In jüngster Zeit berichten viele Anwender hier im Forum von Problemen mit bestimmten Schädlingen. Es kann vorkommen, dass AntiVir eine entsprechende Datei findet und meldet, diese aber nicht effektiv bekämpfen bzw. entfernen kann, da sie umgehend neu erstellt wird. Bislang bekannte Varianten:
- TR/Agent.its
- TR/Agent.imh
- TR/PSW.Delf.AH
- TR/Spy.Delf.tge
- TR/PSW.Kates.C.25
- TR/Drop.Agent.qna.2
Beachten Sie dazu folgende Hinweise:
- Dieses Szenario kommt auch in Betracht, wenn Sie AntiVir - womöglich bereits über einen längeren Zeitraum - nicht aktualisieren können. Charakteristisch ist in diesem Fall, dass dabei im Update-Bericht die Fehlermeldung "HTTP Statuscode 403" oder "403 Forbidden" auftaucht. Sollte dies der Fall sein, so führen Sie bitte zunächst ein "manuelles" / Offline-Update durch.
- Ebenfalls typisch: Sofern der Schädling aktiv ist, kann er möglicherweise die Ausführung des Registrierungs-Editors (regedit.exe) und der Eingabeaufforderung (cmd.exe) verhindern. In diesem Fall können die entsprechenden Anwendungen nur gestartet werden, wenn man ihnen zuvor einen anderen Dateinamen gibt.
- Vereinzelt waren die genannten Schädlinge offenbar auch in der Lage, die Installation der Kaufversionen (AntiVir Premium bzw. Avira Premium Security Suite) zu verhindern, speziell weil die Lizenzaktivierung nicht durchgeführt werden konnte.
Statt der manuellen Suche und Bereinigung können Sie die Programme DanolFix.exe (überholt) bzw. KatesKiller.exe (empfohlen) verwenden - siehe den zweiten Beitrag und Beitrag #5 in diesem Thema.
Bitte gehen Sie unter diesen Umständen wie folgt vor:
Schritt 1:
Kontrollieren Sie den Abschnitt "Drivers32" in der Registry: "Start" - "Ausführen" -
regedit.exe. (Sollte sich der Registrierungs-Editor nicht öffnen lassen, so müssen sie die Datei
regedit.exe zunächst umbenennen, beispielsweise in
regwork.exe. Siehe Fußnote A.)
Navigieren Sie im linken Bereich ('Baumansicht') zum Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32. Dazu klappen Sie die einzelnen 'Äste' jeweils mit Hilfe des kleinen Plus-Zeichens auf (also erst
HKEY_LOCAL_MACHINE, dann
SOFTWARE, dann
Microsoft, ...). Wenn Sie den
Drivers32-Knoten erreicht haben, sind auf der rechten Seite eine Reihe von Namen und Werten zu sehen - typischerweise befinden sich mehrere "
wdmaud.drv" unter diesen Werten.
Überprüfen Sie nun die unter "Wert" aufgeführten Dateinamen auf verdächtige Einträge. Solche erkennen Sie daran, dass innerhalb des Dateinamens ein doppelter Punkt "...
\..\..." vorhanden ist, was bei regulären Werten nie vorkommt. Wir haben im Forum beobachtet, das die Einträge häufig entweder auf das Windows-Verzeichnis verweisen (
C:\WINDOWS\system32\..\...) oder auf ein temporäres Verzeichnis des angemeldeten Benutzers (
C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp\..\...). Der eigentliche Dateiname besteht meist aus einer willkürlichen Buchstabenkombination, z.B.
hgwoeea.gry. (Besonderes Augenmerk verdienen dabei die verschiedenen
aux<n>-Einträge!) Im Beispiel oben hat sich der Schädling in "
C:\DOKUME~1\Hans-Georg\LOKALE~1\Temp\..\agugljj.cyq" eingenistet und unter "
aux2" in der Registry verankert. Meist wird der Dateiname leicht zu finden sein - er sollte erkennbar mit der entsprechenden Fund-Meldung von AntiVir übereinstimmen! (ergänzend: Fußnote B.)
(Wenn Sie sich nicht sicher sind, welcher Eintrag zum Schädling gehört, so exportieren Sie bitte diesen Teil Ihrer Registry als
C:\drivers32.txt - siehe Fußnote C. Erstellen Sie einen neuen Beitrag mit einer Beschreibung Ihres Problems im Forum, kopieren Sie den Inhalt dieser Datei und fügen ihn anschließend dort ein. Die Helfer und Helferinnen im Forum werden sie dann gerne unterstützen.)
Schritt 2:
Notieren Sie bitte zunächst den schädlichen Dateinamen, bzw. machen Sie ein Bildschirmfoto oder einen Ausdruck davon - damit Sie ihn zur Hand haben, falls diese Angabe später noch einmal benötigt werden sollte.
Wählen/Markieren Sie nun den schädlichen Eintrag (im Beispiel: "
aux2") und löschen Sie ihn ("Entf"-Taste). Bestätigen Sie die Löschung, schließen Sie den Registry-Editor und führen Sie nun einen
Neustart des Rechners durch (Wichtig!).
