You are not logged in.

Wednesday, April 23rd 2014, 8:38am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

NiteHawk

Community member

  • "NiteHawk" started this thread

Date of registration:
Feb 14th 2006

Operating System:
XP Pro SP3, Windows 7 Pro - Ubuntu 10.04 LTS

  • Send private message

1

Friday, May 8th 2009, 1:30pm

Schädling in "Drivers32" erkennen und beseitigen (Daonol, Kates)

In jüngster Zeit berichten viele Anwender hier im Forum von Problemen mit bestimmten Schädlingen. Es kann vorkommen, dass AntiVir eine entsprechende Datei findet und meldet, diese aber nicht effektiv bekämpfen bzw. entfernen kann, da sie umgehend neu erstellt wird. Bislang bekannte Varianten:
  • TR/Agent.its
  • TR/Agent.imh
  • TR/PSW.Delf.AH
  • TR/Spy.Delf.tge
  • TR/PSW.Kates.C.25
  • TR/Drop.Agent.qna.2
Beachten Sie dazu folgende Hinweise:
  • Dieses Szenario kommt auch in Betracht, wenn Sie AntiVir - womöglich bereits über einen längeren Zeitraum - nicht aktualisieren können. Charakteristisch ist in diesem Fall, dass dabei im Update-Bericht die Fehlermeldung "HTTP Statuscode 403" oder "403 Forbidden" auftaucht. Sollte dies der Fall sein, so führen Sie bitte zunächst ein "manuelles" / Offline-Update durch.
  • Ebenfalls typisch: Sofern der Schädling aktiv ist, kann er möglicherweise die Ausführung des Registrierungs-Editors (regedit.exe) und der Eingabeaufforderung (cmd.exe) verhindern. In diesem Fall können die entsprechenden Anwendungen nur gestartet werden, wenn man ihnen zuvor einen anderen Dateinamen gibt.
  • Vereinzelt waren die genannten Schädlinge offenbar auch in der Lage, die Installation der Kaufversionen (AntiVir Premium bzw. Avira Premium Security Suite) zu verhindern, speziell weil die Lizenzaktivierung nicht durchgeführt werden konnte.

Statt der manuellen Suche und Bereinigung können Sie die Programme DanolFix.exe (überholt) bzw. KatesKiller.exe (empfohlen) verwenden - siehe den zweiten Beitrag und Beitrag #5 in diesem Thema.

Bitte gehen Sie unter diesen Umständen wie folgt vor:

Schritt 1:

Kontrollieren Sie den Abschnitt "Drivers32" in der Registry: "Start" - "Ausführen" - regedit.exe. (Sollte sich der Registrierungs-Editor nicht öffnen lassen, so müssen sie die Datei regedit.exe zunächst umbenennen, beispielsweise in regwork.exe. Siehe Fußnote A.)

Navigieren Sie im linken Bereich ('Baumansicht') zum Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32. Dazu klappen Sie die einzelnen 'Äste' jeweils mit Hilfe des kleinen Plus-Zeichens auf (also erst HKEY_LOCAL_MACHINE, dann SOFTWARE, dann Microsoft, ...). Wenn Sie den Drivers32-Knoten erreicht haben, sind auf der rechten Seite eine Reihe von Namen und Werten zu sehen - typischerweise befinden sich mehrere "wdmaud.drv" unter diesen Werten.



Überprüfen Sie nun die unter "Wert" aufgeführten Dateinamen auf verdächtige Einträge. Solche erkennen Sie daran, dass innerhalb des Dateinamens ein doppelter Punkt "...\..\..." vorhanden ist, was bei regulären Werten nie vorkommt. Wir haben im Forum beobachtet, das die Einträge häufig entweder auf das Windows-Verzeichnis verweisen (C:\WINDOWS\system32\..\...) oder auf ein temporäres Verzeichnis des angemeldeten Benutzers (C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp\..\...). Der eigentliche Dateiname besteht meist aus einer willkürlichen Buchstabenkombination, z.B. hgwoeea.gry. (Besonderes Augenmerk verdienen dabei die verschiedenen aux<n>-Einträge!) Im Beispiel oben hat sich der Schädling in "C:\DOKUME~1\Hans-Georg\LOKALE~1\Temp\..\agugljj.cyq" eingenistet und unter "aux2" in der Registry verankert. Meist wird der Dateiname leicht zu finden sein - er sollte erkennbar mit der entsprechenden Fund-Meldung von AntiVir übereinstimmen! (ergänzend: Fußnote B.)

