Schnelltest: Neuer Virus, ahnungslose User seit Monaten infiziert! - Paules-PC-Forum.de

**AHT** · 31.03.2012, 13:57

Werbung

Zu viel Werbung?
Hier kostenlos bei Paules-PC-Forum.de registrieren!

Um die Weihnachtszeit herum ist uns hier im Forum das Auftreten eines neuen Trojaners aufgefallen. Bislang wird der Virus von den Virenscannern in der Regel nicht erkannt und die User sind manchmal seit mehreren Monaten mit der Malware infiziert, die unter anderem scheinbar weitere Trojaner nachladen kann.
Um zu testen, ob ihr von dem Virus befallen seit, könnt ihr hier einen Schnelltest durchführen.
Ladet folgende Datei herunter und führt sie aus: LanmanworkstationChecker
Es öffnet sich danach eine Messagebox, die sagt ob der Rechner infiziert ist oder nicht. Desweiteren wird gesagt, was weiter zu tun ist.

Hier ein Beispiel für einen nicht infizierten Rechner:

Der hier ist scheinbar infiziert:

Bitte beantwortet auch die Umfrage!

Wenn eine Messagebox mit der Überschrift Fehler oder Scheinbar Infiziert erscheint, wäre auch noch der Text im danach erscheinenden Fenster Infos über den Scan wichtig!

Bitte versucht nicht, den Virenbefall selbst zu fixen - das geht in die Hose, denn der Trojaner installiert zusätzlich in der Regel mindestens einen versteckten RootKit-Treiber!

**AHT** · 31.03.2012, 15:48

Besten Dank an alle für die Rückmeldungen! Habe den Beitrag hier wieder etwas bereinigt.

Kato Fuji · 01.04.2012, 00:54

Zitat:

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\WINDOWS\System32\wkssvc.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.

MD5 der DLL:

Die im Lanmanworkstation Schlüssel angegebenen DLL ist scheinbar nicht von Microsoft signiert - das könnte unter Umständen auf eine Infektion hindeuten!

Ich hoffe mal, dass diese Meldung bei einem ollen XP64 normal ist...

**AHT** · 01.04.2012, 00:56

Ist normal. Der Wert im Schlüssel passt.

pfeilkborn · 01.04.2012, 01:17

selbe Meldung wie bei Kato. Allerdings win7

**AHT** · 01.04.2012, 01:25

In der Messagebox OK drücken, dann erscheint ein Fenster. Die Meldung in dem Fenster kopieren und hier einfügen.
Auf deinem einen Rechner hattest du den ja drauf.

JanaG · 01.04.2012, 09:52

mein norton löscht die exe-Datei leider sofort ...

LG jana

**WhiteKnight** · 01.04.2012, 10:01

Zwar gab der IE 9 einen Warnmeldung, Kaspersky beanstandete es aber nicht.

Zitat:

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\Windows\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.

MD5 der DLL: 851A1382EED3E3A7476DB004F4EE3E1A

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!

Habe es für die Skeptiker auch mal hier prüfen gelassen:
https://www.virustotal.com/file/303e...is/1333267521/

horsthorn · 01.04.2012, 10:07

@Andreas
Meinereiner seine Bewertung:

**AHT** · 01.04.2012, 10:55

@Horst: Dein Rechner ist jetzt OK - du hattest den vor der Formatierung ebenfalls zwei Monate lang auf dem Rechner.

pfeilkborn · 01.04.2012, 11:17

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptw0nfap.dll
Geladene DLL: C:\Windows\System32\aptw0nfap.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden.
MD5 der DLL: 5B21A509D6ED0699D875EA51EFCEF94B
Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert!

Casting · 01.04.2012, 11:46

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\Windows\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.

MD5 der DLL: 1DB69705B695B987082C8BAEC0C6B34F

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!

