Bitte hier lesen und Test durchführen: https://www.paules-pc-forum.de/forum/pc-siche…html#post904978
Virus: XProfaner bitte testen!
-
-
-
DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\Windows\System32\wkssvc.dll
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.
Die im Lanmanworkstation Schlüssel angegebenen DLL ist scheinbar nicht von Microsoft signiert - das könnte unter Umständen auf eine Infektion hindeuten!
Gruss -
Ist noch ein Fehler im Programm drin. Dein Rechner ist OK.
-
Jetzt noch einmal herunterladen. Habe gerade Update hochgeladen.
-
Zur Technik:
Durchgeführt wird da ein generischer Test auf spezielle Veränderungen im Registryschlüssel LanmanWorkstation unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Das Programm ist komplett in XProfan geschrieben. Da der Virus unter anderem scheinbar weitere Malware nachlädt und auch jemand aus dem XProfanbereich von dem Ding befallen war, bitte ich hier alle mal um Tests und Beantwortung der Umfrage.
Meldet das Tool einen möglichen Befall, sollte man das ernst nehmen und den Rechner hier untersuchen lassen. Nicht selbst Hand anlegen, die DLL tritt des öfteren in Zusammenhang mit einem RootKit Treiber auf. Kommt in der Messagebox das gelbe Warndreieck, sollten alle Alarmglocken angehen.
Virenscanner sind zur Zeit noch relativ wirkungslos gegen die DLL - die erkennen die nicht. Im Augenblick wird bei Avira am Erstellen einer Generic gearbeitet. Markus aus dem Virenforum steht mit denen in Kontakt. -
Sieht im Augenblick ja noch gut aus - einen, der erneut infiziert war, gefunden.
-
Lässt sich irgendwie feststellen, wo genau man sich das Teil eingefangen hat? (Wenn ich den erwische ........)
-
Evtl. kann Markus dazu was sagen. Ich konnte bislang nur den Zeitpunkt bestimmen, zu dem der installiert wurde - bei den Leute hier im Forum zwischen Ende Dezember und Ende Januar. Dein Rechner war ja sauber.
-
AntiVir hat nach unseren Hinweisen jetzt ein Update rausgebracht - die DLL wird jetzt scheinbar unter 32Bit Systemen mittels Generic erkannt. Unter 64Bit ist die Generic noch nicht so weit - da findet AntiVir also weiterhin wohl nichts.
Andere Scanner erkennen zum größten Teil ebenfalls noch nichts (einschließlich Avast).Wir wollen den Typen den Saft abdrehen - bitte Test auch weiterreichen an andere. Wenn was gefunden wurden, sollen die sich hier melden.
-
Text gelöscht, da auf Grund falscher Prämissen Unterstellungen da bei rauskamen. Sorry Leute.
Danke an AHT für die untenstehende Aufklärung.
Gruss -
Dein Rechner war OK -XProfan machte da Mist bei der 64Bit Erkennung, deswegen konnte die Signatur bei dir nicht ausgelesen werden. Habe das Problem später beseitigt. Das lag an einer Variablen in einer Unit von mir zur MD5 Erkennung. XProfan macht das im Interpreter anders als in der EXE.
-
Bitte übrigens weiterhin um Teilnahme an dem Test und um Beantwortung der Umfrage.
Den Link bitte auch weiterreichen. -
Hier gibt es neues: https://www.paules-pc-forum.de/forum/pc-siche…html#post904978
Besten Dank an alle die teilgenommen haben - besonders an p.specht! -
Da möchte ich mich mal im Namen aller Nutznießer für eure erfolgreiche Arbeit bedanken.
Wieviel Stunden und Nerven dahinter stecken, können die meisten (ich auch) garnicht ermessen.
Also...Großen Dank und weiterhin erfolgreiche Jagt !
[Blockierte Grafik: http://s14.postimage.org/ofevu3ky5/ade_pc01.jpg]
-
Horst: Ich habe deinen Beitrag mal verschoben und antworte dir hier:
Du hattest das Teil ja auch auf dem Rechner. Bei dir wurde zusätzlich eine DLL in den Browser injiziert (die hat Avast dann irgendwann erkannt). Vermutlich ein Passwortstealer oder Banking Trojaner. Du wirst festgestellt haben, dass sich diese DLL immer wieder neu installiert hat, nachdem sie von Avast gelöscht wurde. Seit Ende Januar warst du definitiv infiziert.
Ich habe hier zusätzlich diesen Beitrag eröffnet, um euch allen hier möglichst effektiv den Arsch retten zu können. Ich weiß, das viele von euch mit Avast arbeiten - und Avast wird die DLL wohlmöglich noch sehr lange nicht erkennen.