(Wenn Sie sich nicht sicher sind, welcher Eintrag zum Schädling gehört, so exportieren Sie bitte diesen Teil Ihrer Registry als C:\drivers32.txt - siehe Fußnote C. Erstellen Sie einen neuen Beitrag mit einer Beschreibung Ihres Problems im Forum, kopieren Sie den Inhalt dieser Datei und fügen ihn anschließend dort ein. Die Helfer und Helferinnen im Forum werden sie dann gerne unterstützen.)

Schritt 2:

Notieren Sie bitte zunächst den schädlichen Dateinamen, bzw. machen Sie ein Bildschirmfoto oder einen Ausdruck davon - damit Sie ihn zur Hand haben, falls diese Angabe später noch einmal benötigt werden sollte.

Wählen/Markieren Sie nun den schädlichen Eintrag (im Beispiel: "aux2") und löschen Sie ihn ("Entf"-Taste). Bestätigen Sie die Löschung, schließen Sie den Registry-Editor und führen Sie nun einen Neustart des Rechners durch (Wichtig!).



Schritt 3:

(Falls es erforderlich war, den Registrierungs-Editor unzubenennen, so können Sie regwork.exe jetzt wieder in regedit.exe zurück benennen. Möglicherweise hat aber auch schon der Windows-Dateischutz die regedit.exe automatisch für Sie wieder hergestellt, dann löschen Sie einfach die nicht länger benötigte regwork.exe).

Eigentlich sollten cmd.exe, regedit.exe und auch das AntiVir-Update jetzt wieder normal funktionieren, das sollten Sie prüfen! Darüber hinaus müssten sich jetzt ggf. auch die Premium-Versionen von AntiVir wieder problemlos installieren lassen.

Führen Sie nach dem AntiVir-Update nun bitte eine "Vollständige Systemprüfung" durch - um sicherzugehen, dass sich nicht noch mehr unerwünschte Gäste eingeschlichen haben... Achten Sie dabei darauf, ob AntiVir die weiter oben auffällig gewordene Datei auch wirklich findet, und lassen Sie sie in Quarantäne verschieben. Falls AntiVir nicht in der betreffenden Datei fündig wird, so übermitteln Sie diese bitte an www.virustotal.com und an Avira, und berichten Sie die jeweiligen Ergebnisse im Forum.

Schritt 4:

Um einer erneuten Infektion vorzubeugen, sollten Sie sich einen Moment Zeit für die Absicherung Ihres Systems nehmen.

Es gibt Hinweise darauf, dass dieser spezielle Drivers32-Schädling über Sicherheitslücken in Anwendungen wie dem Windows-eigenen MDAC, und speziell auch veralteten Versionen des Flash Players oder Acrobat Reader auf den Rechner gelangen konnte. Bitte in Zukunft folgende Regeln beachten:
  • "Aktive" Internet-Inhalte (JavaScript, ActiveX, ...) so weit wie möglich blockieren, abschalten/verbieten oder ihre Ausführung auf bekannte, vertrauenswürdige Seiten einschränken. ("NoScript")
  • Windows durch Einspielen der Sicherheits-Updates/Patches stets aktuell halten. Jeden zweiten Dienstag im Monat ist Patchday. Nach Möglichkeit die Funktion "Automatische Updates" aktivieren, oder regelmäßig selbst auf www.windowsupdates.com nach Aktualisierungen suchen.
  • Anwendungs-Programme ebenfalls aktuell halten - beliebtes Beispiel: die Java-Laufzeitumgebung (JRE). Vor allem wenn Sicherheitslücken bekannt werden, ist es wichtig, auf aktualisierte Fassungen der einzelnen Programme umzusteigen. Beim Aufspüren problematischer Programme kann Ihnen ein Tool wie der Secunia Personal Software Inspector (PSI) helfen.
  • Zahlreiche Malware kann sich nur dann im System 'festsetzen', wenn ihr uneingeschränkte Rechte zur Verfügung stehen ("Administrator"-Konto). Es ist sehr viel sicherer, wenn Sie ein eingeschränktes Benutzerkonto für Ihre tägliche Arbeit am PC verwenden!
In diesem Sinne dann: auf eine hoffentlich lange virenfreie Zeit!

