Sie sind nicht angemeldet.

Tippspiel

Paule bei Facebook & Twitter

Google-Anzeigen

Empfehlung

Lieber Besucher, herzlich willkommen bei: Paules-PC-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

1

Samstag, 31. März 2012, 13:57

Schnelltest: Neuer Virus, ahnungslose User seit Monaten infiziert!

74%

Nicht infiziert! (153)

17%

Scheinbar infiziert! (34)

9%

Fehler?! (19)

Um die Weihnachtszeit herum ist uns hier im Forum das Auftreten eines neuen Trojaners aufgefallen. Bislang wird der Virus von den Virenscannern in der Regel nicht erkannt und die User sind manchmal seit mehreren Monaten mit der Malware infiziert, die unter anderem scheinbar weitere Trojaner nachladen kann.
Um zu testen, ob ihr von dem Virus befallen seit, könnt ihr hier einen Schnelltest durchführen.
Ladet folgende Datei herunter und führt sie aus: LanmanworkstationChecker
Es öffnet sich danach eine Messagebox, die sagt ob der Rechner infiziert ist oder nicht. Desweiteren wird gesagt, was weiter zu tun ist.

Hier ein Beispiel für einen nicht infizierten Rechner:


Der hier ist scheinbar infiziert:


Bitte beantwortet auch die Umfrage!

Wenn eine Messagebox mit der Überschrift Fehler oder Scheinbar Infiziert erscheint, wäre auch noch der Text im danach erscheinenden Fenster Infos über den Scan wichtig!

Bitte versucht nicht, den Virenbefall selbst zu fixen - das geht in die Hose, denn der Trojaner installiert zusätzlich in der Regel mindestens einen versteckten RootKit-Treiber! Bitte auch hier lesen:
Warum man nicht blindlinks Sachen ausführen sollte...


AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

2

Samstag, 31. März 2012, 15:48

Besten Dank an alle für die Rückmeldungen! Habe den Beitrag hier wieder etwas bereinigt.

Kato Fuji

lebendes Inventar

Beiträge: 3 606

Registriert: 10. März 2008

  • Nachricht senden

3

Sonntag, 1. April 2012, 00:54

Zitat

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\WINDOWS\System32\wkssvc.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.

MD5 der DLL:

Die im Lanmanworkstation Schlüssel angegebenen DLL ist scheinbar nicht von Microsoft signiert - das könnte unter Umständen auf eine Infektion hindeuten!


Ich hoffe mal, dass diese Meldung bei einem ollen XP64 normal ist...
Nicht verzagen. Kato fragen!
Wo geholfen wird, da fallen Späne...

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

4

Sonntag, 1. April 2012, 00:56

Ist normal. Der Wert im Schlüssel passt.

5

Sonntag, 1. April 2012, 01:17

selbe Meldung wie bei Kato. Allerdings win7
Was hat Windows mit einem U-Boot gemeinsam?
Sobald man ein Fenster öffnet gehen die Probleme los.

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

6

Sonntag, 1. April 2012, 01:25

In der Messagebox OK drücken, dann erscheint ein Fenster. Die Meldung in dem Fenster kopieren und hier einfügen.
Auf deinem einen Rechner hattest du den ja drauf.

JanaG

Stammuser

Beiträge: 454

Registriert: 9. Mai 2009

Wohnort: Niedersachsen

  • Nachricht senden

7

Sonntag, 1. April 2012, 09:52

mein norton löscht die exe-Datei leider sofort ...

LG jana

WhiteKnight

Super Moderator

Beiträge: 6 919

Registriert: 19. Januar 2005

Wohnort: Mainz

  • Nachricht senden

8

Sonntag, 1. April 2012, 10:01

Zwar gab der IE 9 einen Warnmeldung, Kaspersky beanstandete es aber nicht.

Zitat

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\Windows\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.

MD5 der DLL: 851A1382EED3E3A7476DB004F4EE3E1A

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!