Es wird vermutet, dass sich der Trojaner über infizierte Webseiten verbreitet. Der Installer ist mit ziemlicher Sicherheit mit einer gültigen Signatur versehen gewesen - man bekommt von der Installation dann recht wenig mit (dir dürfte auch nichts aufgefallen sein - und ich weiß, du bist vorsichtig). -
MüllSchlucker
Vorsicht allein hat mir ja nichts genutzt.
Trotzdem war doch "Sand im Getriebe" - Du hast ihn ja dann entfernt
Jetzt habe ich das auf dem PC und nutzte es auch:AVIRA
IObit Malware Fighter
ESET Online ScannerOK ?
-
Die ganze Sache hat leider an Aktualität nichts verloren - im Gegenteil!
Der Downloader für das Teil, der den Trojaner auf dem Rechner immer wieder nachlädt, wird weiterhin nicht von Virenscannern erkannt. Desweiteren versucht das Ding jetzt wohl auch auf andere Art und Weise Geld mit den Computern zu scheffeln. Auf manchen Rechnern habe ich zusätzlich Umleitungen im Bereich Telephonie und zusätzlich installierte LSPs gefunden (Umleitung des kompletten Internetverkehrs).
Das Ding kommt mit ziemlicher Sicherheit nicht mit einem Driveby-Download auf den Rechner, sondern hat zwischen etwa Dezember und Januar mit großer Wahrscheinlichkeit in einem vertrauenwürdigen Dowwnload gessen.
Desweiteren passt sich der Trojaner der Generic der Antivirenhersteller an. Bereits kurz nach dem Erscheinen der ersten Generic von Antivir hat sich das Ding auf den untersuchten Rechnern offensichtlich neue Versionen der DLL nachgeladen, die Antivir nicht anmeckerte.
Horst: Gegen sowas nutzt dir keiner deiner Scanner was. Daran sehen die alle vorbei.
Was man bräuchte, wären einfache generische Erkennungen, die nicht codebasiert sind, um überhaupt auf solche Sachen erst mal hinzuweisen. So was kann man sich am besten selbst programmieren - mein Tool aus dem ersten Thread in dem Beitrag funktioniert so. Das ist gerade mit XProfan sehr schnell erstellt, man muss bloß Ideen haben. -
Meinst du so ?
Code
Alles anzeigenVAR virus1$="C:\Windows\System32\pngztly1.dll" VAR virus2$="C:\Windows\System32\Drivers\hidei1w2.sys" IF FILEEXISTS(virus1$) ASSIGN #1,virus1$ ERASE #1 Messagebox(virus1$+" wurde entfernt !"," Virus gelöscht !",64) ELSE Messagebox(virus1$+" nicht vorhanden !","Gratulation",64) ENDIF IF FILEEXISTS(virus2$) ASSIGN #2,virus2$ ERASE #2 Messagebox(virus2$+" wurde entfernt !"," Virus gelöscht !",64) ELSE Messagebox(virus2$+" nicht vorhanden !","Gratulation",64) ENDIF
-
Das würde leider nur bei dir funktionieren, wenn überhaupt.
Blickt man aber etwas tiefer ins geschehen, wird man auf einiges stoßen, was gerade bei dem Trojaner, den du drauf hattest, generell geändert wird (in der Registry unter anderem).
Einige Sachen in der Registry dürfen manchmal nicht so sein, wie ein Trojaner die ändert, weil das gegen bestimmte Konzepte von Microsoft verstößt (so bin ich auch auf das Ding gestoßen, worum es hier geht). Man könnte zum Beispiel manche Stellen der Registry, die besonders gerne für solche Manipulationen genutzt werden, auf solche logischen "Verstöße" hin überprüfen und eine Meldung rausschmeißen, wenn da was nicht passt.
Nur mal als Anregung insgesammt.
Wenn jemand mal Interesse hätte in dem Bereich was zu basteln, hätte ich da einiges an Anregungen und für die komplizierten Sachen auch einiges an XProfan-Code, was man verwenden könnte. -
Ach ja... Hier laufen so langsam die ersten Leute auf, bei denen sich der Trojaner nach dem Löschen durch AntiVir immer wieder nachlädt.
Wir versuchen den Antivirenherstellern schon seit einer Zeit zu sagen, was da wohl der Downloader für den Mediyes ist - hat aber bislang noch nicht richtig gefruchtet.
Also nicht darauf vertrauen, das irgendein Virenscanner das Ding dauerhaft löschen kann (das Meiste davon erkennen die gar nicht)! Ich schmeiß die Dinger hier zur Zeit per Handarbeit runter. Blöde Geschichte.... -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!