Gruß, NiteHawk
___

Fußnote A.:
Wenn sich regedit.exe nicht ausführen lässt (üblicherweise verschwindet der Arbeitsplatz und die Taskleiste kurz für ca. 2 Sekunden und erscheint danach wieder neu), so öffnen Sie bitte das Windows-Verzeichnis ("Arbeitsplatz" --> "C:" --> "Windows") und geben der Datei vorübergehend einen anderen Dateinamen, z.B. regwork.exe:


Fußnote B.:
Achten Sie ggf. darauf, dass die Datei beim Namen 'mogelt': Durch den doppelten Punkt liegt sie ein Verzeichnis 'höher' als erwartet. Bei "C:\WINDOWS\system32\..\hgwoeea.gry" befindet sich die Datei also nicht unter C:\WINDOWS\system32\, sondern ist tatsächlich unter C:\WINDOWS\hgwoeea.gry vorhanden. Auch die Beispiel-Datei "C:\DOKUME~1\Hans-Georg\LOKALE~1\Temp\..\agugljj.cyq" liegt nicht in "Temp", sondern ein Verzeichnis 'weiter oben' - aufgrund der von Windows verkürzten Pfade müsste man diese Datei letztlich unter C:\Dokumente und Einstellungen\Hans-Georg\Lokale Einstellungen\agugljj.cyq suchen.

Fußnote C.:
Für den Export markieren Sie bitte den "Drivers32"-Eintrag durch Anklicken (er wird dann farbig hinterlegt) und wählen anschließend "Datei" und "Exportieren...". Als Dateinamen tippen Sie C:\drivers32.txt ein:

___

[EDIT] Neue Variante "TR/Spy.Delf.tge" ergänzt.
[EDIT2] Titel überarbeitet, bekannte Schädlinge in Listenform gebracht und "TR/PSW.Kates.C.25" ergänzt.
[EDIT3] Hinweis auf DaonolFix.exe, "TR/Drop.Agent.qna.2" ergänzt.
[EDIT4] Hinweis auf eingeschränktes Benutzerkonto.
[EDIT5] "KatesKiller" hinzugefügt.

This post has been edited 5 times, last edit by "NiteHawk" (Nov 30th 2009, 11:42am)


NiteHawk

Community member

  • "NiteHawk" started this thread

Date of registration:
Feb 14th 2006

Operating System:
XP Pro SP3, Windows 7 Pro - Ubuntu 10.04 LTS

  • Send private message

2

Wednesday, May 20th 2009, 10:23am

DaonolFix.exe

Statt der manuellen Suche und Bereinigung können Sie das Programm DanolFix.exe verwenden.

Laden Sie das Programm unter http://jpshortstuff.247fixes.com/beta/DaonolFix.exe herunter ("DaonolFix (15.04.09) by jpshortstuff", 98KB, MD5:7dc34c4d75b4a7aa9b515e2dfd3d0782) und speichern sie es z.B. auf Ihrem Desktop ('Arbeitsoberfläche'). Starten Sie die Datei mit einem Doppelklick.

Wählen Sie die Option "1. Find Daonol (no fix)", um eine Suche nach schädlichen Einträgen durchzuführen (Schritt 1 von oben). Daraufhin listet das Programm eine Menge Dateien auf - keine Bange, sie werden bloß überprüft. Schließlich wird sich ein Bericht öffnen, der außerdem auch als DaonolFix.txt auf Ihrem Desktop gespeichert wird. Kopieren Sie ggf. den Inhalt dieser Datei ins Forum, so wie oben für die drivers32.txt beschrieben. Achten Sie darauf, ob irgendwelche Zeilen am Ende mit "<<-- Daonol Detected!" markiert wurden, das sind die gesuchten Einträge.

Die Option "2. Fix Daonol" entspricht dem Entfernen des Schädlings (Schritt 2 von oben).

Bitte anschließend unbedingt auch mit Schritt 3 und 4 von oben weitermachen!

Gruß, NiteHawk

This post has been edited 2 times, last edit by "NiteHawk" (May 20th 2009, 12:24pm)


NiteHawk

Community member

  • "NiteHawk" started this thread

Date of registration:
Feb 14th 2006

Operating System:
XP Pro SP3, Windows 7 Pro - Ubuntu 10.04 LTS

  • Send private message

3

Saturday, May 23rd 2009, 10:31am

Warnung
Es gibt eine Anzahl von Hinweisen, die diese Malware mit der massiven Serie von Trojanern und Exploits auf gumblar.cn und martuz.cn in Verbindung bringen. Während die frühen Varianten noch relativ 'harmlos' waren, ist außerdem zunehmend wahrscheinlich, dass dieser Schädling mehr Schaden anrichtet, als auf den ersten Blick erkennbar. Frühe Varianten haben wohl 'nur' Suchergebnisse gefälscht, Updates verhindert und bestimmte Anwendungen blockiert. Mittlerweile ist aber auch denkbar, dass zugleich eine Backdoor installiert wird, die Unbefugten Zugriff auf den PC gestattet.