Nachtrag: Jana bekommt ihr Norton Inernetsecurity 2012 nicht überlistet, sie hätte den Test auch gerne gemacht.

**Der Leo** · 01.04.2012, 16:29

@ Jana

dann deaktiviere Norton für den Testzeitraum! Ich denke das der Verhaltensschutz (Sonar) die Datei löscht.

**AHT** · 01.04.2012, 18:57

Zitat:

Zitat von pfeilkborn

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptw0nfap.dll
Geladene DLL: C:\Windows\System32\aptw0nfap.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden.
MD5 der DLL: 5B21A509D6ED0699D875EA51EFCEF94B
Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert!

@pfeilkborn: Du bist infiziert! welcher Rechner ist das?

pfeilkborn · 01.04.2012, 20:01

der Desktop. Muss neuinfiziert sein? Im ordner C/PPFS_Sicherung ist schon eine Datei LanmanWorkstation.reg vom 20.3.:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation]
"DisplayName"="@%systemroot%\\system32\\wkssvc.dll,-100"
"Group"="NetworkProvider"
"ImagePath"=hex(2):25,0... massenhaft 2stellige Zahlen

Umfrageergebnis anzeigen: Was zeigt die Messagebox in der Titelzeile an?
Nicht infiziert!	122	75,31%
Scheinbar infiziert!	23	14,20%
Fehler?!	17	10,49%
Teilnehmer: 162. Sie dürfen bei dieser Umfrage nicht abstimmen

31.03.2012, 13:57	#1 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 16.748	Schnelltest: Neuer Virus, ahnungslose User seit Monaten infiziert! Werbung Zu viel Werbung? Hier kostenlos bei Paules-PC-Forum.de registrieren! Um die Weihnachtszeit herum ist uns hier im Forum das Auftreten eines neuen Trojaners aufgefallen. Bislang wird der Virus von den Virenscannern in der Regel nicht erkannt und die User sind manchmal seit mehreren Monaten mit der Malware infiziert, die unter anderem scheinbar weitere Trojaner nachladen kann. Um zu testen, ob ihr von dem Virus befallen seit, könnt ihr hier einen Schnelltest durchführen. Ladet folgende Datei herunter und führt sie aus: LanmanworkstationChecker Es öffnet sich danach eine Messagebox, die sagt ob der Rechner infiziert ist oder nicht. Desweiteren wird gesagt, was weiter zu tun ist. Hier ein Beispiel für einen nicht infizierten Rechner: Der hier ist scheinbar infiziert: Bitte beantwortet auch die Umfrage! Wenn eine Messagebox mit der Überschrift Fehler oder Scheinbar Infiziert erscheint, wäre auch noch der Text im danach erscheinenden Fenster Infos über den Scan wichtig! *Bitte versucht nicht, den Virenbefall selbst zu fixen - das geht in die Hose, denn der Trojaner installiert zusätzlich in der Regel mindestens einen versteckten RootKit-Treiber!* __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (13.04.2012 um 03:18 Uhr)

31.03.2012, 15:48	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 16.748	Besten Dank an alle für die Rückmeldungen! Habe den Beitrag hier wieder etwas bereinigt. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

01.04.2012, 00:56	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 16.748	Ist normal. Der Wert im Schlüssel passt. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

01.04.2012, 01:17	#5 (Direktlink)
pfeilkborn Wohnt hier Registriert seit: 01.07.2006 Beiträge: 2.650	selbe Meldung wie bei Kato. Allerdings win7 __________________ Was hat Windows mit einem U-Boot gemeinsam? Sobald man ein Fenster öffnet gehen die Probleme los.