Schritt 3:
(Falls es erforderlich war, den Registrierungs-Editor unzubenennen, so können Sie
regwork.exe jetzt wieder in
regedit.exe zurück benennen. Möglicherweise hat aber auch schon der Windows-Dateischutz die
regedit.exe automatisch für Sie wieder hergestellt, dann löschen Sie einfach die nicht länger benötigte
regwork.exe).
Eigentlich sollten
cmd.exe,
regedit.exe und auch das
AntiVir-Update jetzt wieder normal funktionieren, das sollten Sie prüfen! Darüber hinaus müssten sich jetzt ggf. auch die Premium-Versionen von AntiVir wieder problemlos installieren lassen.
Führen Sie nach dem AntiVir-Update nun bitte eine "
Vollständige Systemprüfung" durch - um sicherzugehen, dass sich nicht noch mehr unerwünschte Gäste eingeschlichen haben... Achten Sie dabei darauf, ob AntiVir die weiter oben auffällig gewordene Datei auch wirklich findet, und lassen Sie sie
in Quarantäne verschieben. Falls AntiVir
nicht in der betreffenden Datei fündig wird, so übermitteln Sie diese bitte an
www.virustotal.com und
an Avira, und berichten Sie die jeweiligen Ergebnisse im Forum.
Schritt 4:
Um einer erneuten Infektion vorzubeugen, sollten Sie sich einen Moment Zeit für die Absicherung Ihres Systems nehmen.
Es gibt Hinweise darauf, dass dieser spezielle
Drivers32-Schädling über Sicherheitslücken in Anwendungen wie dem Windows-eigenen MDAC, und speziell auch veralteten Versionen des
Flash Players oder
Acrobat Reader auf den Rechner gelangen konnte. Bitte in Zukunft folgende Regeln beachten:
- "Aktive" Internet-Inhalte (JavaScript, ActiveX, ...) so weit wie möglich blockieren, abschalten/verbieten oder ihre Ausführung auf bekannte, vertrauenswürdige Seiten einschränken. ("NoScript")
- Windows durch Einspielen der Sicherheits-Updates/Patches stets aktuell halten. Jeden zweiten Dienstag im Monat ist Patchday. Nach Möglichkeit die Funktion "Automatische Updates" aktivieren, oder regelmäßig selbst auf www.windowsupdates.com nach Aktualisierungen suchen.
- Anwendungs-Programme ebenfalls aktuell halten - beliebtes Beispiel: die Java-Laufzeitumgebung (JRE). Vor allem wenn Sicherheitslücken bekannt werden, ist es wichtig, auf aktualisierte Fassungen der einzelnen Programme umzusteigen. Beim Aufspüren problematischer Programme kann Ihnen ein Tool wie der Secunia Personal Software Inspector (PSI) helfen.
- Zahlreiche Malware kann sich nur dann im System 'festsetzen', wenn ihr uneingeschränkte Rechte zur Verfügung stehen ("Administrator"-Konto). Es ist sehr viel sicherer, wenn Sie ein eingeschränktes Benutzerkonto für Ihre tägliche Arbeit am PC verwenden!
In diesem Sinne dann: auf eine hoffentlich lange virenfreie Zeit!
Gruß, NiteHawk
___
Fußnote A.:
Wenn sich
regedit.exe nicht ausführen lässt (üblicherweise verschwindet der Arbeitsplatz und die Taskleiste kurz für ca. 2 Sekunden und erscheint danach wieder neu), so öffnen Sie bitte das Windows-Verzeichnis ("Arbeitsplatz" --> "C:" --> "Windows") und geben der Datei vorübergehend einen anderen Dateinamen, z.B.
regwork.exe:
Fußnote B.:
Achten Sie ggf. darauf, dass die Datei beim Namen 'mogelt': Durch den doppelten Punkt liegt sie ein Verzeichnis 'höher' als erwartet. Bei "
C:\WINDOWS\system32\..\hgwoeea.gry" befindet sich die Datei also nicht unter
C:\WINDOWS\system32\, sondern ist tatsächlich unter
C:\WINDOWS\hgwoeea.gry vorhanden. Auch die Beispiel-Datei "
C:\DOKUME~1\Hans-Georg\LOKALE~1\Temp\..\agugljj.cyq" liegt nicht in "
Temp", sondern ein Verzeichnis 'weiter oben' - aufgrund der von Windows verkürzten Pfade müsste man diese Datei letztlich unter
C:\Dokumente und Einstellungen\Hans-Georg\Lokale Einstellungen\agugljj.cyq suchen.
Fußnote C.:
Für den Export markieren Sie bitte den "Drivers32"-Eintrag durch Anklicken (er wird dann farbig hinterlegt) und wählen anschließend "Datei" und "Exportieren...". Als Dateinamen tippen Sie
C:\drivers32.txt ein:
___
[EDIT] Neue Variante "TR/Spy.Delf.tge" ergänzt.
[EDIT2] Titel überarbeitet, bekannte Schädlinge in Listenform gebracht und "TR/PSW.Kates.C.25" ergänzt.
[EDIT3] Hinweis auf
DaonolFix.exe, "TR/Drop.Agent.qna.2" ergänzt.
[EDIT4] Hinweis auf eingeschränktes Benutzerkonto.
[EDIT5] "KatesKiller" hinzugefügt.
Sunday, May 26th 2013, 8:35am
Warnung
)