Ein Problem dabei ist, dass es 'den' Gumblar-Trojaner eigentlich gar nicht gibt. Stattdessen wurden in den vergangenen Wochen eine Vielzahl von 'maßgeschneiderten' Exploits beobachtet, die gezielt Sichersheitslücken auf den PCs der Opfer ausnutzen, um ihre eigentliche 'Nutzlast' (payload) auszuliefern. Diese (schädliche) Nutzlast kann dabei alles Mögliche sein, und variiert manchmal im Minutentakt.

Mit dem Schädling von oben hat es mindestens eine dieser 'Payloads' bis auf ihren Rechner geschafft! Ihr System ist kompromittiert - und gemäß dem zuvor Gesagtem ist es schwierig bis unmöglich zu beurteilen, in welchem Maße dies geschehen ist. Machen Sie sich bitte ernsthaft Gedanken, ob es nicht besser und vor allem sicherer ist, eine Datensicherung (Ihrer persönlichen Dokumente) anzulegen und das System neu zu installieren - bzw. ein (bekannt sauberes!) Backup einzuspielen.

Wenn Sie über Webspace verfügen (eigene Homepage) oder FTP-Zugriff auf andere Rechner haben, so sollten die dort gespeicherten Daten ebenfalls gründlich geprüft werden! Es ist möglich, dass hochgeladene Inhalte manipuliert oder Zugangsdaten (Benutzername/Kennwort) gestohlen wurden. Zum Teil verdankt "Gumblar" seine rasante Verbreitung eben diesen massenhaft infizierten Webseiten, durch deren redirects sich nichtsahnende Besucher dann gleich wieder den nächsten Schädling einhandeln.

Gruß, NiteHawk

Einige Links:
http://www.security-forums.com/viewtopic.php?p=298335
http://www.bleepingcomputer.com/forums/i…dpost&p=1162924
http://miekiemoes.blogspot.com/2008/10/f…archengine.html
http://blog.scansafe.com/journal/2009/5/14/gumblar-qa.html
http://www.martinsecurity.net/2009/05/20…-ataque-gumblar
http://www.gdata.de/ueber-g-data/pressec…nung-neuer.html

This post has been edited 1 times, last edit by "NiteHawk" (May 23rd 2009, 10:39am)


NiteHawk

Community member

  • "NiteHawk" started this thread

Date of registration:
Feb 14th 2006

Operating System:
XP Pro SP3, Windows 7 Pro - Ubuntu 10.04 LTS

  • Send private message

4

Thursday, June 4th 2009, 5:01pm

Mit Dank an Sebastian Lienau:


http://googleonlinesecurity.blogspot.com…ware-sites.html

Gruß, NiteHawk

This post has been edited 1 times, last edit by "NiteHawk" (Jun 4th 2009, 5:33pm)


NiteHawk

Community member

  • "NiteHawk" started this thread

Date of registration:
Feb 14th 2006

Operating System:
XP Pro SP3, Windows 7 Pro - Ubuntu 10.04 LTS

  • Send private message

5

Monday, November 30th 2009, 11:40am

"KatesKiller"

DaonolFix ist scheinbar stark spezialisiert und hat sich nicht in allen Fällen als wirksam gegen diese Schädlingsfamilie erwiesen. Ich habe einen Hinweis erhalten, dass Kaspersky ein eigenes Tool namens "KatesKiller" für diesen Zweck hat: (Diesen nützlichen Tipp verdanke ich FFreestyleRR. :thumbup: )

http://support.kaspersky.com/de/faq/?qid=207620140

Seien Sie sich bitte darüber klar, dass das simple Entfernen der infizierten Datei nicht Ihr System 'repariert'! Ergreifen Sie geeignete Maßnahmen (Schritt 4), um 'Einfallstore' zu schließen und die Sicherheit auf Ihrem PC zu verbessern. Bitte beachten Sie außerdem die grundsätzlichen Hinweise aus Beitrag #3.

Gruß, NiteHawk