe, sqlservr.exe sowie sqlmangr.exe.

2. Problem: Avast bietet zu den Einträgen keine Steuermöglichkeit, will heißen, ich kann die Malware nicht isolieren etc.

1. Mach' eine Startzeit-Prüfung mit avast!. (Setze den Wirkungsgrad auf: Hoch) Danach folge TerraX's Vorschlag und scanne mit Mbam.
Poste die Ergebnisse hier.
2. Das ist normal, nachdem es im Speicher gefunden wurde.
Willkommen im Forum,
asyn

[pebo]

Herzlichen Dank für die Antworten!

Ich habe nun Schnellprüfung, Komplettprüfung und Komplettscan über Avast (abges. Modus) gemacht, ferner den Quickscan des Malwarebytes durchgeführt - nüschd! Muss ich nicht verstehen.

Asyn, wie habe ich den Satz "Das ist normal, nachdem es im Speicher gefunden wurde" zu verstehen? Was passiert denn dann mit "Speicher-Malware"?

Schöne Grüße
pebo

[Asyn]

1. Ich habe nun Schnellprüfung, Komplettprüfung und Komplettscan über Avast (abges. Modus) gemacht, ferner den Quickscan des Malwarebytes durchgeführt - nüschd! Muss ich nicht verstehen.

2. Asyn, wie habe ich den Satz "Das ist normal, nachdem es im Speicher gefunden wurde" zu verstehen? Was passiert denn dann mit "Speicher-Malware"?

1. Gut..!! Es scheint sich um ein FP zu handeln..! (Weitere Infos folgen.)
Um sicher zu gehen, kannst du die betroffenen Dateien bei www.virustotal.com hochladen und überprüfen.
2. Gar nichts, man kann kein Speicherabbild in den Container verschieben.

[DavidR]

Is this from a custom scan with Memory included ?

If so see below, I will leave this to Asyn to interpret:

Ist dieses von einem kundenspezifischen Scan mit Gedächtnis eingeschlossen?

Wenn so unten sehen Sie, überlasse ich diesem Asyn, um zu deuten:

OK, scanning the memory in a custom scan can produce some weird results. So I would suggest not running a custom memory scan as it is very thorough and can produce unexpected results. e.g. detection of unencrypted virus signatures from other security applications, etc.

As one of the avast team has said in the past, if malware has got into the memory, a memory scan it too late.

So I would stick to the Quick and Full System scans, whilst these both scan memory, they aren't anywhere near as detailed/thorough and generally they don't produce these anomalies.

EDIT:
Whilst this is a different file name, it is the same virus signature and if there is a problem with that it may have the same problem.

Während dieses ein anderer Dateiname ist, ist es die gleiche Virusunterzeichnung und wenn es ein Problem mit dem gibt, kann es das gleiche Problem haben.

[Asyn]

Is this from a custom scan with Memory included ?

Yep.

[OT]: Sensational (bad!!) translation..!!! ROFL
PS: Welcome to the German section Dave...!!

[DavidR]

Which is why I passed it off to you, Technical stuff never translates well

Been her before I think, just say the Kelihos-S title and had just dealt with one on the English side of the forums.

[Asyn]

Been her before I think...

You were..??!
Sorry, if I missed it.

@Alle: Sorry für diesen kurzen OT-Ausflug...

Edit: Tippfehlerkorrektur

[pebo]

Hallo, das, was David schreibt, macht für mich als blutiger Laie durchaus Sinn (ich hoffe, das ist in der Tat der Auslöser gewesen    ). Hoffe, das alles in Ordnung ist. 1000 Dank für die superschnelle Hilfe!

Schöne Grüße
pebo

[Asyn]

1. Hallo, das, was David schreibt, macht für mich als blutiger Laie durchaus Sinn (ich hoffe, das ist in der Tat der Auslöser gewesen    ).
2. 1000 Dank für die superschnelle Hilfe!

1. Nun, wenn du zufrieden bist, bin ich (sind wir) es auch..!
2. Bitteschön..!
Schönen Abend,
asyn

[Asyn]

Es scheint sich um ein FP zu handeln..! (Weitere Infos folgen.)

Hinweis: Das FP wird noch heute mit VPS 110824-1 behoben.
Schönen Tag,
asyn

[DavidR]

-- Kelihos-S detections in memory see:

We will change this detection to avoid memory scan false positive alerts. This change will be in VPS update 110824-1.

[Asyn]

-- Kelihos-S detections in memory...

Dave, see Reply #11..!!