Habe es für die Skeptiker auch mal hier prüfen gelassen:
https://www.virustotal.com/file/303e878b…sis/1333267521/

horsthorn

MoRoGeP-Träger 2011

Beiträge: 3 382

Registriert: 6. Februar 2009

Wohnort: Heidelberg

  • Nachricht senden

9

Sonntag, 1. April 2012, 10:07

@Andreas
Meinereiner seine Bewertung:
Gruss, horst :-)
Wenn Einfalt und Pedanterie zusammen treffen, entsteht Verwaltung ! :D


Windows-7 32-Bit - XProfan13.0ß-NT - Chrome 39.0.2171.95 m
Wer Zeit hat, hier meine Homepage

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

10

Sonntag, 1. April 2012, 10:55

@Horst: Dein Rechner ist jetzt OK - du hattest den vor der Formatierung ebenfalls zwei Monate lang auf dem Rechner.

11

Sonntag, 1. April 2012, 11:17

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptw0nfap.dll
Geladene DLL: C:\Windows\System32\aptw0nfap.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden.
MD5 der DLL: 5B21A509D6ED0699D875EA51EFCEF94B
Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert!
Was hat Windows mit einem U-Boot gemeinsam?
Sobald man ein Fenster öffnet gehen die Probleme los.

Casting

War schon mal da

Beiträge: 47

Registriert: 9. September 2011

Wohnort: Niedersachsen

  • Nachricht senden

12

Sonntag, 1. April 2012, 11:46

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\Windows\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.

MD5 der DLL: 1DB69705B695B987082C8BAEC0C6B34F

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!

Nachtrag: Jana bekommt ihr Norton Inernetsecurity 2012 nicht überlistet, sie hätte den Test auch gerne gemacht.

Der Leo

Super Moderator

Beiträge: 3 507

Registriert: 8. Februar 2010

  • Nachricht senden

13

Sonntag, 1. April 2012, 16:29

@ Jana

dann deaktiviere Norton für den Testzeitraum! Ich denke das der Verhaltensschutz (Sonar) die Datei löscht.
Windows besser vor Malware schützen ->Leitfaden für ein sicheres Windows

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

14

Sonntag, 1. April 2012, 18:57

Zitat von »pfeilkborn;903060«

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptw0nfap.dll
Geladene DLL: C:\Windows\System32\aptw0nfap.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden.
MD5 der DLL: 5B21A509D6ED0699D875EA51EFCEF94B
Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert!


@pfeilkborn: Du bist infiziert! welcher Rechner ist das?

15

Sonntag, 1. April 2012, 20:01

der Desktop. Muss neuinfiziert sein? Im ordner C/PPFS_Sicherung ist schon eine Datei LanmanWorkstation.reg vom 20.3.:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation]
"DisplayName"="@%systemroot%\\system32\\wkssvc.dll,-100"
"Group"="NetworkProvider"
"ImagePath"=hex(2):25,0... massenhaft 2stellige Zahlen
Was hat Windows mit einem U-Boot gemeinsam?
Sobald man ein Fenster öffnet gehen die Probleme los.

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

16

Sonntag, 1. April 2012, 20:05

PPFScanner neu herunterladen Im Antivirenforum neuen Beitrag eröffnen und das tun:
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • Danach die PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

JanaG

Stammuser

Beiträge: 454

Registriert: 9. Mai 2009

Wohnort: Niedersachsen

  • Nachricht senden

17

Sonntag, 1. April 2012, 21:05

Danke Leo,
das war die Lösung

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\windows\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.

MD5 der DLL: 851A1382EED3E3A7476DB004F4EE3E1A

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

18

Sonntag, 1. April 2012, 22:15

@pfeilkborn: Hier geht es für dich weiter - wohl leider erst morgen: http://www.paules-pc-forum.de/forum/vire…n-trojaner.html

AHT

Super Moderator

  • »AHT« ist der Autor dieses Themas

Beiträge: 22 177

Registriert: 15. Februar 2009

  • Nachricht senden

19

Montag, 2. April 2012, 13:45

Im Augenblick sieht es gut aus: Einen infizierten gefunden.

buena_vista2

Dauergast

Beiträge: 1 511

Registriert: 1. Januar 2009

Wohnort: St. Gallen, Schweiz N47°25'14.68'' E9°21'11.59''

  • Nachricht senden

20

Montag, 2. April 2012, 14:38

Danke Dir für die PM, AHT.

Bin nicht infiziert, dh mein PC ist es nicht.
Gruss, Martin




"Die andere Seite, sehr dunkel sie ist"
"Yoda, halt's Maul und iss Deine Tomato!"

Zurzeit sind neben Ihnen 2 Benutzer in diesem Thema unterwegs:

2 Besucher