01.04.2012, 01:25	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 16.748	In der Messagebox OK drücken, dann erscheint ein Fenster. Die Meldung in dem Fenster kopieren und hier einfügen. Auf deinem einen Rechner hattest du den ja drauf. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (01.04.2012 um 01:41 Uhr)

01.04.2012, 09:52	#7 (Direktlink)
JanaG Stammuser Registriert seit: 09.05.2009 Ort: Niedersachsen Alter: 49 Beiträge: 455	mein norton löscht die exe-Datei leider sofort ... LG jana

01.04.2012, 10:07	#9 (Direktlink)
horsthorn MoRoGeP-Träger 2011 Registriert seit: 06.02.2009 Ort: Heidelberg Alter: 72 Beiträge: 2.410	@Andreas Meinereiner seine Bewertung: __________________ Gruss, horst Computer werden kleiner und kleiner, bald verschwinden sie völlig. (Ephraim Kishon 1924-2005) Windows-8 32-Bit - XProfan12.1-NT - Comodo Dragon 26.2.2.0 http://www.horst-horn.de ...jetzt mit eigenem Blog

01.04.2012, 10:55	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 16.748	@Horst: Dein Rechner ist jetzt OK - du hattest den vor der Formatierung ebenfalls zwei Monate lang auf dem Rechner. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (02.04.2013 um 06:37 Uhr)

01.04.2012, 11:17	#11 (Direktlink)
pfeilkborn Wohnt hier Registriert seit: 01.07.2006 Beiträge: 2.650	DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptw0nfap.dll Geladene DLL: C:\Windows\System32\aptw0nfap.dll Signatur der DLL: Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden. MD5 der DLL: 5B21A509D6ED0699D875EA51EFCEF94B Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert! __________________ Was hat Windows mit einem U-Boot gemeinsam? Sobald man ein Fenster öffnet gehen die Probleme los.

01.04.2012, 11:46	#12 (Direktlink)
Casting War schon mal da Registriert seit: 09.09.2011 Ort: Niedersachsen Beiträge: 47	DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll Geladene DLL: C:\Windows\System32\wkssvc.dll Signatur der DLL: Microsoft Windows Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet. MD5 der DLL: 1DB69705B695B987082C8BAEC0C6B34F Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen! Nachtrag: Jana bekommt ihr Norton Inernetsecurity 2012 nicht überlistet, sie hätte den Test auch gerne gemacht. Geändert von Casting (01.04.2012 um 12:54 Uhr)

01.04.2012, 16:29	#13 (Direktlink)
Der Leo Super-Moderator Registriert seit: 08.02.2010 Beiträge: 2.835	@ Jana dann deaktiviere Norton für den Testzeitraum! Ich denke das der Verhaltensschutz (Sonar) die Datei löscht. __________________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Windows richtig absichern --> Das sichere Windows System

01.04.2012, 20:01	#15 (Direktlink)
pfeilkborn Wohnt hier Registriert seit: 01.07.2006 Beiträge: 2.650	der Desktop. Muss neuinfiziert sein? Im ordner C/PPFS_Sicherung ist schon eine Datei LanmanWorkstation.reg vom 20.3.: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation] "DisplayName"="@%systemroot%\\system32\\wkssvc.dll,-100" "Group"="NetworkProvider" "ImagePath"=hex(2):25,0... massenhaft 2stellige Zahlen __________________ Was hat Windows mit einem U-Boot gemeinsam? Sobald man ein Fenster öffnet gehen die Probleme los.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IRC-Server seit Monaten mit Backdoor [Update]	Info	Sicherheitsmeldungen von heise.de	0	14.06.2010 11:10
IRC-Server seit Monaten mit Backdoor	Info	Sicherheitsmeldungen von heise.de	0	12.06.2010 18:30
Schwachstelle in Mac OS X seit Monaten ungepatcht	Info	Sicherheitsmeldungen von heise.de	0	12.01.2010 10:40
kann eine bestimmte Seite seit Monaten nicht mehr oeffnen	Korfuchris	Browser, eMail und Messenger	13	29.11.2009 11:25
Grosses Inet-Prob (seit 2 Monaten)	Hauserfritz	Windows XP	9	29.07.2006 00:43